Todo es electrónico

Cada vez más, en la vida conviven el átomo y el bit.

  • Etiquetas

  • Páginas

  • Reflexiones del mes

    Mayo 2006
    L M X J V S D
    « Abr   Jun »
    1234567
    891011121314
    15161718192021
    22232425262728
    293031  

  • Subscribir

  • a

  • Temas más tratados

    Administración Electrónica Administración pública Apuestas, Juegos y Loterías Asimelec Banca Banca Electrónica Bitácoras Buenas Prácticas Chipeteras Comercio electrónico Compliance Conformidad normativa Contratación Pública Cursos y Seminarios Datos personales Delitos telemáticos Derecho Nuevas tecnologías Digitalización Certificada DNI electrónico Documentos electrónicos Electronic Signature Empresas Eventos Evidencias electrónicas Factura digital facturae Factura Electrónica Factura Telemática Firma digital Firma Electrónica Formación Fraudes Herramientas I+D+i Informática Forense Medios de Pago Normalización Personas notables Phishing Propiedad Intelectual Seguridad Smart Cards Sociedad de la Información Tarjetas Chip Telecomunicaciones Telefonía móvil TS 101 903 UBL Valor probatorio XML
« Tecnimap 2006
Seminario sobre Documento Electrónico y Factura Electrónica en Toledo »

La percepción de seguridad

Publicado por inza en 2006 . Mayo . 25

En el fondo es un problema de confianza, no de seguridad.

El hecho de que los phishers puedan hacerse su propio certificado de servidor web y simular un entono seguro con SSL ya empieza a preocupar a los usuarios y a desmitificar la supuesta seguridad de este protocolo.

Entendedme, no estoy en contra del SSL: garantiza el cifrado de las comunicaciones entre el servidor y el navegador, pero poco más.

No garantiza que la URL a la que accedemos sea la del servidor. De hecho, hay bancos que usan el certificado de seguro.banco.com en www.banco.com o viceversa, y el usuario está acostumbrado a decir OK al aviso de alarma del navegador. 

No garantiza que el certificado que aparece emitido por una autoridad de certificación, esté de verdad emitido por ella. De hecho al certificado autofirmado que nos hacemos cuando creamos la root puede contener los datos que la inspiración nos haya dictado en ese momento, como Verisign, FNMT o Moncloa

Muchos PSC (Prestadores de Servicios de Certificación) de plena confianza no está incluidos en el repositorio de confianza del navegador, por lo que nos crean malos hábitos como el de dar por buena cualquier instalación de root en nuestro sistema que nos sale al paso.  

En definitiva: tenemos que hacer algo más para lograr la confianza que la ¿falsa? sensación de seguridad que da el candadito que señala el funcionamiento del SSL. 

Esta entrada fue publicada el 2006 . Mayo . 25 a 11:10 pm y está archivada en Banca Electrónica, Comercio electrónico, Confidencialidad, Fraudes, Medios de Pago, Phishing. Puedes seguir los comentarios a esta entrada a través de RSS 2.0 feed. Puedes deja un comentario, o trackback desde tu propio sitio.

2 comentarios para “La percepción de seguridad”

  1. inza escribió

    2006 . Mayo . 27 a 1:22 pm

    No parece sencillo encontrar la solución canónica, pero cada vez conocemos más detalles de algunas cosas que no funcionan. Ya en otra ocasión he comentado que los teclado en pantalla, por ejemplo, dan una engañosa sensación de seguridad sin constituir una verdadera protección.

    En Estados Unidos, el Organismo Supervisor del sector financiero (la FFIEC, Federal Financial Institutions Examination Council ) va a obligar a las entidades financieras a que adopten sistemas de autenticación de doble factor.

    Se puede ver la noticia en este enlace: http://www.ffiec.gov/press/pr101205.htm

    Tampoco es la panacea, pero es una solución bastante robusta no exenta de elementos criticables, como los que señala Schneier

    Responder

  2. Fernando escribió

    2006 . Mayo . 25 a 11:48 pm

    Evidentemente sí, pero ¿el qué?

    Responder

Escribe un comentario

XHTML: Puedes usar estas etiquetas: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <pre> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

« Tecnimap 2006
Seminario sobre Documento Electrónico y Factura Electrónica en Toledo »