En el amplio mundo de la Ciberseguridad existen dos perfiles predominantes distinguidos por sus acciones: RedTeam que realizan actividades ofensivas en miras a vulnerar sistemas y BlueTeam quienes orientan sus acciones hacia la defensa y fortalecimiento de activos de información.
Muy seguramente cuando creas una aplicación web le incluyes el control de acceso necesario, tal como lo recomendamos en nuestro curso OWASP TOP 10: Riesgos en Aplicaciones.
Algunas veces es necesario utilizar correos electrónicos para el proceso de autenticación como lo usamos en nuestro sitio web https://platzi.com:
Un email siempre será más simple de recordar para un usuario que un ID, código o cadena alfanumérica. En muchas ocasiones, las empresas prefieren utilizar el correo como parte de la autenticación para sus sistemas de información. Ahora, esto es seguro?
Si, podría existir riesgo. Normalmente los usuarios tienden a utilizar la misma contraseña del correo en muchos servicios web por agilidad y por lo apresurado del día a día.
Lo ideal siempre será utilizar métodos de autenticación Passwordless tal como:
Pero en gran parte de aplicaciones aún solicitamos contraseñas acompañadas de MFA o tokens de autorización.
Debes crear una cultura constante de ciberseguridad en los usuarios, indicándoles buenas prácticas y enterándolos de las amenazas y técnicas más recientes que utilizan ciberdelincuentes para adquirir cuentas de forma fraudulenta. Esto lo puedes profundizar en el Curso de Ciberseguridad y Privacidad para Empresas.
Valida cada usuario (email) utilizando el servicio Have I Been Pwned (HIBP). De esta forma puedes verificar que determinado correo electrónico no se encuentre en repositorios o Data Leaks donde podría estar almacenada su contraseña.
Aquí puedes observar como cierto email se encuentra registrado en diversas filtraciones de datos donde también se ha comprometido su contraseña.
Con estos resultados de HIBP, el usuario debe revisar cada página web del reporte y cancelar suscripciones, fortalecer su método de autenticación o cambiar su contraseña inmediatamente.
Finalmente, si se ha utilizado alguna de estas contraseñas filtradas en la aplicación que has creado, el usuario debe reemplazarla o pondrá en riesgo todo el sistema de información.
Es simple, sólo debes unirte al BlueTeam y proteger todo el tiempo a los clientes de tu aplicación.
Algunos pasos para actuar como BlueTeam son los siguientes:
Adquirir una API en el servicio HIBP de acuerdo a tu flujo de usuarios.
Utilizar o adaptar el siguiente código para validar cada usuario (email):
Código disponible en repositorio oficial.
Finalmente, si quieres minimizar los riesgos de ciberseguridad y aprender a proteger la información gestionada por tu aplicación, te invito a hacer parte de nuestra Comunidad y completar los cursos de nuestra Escuela de Ciberseguridad.
¡Nunca pares de aprender!
Grande!