Hace poco, en una conversación con nuestro analista de marketing en ESET México, Juan Carlos Fernández, abordamos una anécdota relacionada con una estafa realizada por una empresa fantasma durante su período como estudiante universitario. La empresa, que supuestamente reclutaba estudiantes, recolectó información incluida en la hoja de vida de quienes se postulaban.
Por supuesto, ningún estudiante fue contratado, pero la información personal se había entregado de manera voluntaria. El suceso puede parecer poco relevante, salvo por el hecho de que un currículum vitae suele incluir información y datos personales; que, en caso de caer en manos equivocadas, puede comprometer la seguridad de las personas. Un universitario, por ejemplo, seguramente incluya datos como su fotografía, dirección, información de contacto, cuentas de redes sociales u otro tipo de información.
Si bien para algunos reclutadores esta información quizás resulte necesaria, es muy probable que no se trate de datos indispensables para poder otorgar un puesto de trabajo. La idea de proporcionar solo la información necesaria, así como el acceso a ella, podría aplicarse en diferentes ámbitos, donde la ciberseguridad no es la excepción. Esta buena práctica se conoce como el menor privilegio y la abordaremos en esta publicación.
El menor privilegio, una buena práctica de seguridad
En el ámbito de la ciberseguridad, la asignación de permisos que puede tener un usuario sobre un sistema o la información, es una práctica de seguridad que se aplica de forma continua. Por ejemplo, los sistemas operativos son desarrollados con diferentes roles (y por supuesto privilegios), pensados para distintos perfiles de usuarios, de acuerdo con sus actividades y responsabilidades.
Operar bajo el principio del menor privilegio, tal como su nombre lo indica, parte de la premisa de otorgar los permisos necesarios y suficientes a un usuario para desempeñar sus actividades, por un tiempo limitado, y con el mínimo de derechos necesarios para sus tareas. Una práctica que se puede implementar en cuanto al uso de la tecnología, con el objetivo de procurar la seguridad de la información, así como nuestra privacidad.
La asignación de permisos a un usuario, más allá de los derechos necesarios para llevar a cabo una acción determinada, puede permitirle llevar a cabo acciones para las cuales no está autorizado, como acceder, obtener o modificar información. Además, los privilegios deben estar considerados para las entidades o servicios puedan cumplir con sus objetivos, sin comprometer la privacidad o la seguridad; sin embargo, en esta tarea, recae una importante responsabilidad de los usuarios para conocer y otorgar los permisos necesarios y suficientes.
¿El menor privilegio en las redes sociales?
Los recientes sucesos relacionados con Facebook y Cambridge Analytica, ponen de manifiesto el valor que tienen los datos personales y la responsabilidad que tenemos, como usuarios, en cuanto al manejo de nuestra información personal.
Si bien los paradigmas de privacidad cambian con el tiempo, no debemos ignorar que se trata de una preocupación constante, especialmente en la era digital, donde incluso nuevas legislaciones buscan otorgar más derechos a los usuarios sobre su información.
Pues bien, partiendo de esta idea, una buena práctica consiste en otorgar la información básica necesaria para poder hacer uso de las redes sociales, sin la necesidad de tener que compartir información sensible o confidencial con cualquier otro usuario, máxime si desconocemos a las personas que pueden encontrarse detrás de un perfil falso.
Por ello, además de cuidar la información que publicamos en las distintas plataformas sociales, es conveniente configurar las opciones de privacidad y seguridad, así como las restricciones a otros usuarios sobre las publicaciones o datos expuestos. Sin caer en la paranoia de sentir que es necesario dejar de utilizar estas nuevas formas de comunicación e interacción; sobre todo si abogamos por su uso consciente, responsable y seguro, donde también podríamos aplicar la idea del menor privilegio.
Principio del menor privilegio en dispositivos móviles
Las aplicaciones que instalamos en nuestros dispositivos también deben estar limitadas por privilegios en el dispositivo. Una aplicación puede considerarse como intrusiva (e incluso maliciosa), debido a los permisos que solicita al momento de la instalación, y por supuesto, a las actividades que lleva a cabo en el dispositivo.
Existen un sinnúmero de casos en los cuales las aplicaciones solicitan permisos que muchas veces resultan innecesarios para la función que pretenden realizar en el teléfono. Pensemos en el caso de las aplicaciones de linternas. Estas apps que prenden y apagan el led de los dispositivos no tendrían por qué acceder a información del teléfono como la ubicación, contactos, llamadas o los mensajes SMS. En este caso, el menor privilegio también juega un papel destacado.
En un caso concreto relacionado con este tipo de aplicaciones de linterna se descubrió un troyano bancario dirigido a usuarios de Android. Una vez que se instalaba y ejecutaba, la app solicitaba permisos de administrador del dispositivo.
Además de otorgar la funcionalidad prometida de linterna, la amenaza, controlada en forma remota, buscaba robar credenciales bancarias de las víctimas. Sin duda, el menor privilegio también puede ser aplicado en este contexto, en busca de brindar lo mínimo necesario para el funcionamiento.
El principio del menor privilegio: una estrategia de seguridad aplicable a distintos ámbitos
Siguiendo con el caso inicialmente expuesto, sabemos que distintos criterios pueden ser considerados al momento de contratar a una persona, pero por razones de seguridad y también de privacidad, probablemente un reclutador no deba conocer toda nuestra información, especialmente si toda esa información no se maneja de manera segura.
Por lo tanto, se trata de brindar solo los datos, privilegios o recursos mínimos necesarios para realizar una actividad o cumplir un propósito, ya sea que hablemos de un sistema operativo, una red social, una aplicación, o incluso como lo planteábamos al inicio de la publicación, al momento de entregar una hoja de vida.