6

Estrategias BlueTeam para tu aplicación

8711Puntos

hace un mes

En el amplio mundo de la Ciberseguridad existen dos perfiles predominantes distinguidos por sus acciones: RedTeam que realizan actividades ofensivas en miras a vulnerar sistemas y BlueTeam quienes orientan sus acciones hacia la defensa y fortalecimiento de activos de información.

Muy seguramente cuando creas una aplicación web le incluyes el control de acceso necesario, tal como lo recomendamos en nuestro curso OWASP TOP 10: Riesgos en Aplicaciones.

Algunas veces es necesario utilizar correos electrónicos para el proceso de autenticación como lo usamos en nuestro sitio web https://platzi.com:

Un email siempre será más simple de recordar para un usuario que un ID, código o cadena alfanumérica. En muchas ocasiones, las empresas prefieren utilizar el correo como parte de la autenticación para sus sistemas de información. Ahora, esto es seguro?

Hay algún riesgo de seguridad al usar emails como nombres de usuario?

Si, podría existir riesgo. Normalmente los usuarios tienden a utilizar la misma contraseña del correo en muchos servicios web por agilidad y por lo apresurado del día a día.
Lo ideal siempre será utilizar métodos de autenticación Passwordless tal como:

  • PassKey
  • Magic links
  • Hardware Key
  • OTP (One-Time Password)
  • Autenticación biométrica

Pero en gran parte de aplicaciones aún solicitamos contraseñas acompañadas de MFA o tokens de autorización.

Cómo puedo proteger a mis usuarios ante filtrados de información?

  1. Debes crear una cultura constante de ciberseguridad en los usuarios, indicándoles buenas prácticas y enterándolos de las amenazas y técnicas más recientes que utilizan ciberdelincuentes para adquirir cuentas de forma fraudulenta. Esto lo puedes profundizar en el Curso de Ciberseguridad y Privacidad para Empresas.

  2. Valida cada usuario (email) utilizando el servicio Have I Been Pwned (HIBP). De esta forma puedes verificar que determinado correo electrónico no se encuentre en repositorios o Data Leaks donde podría estar almacenada su contraseña.

Aquí puedes observar como cierto email se encuentra registrado en diversas filtraciones de datos donde también se ha comprometido su contraseña.

Ahora, qué debería hacer este usuario cuando sabe que está incluído en un data leak?

Con estos resultados de HIBP, el usuario debe revisar cada página web del reporte y cancelar suscripciones, fortalecer su método de autenticación o cambiar su contraseña inmediatamente.
Finalmente, si se ha utilizado alguna de estas contraseñas filtradas en la aplicación que has creado, el usuario debe reemplazarla o pondrá en riesgo todo el sistema de información.

Bien, y qué debo hacer como creador de la aplicación para proteger a los usuarios?

Es simple, sólo debes unirte al BlueTeam y proteger todo el tiempo a los clientes de tu aplicación.

Algunos pasos para actuar como BlueTeam son los siguientes:

  1. Adquirir una API en el servicio HIBP de acuerdo a tu flujo de usuarios.

  2. Utilizar o adaptar el siguiente código para validar cada usuario (email):



Código disponible en repositorio oficial.

  1. Podrías aplicar lo anterior en campañas periódicas mientras requieras utilizar una contraseña en tu aplicación.

Cada diseñador y/o programador debe aplicar técnicas de BlueTeam para asegurar su producto y evitar compromisos de la información.

Finalmente, si quieres minimizar los riesgos de ciberseguridad y aprender a proteger la información gestionada por tu aplicación, te invito a hacer parte de nuestra Comunidad y completar los cursos de nuestra Escuela de Ciberseguridad.

¡Nunca pares de aprender!

Diego Ademir
Diego Ademir
dadhemir

8711Puntos

hace un mes

Todas sus entradas
Escribe tu comentario
+ 2
1
8144Puntos
un mes

Grande!