Alzado.org

El phishing que viene

Cuenta una leyenda urbana, que al comienzo del siglo XXI, reventada la primera burbuja puntocom, algunos de los estrellados en su desesperación por recuperar algo de lo invertido se dedicaron a vender bajo cuerda datos personales de sus usuarios a terceros para que traficaran con ellos. Con esto, algunos explican el crecimiento espectacular del spam en aquel corto periodo de tiempo.

Gran parte de los promotores de proyectos web con componente social confunden calidad con cantidad, señal con ruido. Hay quienes conciben el éxito con montar un gallinero online y ser próximo Tuenti o Facebook. Por ello, en aras de captar masa crítica no se duda en comprometer la seguridad de los datos de los usuarios o convertir en spammer a cualquier contacto que hayamos hecho por correo.

En esta ocasión, se apoyan una mala practica de diseño: la solicitud de contraseñas de servicios de correo (Gmail, Yahoo o Hotmail) o similares a un usuario registrado en el sitio para hacerle más cómodo traerse en masa a sus "amigos". Introducida la contraseña, el sitio accede a la libreta de contactos privada del usuario y genera invitaciones para unirse al servicio.

Lo curioso es que legalmente para sitios como Google o Yahoo, el usuario es responsable de mantener el secreto de sus contraseñas y datos de acceso por lo que, en caso de que el solicitante accediera a su cuenta y cometiera alguna fechoría, quedarían exentos de responsabilidad.

Un desafortunado ejemplo de tantos, por citar alguno, es slideshare.

Teóricamente, Slideshare no envía correos a no ser que el usuario lo especifique. Pero ya está dentro. Ha accedido a nuestra cuenta y tiene los datos a su disposición con nuestro consentimiento.

Este patrón de moda (o anti-patrón), está siendo replicado en cadena por promotores de proyectos indocumentados e irresponsables. Clientes y proveedores juegan con una imposición, que de no cumplirse supone estar fuera de onda, ser tachado de "1.0".

Eso. Si los usuarios ya somos ingénuos y confiados, pongamos las cosas más fáciles a phishers, estafadores, suplantadores de identidad y spammers que en este momento deben estar frotándose las manos. Si se continúa con esta práctica, repartir contraseñas por sitios extraños comenzará a verse como algo natural. Hoy servicios de correo, redes sociales, comunidades varias, mañana, y con más fuerza, servicios bancarios, telefonía, administraciones públicas… Con esta peligrosa práctica, se está enseñando a los usuarios a fiarse de cualquier servicio y facilitar acceso a cualquier dato.

Porque, por mucha promesa que se haga ¿quién garantiza que esa contraseña no es leída y guardada para ser usada con otros fines? ¿cómo sabremos que el sitio al que damos nuestra contraseña no va a obtener los datos de nuestros contactos para usarlos en el futuro? ¿qué nos detiene a la hora de dar cualquier otro dato personal? ¿cómo sabremos si estamos tratando con "buenos" o "malos"? ¿Es que alguien retiene a los expertos en seguridad amordazados en un sótano por molestos?

Buenas prácticas

Sitios como Dopplr pudiendo, evitan usar esta práctica y se apoyan en servicios de autorización. GMail, Hotmail, Yahoo Mail o Flickr dan alternativas: el usuario no tiene que compartir sus contraseñas en otros sitios.

Dopplr, el sitio de viajes, solicita al usuario que chequee sus contactos en sitios con servicios de autorización.

El servicio accedido solicita del usuario que autorice obtener sus datos. En caso de ser necesaria contraseña, será este servicio quien se encargue de solicitarla.

Para que esto funcione, se necesitan dos partes:

  1. Que el servicio que accede se apoye en servicios de autorización y evite solicitar cualquier contraseña (como ya hace Dopplr, excepto con Linkedin).
  2. Que los sitios accedidos, desarrollen esos servicios de autorización, de manera que no sea ni necesario ni posible introducir contraseñas a través de otros sitios como está haciendo Flickr con su Flickr Auth, Yahoo Address Book API con BBAuth, el Google Contacts Data API con AuthSub o Windows Live Contacts API con WL ID Delegated Auth por poner un ejemplo. Para el resto de sitios, existe el protocolo abierto OAuth.

Desde una perspectiva de usabilidad, es un momento decisivo: estamos creando los futuros patrones de uso de la web. La tecnología permite moverse por un camino u otro y muchos usuarios son un lienzo en blanco que harán aquello para lo que se les eduque. Conviene que los responsables de sitios web cuiden de sus usuarios y eviten solicitar a estos contraseñas que no les pertenecen.

Si eres diseñador o desarrollador, documéntate y no permitas solicitar a tus usuarios contraseñas de otros sitios. Si eres usuario, niégate a introducirlas. ¿O es que te fías? 🙂

Salir de la versión móvil