Un sitio web financiero cambió inesperadamente su proceso de inicio de sesión y reveló un compromiso delgado de papel con la narrativa de la seguridad en línea.
Los controles de seguridad sólo son útiles cuando los usuarios y el servicio están de acuerdo en lo que significan. En este caso, los clientes de una empresa de servicios financieros deben ignorar el hecho de que el nuevo sistema de inicio de sesión hace exactamente lo que el antiguo sistema les advirtió con vehemencia.
Verificación de un sitio frente a la verificación del comprador de un certificado
En el pasado, el indicador de inicio de sesión utilizaba imágenes de seguridad personalizadas. Los clientes seleccionaban una imagen de un conjunto de imágenes fáciles de reconocer (un balón de fútbol, una puesta de sol, una mariposa, etc.. El usuario debe saber o recordar lo que ha seleccionado y comprobar mentalmente que siempre ve la misma imagen cuando se conecta. Esta técnica tiene muchos problemas. Los usuarios a menudo están dispuestos a escribir contraseñas cuando las imágenes no están presentes o incluso cuando la imagen es incorrecta. Lo que importa aquí es la pregunta que las imágenes intentan responder: ¿Este sitio web con el que estoy hablando es el mismo con el que me registré hace algún tiempo? Aunque un control de seguridad defectuoso, estas imágenes son un concepto lo suficientemente simple como para explicárselo a cualquiera.
No es un intercambio igualitario
Este sitio web ha eliminado las imágenes de seguridad personalizadas y se ha comprado un certificado de seguridad de «Extended Validation (EV) Security Certificate». Además, el enlace «haga clic aquí» simplemente enlaza con un artículo de Wikipedia sobre certificados EV. Ningún cliente del banco le dará sentido a ese artículo.
El cliente ya no está verificando nada. De hecho, un usuario no puede verificar un certificado EV. El navegador del usuario realiza algunas comprobaciones criptográficas opacas como siempre. La información adicional simplemente nos dice que una autoridad de certificación, en algún momento ambiguo en el pasado, se convenció de que estaba tratando con una entidad comercial legítima. Este es un tipo de garantía completamente diferente.
La explicación de la página de inicio de sesión es débil y no tiene sentido. Imágenes de seguridad personalizadas intentaron responder a la pregunta»¿alguien me está engañando ahora mismo?» A los clientes no les importa si alguien engañó a la autoridad de certificación en algún momento en el pasado.
Controles de seguridad retóricos
Considere lo rotas que están las imágenes de seguridad personal: el sitio web legítimo hizo este cambio un día. De repente, un sitio web que antes decía a los usuarios «nunca escribas tu contraseña a menos que veas tu imagen de seguridad personal» les está diciendo literalmente lo contrario: «Hemos eliminado su imagen de seguridad personal, así que adelante, escriba su contraseña.» Eso es exactamente lo que un atacante escribiría para engañar a los usuarios. Este es el problema con los controles de seguridad retóricos – mecanismos de seguridad que requieren que el usuario entienda y acepte una historia narrativa y desempeñe su papel en ella. Cuando la narración cambia, está claro que sólo seguían el juego en primer lugar. Los usuarios nunca entendieron verdaderamente la narrativa.
Teatro de seguridad
Esta búsqueda de Google pone de relieve cientos de miles de productos y servicios comerciales de alto perfil que socavan los valiosos controles de seguridad técnica, simplemente alentando a los usuarios a ignorar las advertencias. Ante este tipo de ruido de fondo, es muy difícil para los profesionales de la seguridad promover una seguridad adecuada y correcta.
Las características de seguridad que no pueden ser utilizadas correctamente por el público objetivo no sólo fallan en una aplicación, sino en toda la industria. Las características de seguridad mal diseñadas impiden que los usuarios tomen decisiones de seguridad válidas y perpetúan el estereotipo de que la seguridad es confusa, difícil y molesta.
Avanzando hacia una mejor narrativa
Google está tomando una decisión interesante al respecto. Actualmente, la mayoría de los navegadores web muestran algún tipo de aviso si un sitio web intenta utilizar TLS y HTTPS, pero falla. Es decir, si el sitio web es HTTP y no está tratando de ser seguro, no hay ningún tipo de advertencia. Si el sitio utiliza elementos seguros e inseguros, los navegadores advierten. Si el sitio utiliza un certificado, pero el certificado tiene problemas, los navegadores lo advierten. Pero mientras un sitio no intente ser seguro, los navegadores no advierten en absoluto. Pronto, Google Chrome advertirá en los sitios web HTTP de la misma forma que lo hace en los sitios que intentan ser seguros pero fallan.
Este cambio ayuda a los usuarios finales a comprender la situación. Los dos tipos de sitios (los que lo intentan, pero fallan y los que ni siquiera lo intentan) son igualmente confiables. Este cambio todavía no aborda la cuestión de si este sitio está tratando de engañarme en este momento. Hay una gran diferencia entre conocer al propietario legal de un certificado digital y creer que el software de la aplicación web es confiable.