seguridad

Es importante mencionar que durante estos años hemos aprendido mucho de la tecnología, por la pandemia muchos a las malas aprendimos y también por necesidad por así decirlo nos adaptamos e incluso nos hemos vuelto dependientes de las redes sociales, pero más allá de ese tema también es significativo hablar de lo que implica esta “dependencia” la seguridad y es que este aspecto tiene mucho que ver con este tema y hacernos esta interrogante que talvez para muchos no es algo relevante, pero es sustancial para otros y es ¿Qué sucede cuando iniciamos sesión en nuestras cuentas? Cada paso que damos al momento de iniciar sesión depende de la introducción de un factor de autenticación, que podríamos describir como categoría independiente de credencial manejada para comprobar nuestra identidad, a esto lo llamamos como Autenticación.

Describimos tres tipos de factores de autenticación:

Tipos de factores de autenticación

También es importante mencionar que tan seguras son las contraseñas que colocamos a nuestras cuentas si mayoría de cuentas de hoy en día están configuradas para soportar lo que se conoce como SFA que significa Factor de autenticación Simple y como su nombre mismo lo dice es un tipo de autenticación tradicional y es un inicio de sesión poco seguro, porque este no le pide al usuario que envíe un segundo código al momento de introducir sus datos.

Hasta ahora una gran mayoría ya sabemos casi todas las contraseñas "inapropiadas" que creamos para proteger nuestras cuentas, pero el inconveniente inicia cuando el usuario crea una contraseña larga, complicada, con mayúsculas, números y captores que está muy bien, pero, por otro lado, llega el problema del almacenamiento de las credenciales y pues uno no puede memorizarlas o en el segundo caso debemos almacenarlas en algún lugar seguro.

Estos porqués influyen en el usuario, a descuidar su política de seguridad en contraseñas y es algo que los sitios web no dejan pasar desapercibido, ya que iniciaron a tomar medidas como la inclusión de 2FA (autenticación en dos factores) o 2sv (autenticación en dos pasos).

Comenzamos hablando de 2FA o de dos factores se refiere específicamente a mecanismos de autenticación en los que los elementos que intervienen pertenecen a dos de las categorías nombradas anteriormente, no solo a una, como pasa en 2SV, es decir, si un sistema de autenticación requiere dos contraseñas o dos claves físicas, no estaríamos hablando de una autenticación de dos factores, sino, de una verificación de dos pasos.

Por otro lado, la autenticación de 2SV o autenticación en dos pasos (algo que sabes y algo que tienes)

La autenticación en dos pasos es una forma sencilla con la que la mayoría de los sitios web han respondido a los peligros del antiguo SFA de un solo factor que es el método que se ha utilizado siempre, se realiza a través de un solo dato, normalmente una clave, siendo mucho menos. En cambio, la autenticación en dos pasos propone combinar dos métodos de autenticación de forma tal que, si uno es comprometido, se debe tener o conocer el otro para lograr el acceso a la información. Funciona de la siguiente forma:

Pasos para una Autenticación Segura

Iniciamos sesión en nuestra cuenta con nombre de usuario y contraseña (Ejemplo: Twitter)

2. Para poder acceder a este tipo de autenticación, ir a más opciones seguido de Configuración y privacidad:

3. Dentro de la configuración se procede a entrar a Seguridad y acceso a la cuenta y elegir “Seguridad”.

4. Nos da tres opciones, para una autenticación en dos fases, en este caso elegiremos la segunda opción: Con una App que es Google Authenticator.

5. Nos pide que insertemos nuevamente nuestra contraseña por seguridad y se nos genera un código QR para escanearlo con otro dispositivo.

6. A partir de ahí, se nos genera un cogido mediante la App Google Authenticator y nos pide que lo ingresemos dentro de un determinado lapso de tiempo para poder completar el login.

7. Introduciremos el código y se completa la configuración.

Para concluir como se podrá apreciar en todo lo expuesto, la autenticación SFA de un solo paso y factor es segura en tanto que utilicemos contraseñas fuertes, aunque por más fuerte que sea, siempre será más vulnerable que la autenticación 2SV de dos pasos o 2FA de dos factores.

Pero sin lugar a duda que entre ambas autenticaciones (2SV y 2FA), pues 2FA siempre será más segura que la autenticación en dos pasos, claro siempre y cuando esté bien implementado, pero también resulta más costoso hablando términos económicos y de tecnología que una autenticación en dos pasos, por lo que la mayoría de los sitios en Internet, implementan autenticación de dos pasos.

Referencias:

Alejandro. (2016). Autenticación en dos factores vs autenticación en dos pasos (2fa, 2sv). Obtenido de Proteger mi PC: https://protegermipc.net/2016/03/18/autenticacion-en-dos-factores-vs-autenticacion-en-dos-pasos/

Córdoba, D. (30 de diciembre de 2016). Login… ¿de dos pasos o dos factores? (2FA vs 2SV). Obtenido de Junco TIC: https://juncotic.com/login-dos-pasos-dos-factores-2fa-vs-2sv/

Autores:

En el marco del PROGRAMA DE APOYO AL PROFESIONAL JUNIOR

Este trabajo ha sido dirigido por el Ing. Guido Rosales y ejecutado por la Ing. Karen Laura Fuertes Callapino

Karen Laura Fuertes Callapino – Aficionada a la informática / tecnología en general, entusiasta de la seguridad, ciberseguridad y de las Redes Informáticas, titulada en la Universidad Autónoma Tomas Frías como Ingeniera de Sistemas.

Actualmente tiene un diplomado en Tecnologías de la Información y Comunicación en la Educación Superior, certificados en CISCO como CCNA I y CCNA II.

