domingo, 12 de noviembre de 2017

Cuando fallan los principios ... se puede esperar cualquier cosa: tarjetas BBVA

Hay varios principios básicos en la seguridad, con independencia del entorno:
  • minimizar la exposición al riesgo (espacial, temporal)
  • no generar patrones de comprotamiento (aleatoridad)
  • ser  discrteo (no hablar de ello)
  • no subestimar el peligro
  • ...

Nos vamos a centrar en NO GENERAR PATRONES, es decir no repetir comportamientos que pueden ser observados y analizados, y para ello nada mejor que evitar las rutinas.

En otras palabras ser impredecible, ser aleatorio es crear seguridad.

Así a una persona que está amenazada se le recomienda no salga nunca a la misma hora, que no use nunca el mismo medio de transporte, que no siga siempre la misma ruta, ... en definitiva, que no sea previsible, que no dé facilidades al observador.

La distribución de dinero en efectivo ademas de hacerse de forma rápida (disminuir el tiempo de exposición al riesgo) no tiene ni dia ni hora fija para dificultar su control. También  los periodos de desconexión de sistemas de seguridad se hace de forma aleatoria de forma que los oepradores de sistemas desconocen cuando se va a producir.

Las claves de cifrado se trocean y se envian a personas diferentes por medios diferentes, una vez se cifra se varia de forma aleatoria la clave de cifrado,....

Hay muchisimos más ejemplos, pero valgan estos para dejar claro algo que en la vida diaria y sin que seamos conscientes de ello se implanta esta máxima de no ser previsible. Por ello me ha llamado poderosamente la atención que el BBV envie en un sobre por correo ordinario o postal (con marcas externas, en contra de la máxima de "SER DISCRETOS") una tarjeta de credito y en otro sobre similar el PIN (el numero secreto o  contraseña de la tarjeta), no solamente la primera vez que la tarjeta podría  no estar activada y es necesariao suactivación por otro medio (pe.. telefono), sino los cambios de PIN realizados en un cajero del propio banco ... además  si el cliente ha cambiado el PIN en un cajero ¿para que se le envia en claro por correo? ... es una tremenda brecha de seguridad.


Seguramente se han incumpleido dos principios más ... la exposición (una carta está mucho tiempo expuesta sin seguridad y pasa por muchas manos), la discrección el sobre no necesita el anagrama del banco)  y la subestimación del riesgo (el correo postal  es poco seguro ... nada).
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)