Además, es certificada como Experta en Tecnologías de Transmisión de Datos en la Universidad Benito Juárez G.

Karen participa del PAPJ - Programa de Apoyo al Profesional Junior de Yanapti SRL.

NIVEL DE SEGURIDAD EN EL PROTOCOLO HTTPS EN EL SECTOR DE VALORES DE BOLIVIA

Editor YPT 20/11/2021

Presentación:

En el marco del PROGRAMA DE APOYO AL PROFESIONAL JUNIOR, vamos lanzando diferentes actividades, una de ellas es el relevamiento del ESTADO de ciertos criterios de Seguridad en el contexto nacional. Con anterioridad habíamos presentado similar trabajo con Bancos. En esta ocasión el Ing. Daniel Yoshiro Orias Yamaguchi esta participando con este relevamiento. Presentamos el Resumen Ejecutivo por cuanto este trabajo cuenta con el sustento individual por cada entidad evaluada.

Consideramos que ciertos criterios como los canales seguros HTTPS deberían ser uniformes hacia la mayor y mas robusta configuración. Muy bien por las entidades que tiene resultados elevados, así debe ser siempre.

Atte.

Guido Rosales Uriona

Director del PAPJ

INTRODUCCIÓN

SSL es la tecnología estándar para mantener segura una conexión a Internet y salvaguardar cualquier información confidencial que se envíe entre dos sistemas, evitando que los delincuentes lean y modifiquen la información transferida, incluidos los posibles detalles personales. Los dos sistemas pueden ser un servidor y un cliente (por ejemplo, un sitio web de compras y un navegador) o de servidor a servidor (por ejemplo, una aplicación con información de identificación personal o con información delicada).
HTTPS (Protocolo seguro de transferencia de hipertexto) aparece en la URL cuando un sitio web está protegido por un certificado SSL. Los detalles del certificado, incluida la autoridad emisora y el nombre corporativo del propietario del sitio web, se pueden ver en el candado en la barra del navegador.
Por lo que el presente informa esta realizado para recopilar información sobre el estado de la seguridad en certificados de las entidades que conforman la bolsa de valores de Bolivia.

OBJETIVO

El objetivo del presente informe es obtener información sobre el estado de certificados que protegen la seguridad de las páginas web de las entidades que conforman la bolsa de valores de Bolivia, para así conocer mejor el nivel de protección o las posibles falencias que se encuentren a nivel de seguridad en dichas páginas.

ALCANCE

El presente documento tiene como límite recopilar información acerca de la certificación SSL que protege las paginas web de la bolsa de valores de Bolivia mediante el Protocolo seguro de transferencia de hipertexto o HTTPS. La auditoría se realizará en las siguientes entidades:

Bolsas de valores:

• BBV - Bolsa Boliviana de Valores

Asociación de agentes de valores:

• ABAV Asociación Boliviana Agentes de Valores

Agentes de bolsa:

• BISA S.A. Agencia de Bolsa
• BNB Valores S.A. Agencia de Bolsa
• Compañía Americana de Inversiones S.A.
• Credibolsa S.A. Agencia de Bolsa
• Mercantil Santa Cruz Agencia de Bolsa S.A.
• Panamerican Securities S.A. Agencia de Bolsa.
• Valores Unión S.A. Agencia de Bolsa.
• Santa Cruz Securities Agencia de Bolsa S.A.
• Sudaval Agencia de Bolsa S.A.
• iBolsa Agencia de Bolsa S.A.
• Multivalores Agencia de Bolsa S.A.

Entidad de Depósito de Valores:

• Entidad de Depósito de Valores de Bolivia S.A.

RESUMEN EJECUTIVO

Se realizo la recolección de información de los certificados SSL para el protocolo HTTPs en los sitios web de las instituciones asociadas a la bolsa valores de Bolivia para identificar las posibles falencias que pueden exponer la seguridad de la página.

RESULTADOS

En la siguiente tabla podemos se puede observar las entidades auditadas, la dirección de la pagina web, el proveedor del certificado de seguridad y una escala del 0 al 100 de acuerdo al grado de nivel de seguridad de acuerdo a parámetros como: si el certificado es válido y de confianza, soporte de protocolo, soporte de cifrado y Soporte de intercambio de claves.

CONCLUSIONES Y RECOMENDACIONES

Conclusiones

Se realizo el análisis en cada uno de los sitios web de las entidades pertenecientes al sector de valores de Bolivia, se evidencio que la mayoría cumplen con los certificados de SSL de seguridad correspondientes para HTTPs, con algunas falencias en el uso de los protocolos TLS1.0 y TLS 1.1. También se evidencia que algunos sitios web no cuentan con la
certificación SSL y continúan aplicando el protocolo HTTP, que compromete la información que viaja atreves de esa página.

Recomendaciones

Se recomienda aplicar obtener la certificación para aplicar HTTPs las páginas que continúan con HTTP, y para los servidores que ya cuentan con la certificación se recomienda actualizar el soporte para las versiones de TLS 1.2 y TLS1.3 que cuentan con muchas más medidas de seguridad que las versiones anteriores.

Autor: Daniel Yoshiro Orias Yamaguchi.

Soy una persona apasionada por la tecnología, parte de mi formación está en el área de electrónica y telecomunicaciones a nivel técnico, en los últimos años me forme en el área de computación e informática, gracias a estas áreas tengo conocimientos variados en informática tanto en la parte de hardware como de software.

Actualmente soy licenciado de la carrera de informática con una mención en ingeniería de sistemas, con especializaciones en Seguridad de la información, Ethical hacking y Hacking corporativo, me gusta enseñar y aprender todo lo relacionado con la tecnología y seguridad.