La Web 2.0, esa evolución de las aplicaciones tradicionales hacia aplicaciones web enfocadas al usuario final, trae consigo un sinnúmero de servicios y conceptos. En este artículo se presentarán algunos de ellos.
por Osvaldo Callegari
El nuevo hito trascendente, una nueva concepción comunicacional, la seguridad incorpora cambios de filosofía.
El espectro de aplicaciones en la Web 2.0 es tan amplio que bien vale decir una analogía con respecto a Internet; en realidad es un cambio de paradigma provocado por los mismos usuarios que necesitan cada día estar más y más comunicados, ese cambio es el que produce la incorporación de nuevas ideas sobre la gran plataforma. La voracidad comercial hace que cada persona que se comunique con otra tenga la necesidad de comprar nuevos productos y soluciones para estar en la cresta de la ola. Por ello es importante saber que segmentos nos resultan útiles para la empresa y a nivel personal
Dentro de las consideraciones vamos a separar por módulos y por tipo de función todos los componentes de Web 2.0 de manera que podamos profundizar cada sección.
Al ser una gran expansión prácticamente libre de controles, dados que la gran mayoría son aplicaciones de código abierto, países que entienden que es necesario definir estándares para la seguridad de la web 2.0 como es el caso de Inglaterra, han comenzado a establecer métodos y normas de funcionamiento de ciertos sistemas relacionados en el área de la educación y aprendizaje.
La autoridad de información (information authority) está desarrollando reglas que permitan tener mayor seguridad a través del consenso de las organizaciones de enseñanza con su opinión.
La IA está trabajando para determinar cuál es la mejor plataforma basada en web en la cual las personas pueden cruzar información en las comunidades en línea para discutir sobre problemas y compartir mejor sus ejercitaciones.
“Ellos ven que el desarrollo de un simple sistema en línea puede conectar a personas con personas y a la información como parte vital de su trabajo”, dice Dave Briggs, director de cambios en la IA, además que “al establecer comunidades en línea en este medio puede brindar a la gente la posibilidad de trabajar mancomunadamente y enfrentar los inconvenientes que se puedan presentar”.
La administración del conocimiento a través del medio es un gran desafío y mientras tanto hay una o dos pequeñas plataformas existentes en las cuales el usuario puede compartir información, se adolece de otros lugares donde ir. Ellos les han dicho a grupos emprendedores que el incorporar nuevos proyectos a la Web 2.0 con la correspondiente puesta en marcha y depuración es de gran ayuda para establecer nuevas normas. La IA pretende establecer una prueba piloto en los próximos meses para que todos los interesados puedan probar y dar su opinión.
Pueden consultar información adicional de IA en http://www.theia.org.uk
Podemos agregar que este salto tecnológico es tan abrupto que todo lo que se hacia en forma local está disponible, digamos de alguna manera, en todo el mundo, en este punto es necesario tomar las precauciones necesarias a la hora de migrar a 2.0, asesorarse de que herramientas de seguridad están disponibles, cuáles han sido probadas y cuáles están en vías de certificación. Este nuevo universo obliga a realizar un nuevo viaje de conquista de la tecnología ahora gobernada por los usuarios.
Es tan vasto el número de servicios y conceptos, que obliga a dedicarle varios capítulos para tener una idea aproximada de los alcances, funciones y beneficios. Algo que es necesario destacar como un factor muy importante en la Web 2.0 es el manejo del video que ha transformado la manera en que percibimos las imágenes, ya que están disponibles en cualquier lado y en cualquier momento.
Detallamos algunos tópicos importantes a tener en cuenta.
Especificaciones adicionales
•El software: no es necesaria su instalación, las herramientas necesarias para trabajar se encuentran en la red, los estandares de los sitios limitan el proceso debiendo adecuarse a sus formatos.
•Almacenamiento de los Blogs: en esos sitios se puede tener página web gratuita con el permiso de publicar información, permitiendo al público en general emitir sus opiniones y respuestas.
•Colaboración en línea: existen diversos sitios que permiten construir proyectos, documentación o participación como es el caso de Wikipedia, Youtube, Flickr , Delicio.us, digg, myspace.
•Procedimientos actualizados: en los inicios cada usuario incorporó información de cualquier forma y cantidad, se elaboraron nuevos procedimientos para que la gestión en general fuera organizada.
•Brechas de seguridad: existe la necesidad imperiosa de establecer estrategias de seguridad dentro del intercambio de información, provocando que exista el robo de identidades y de información.
•Inversión en seguridad: la seguridad es vital en este tipo de tecnología, las empresas invierten en productos para proteger sus datos y son reticentes al uso de la web en las aplicaciones automatizadas.
•Propagación de virus: inevitablemente no podían estar ausentes estos actores del delito, con la salvedad de que ahora no sólo dañan información sino que la roban para empresas de publicidad de productos por spam.
•Nuevas redes colaborativas: con recursos de comunicación y de publicación los usuarios han establecido comunidades virtuales donde se intercambian información para el aprendizaje o el desarrollo de proyectos en tiempo record.
•Buscadores versión 2.0: los motores de búsqueda, como el caso de Google, que ha sido comprado para el uso interno, sean con fines comerciales, educativos y o empresariales.
•Productos transformables en servicios: un portal por ejemplo, puede ser una nueva herramienta para la empresa donde se puede manejar en forma privada para realizar todas sus gestiones a lo largo de un país. Es posible realizar la facturación de productos, seguimiento de cliente, ventas en líneas y mucho más. El intercambio de la información es en tiempo real.
•Los buscadores se ordenan: esta transición de la información exigió que los motores de búsqueda se acotaran más por rubros y sub-rubros para establecer búsquedas ordenadas.
•Nuevos conceptos de la Web 2.0: la necesidad de los usuarios de tener encuentros y colaboración con la posibilidad de trabajar sobre un esquema en la publicación de la información hizo que existan múltiples iniciativas para crear portales que manejen temas diversos con la exigencia de tener un orden establecido.
•Convergencia de los medios: Web 2.0 hizo que los medios de comunicación actuales estén directamente vinculados entre si, es el caso del vídeo, de los chats, los foros, el podcast, estaciones de radio.
Mensajeria instantánea
La mensajería instantánea ha crecido muy rápidamente desde el momento que las empresas han legitimado el método de comunicación para el uso personal y de negocios.
Las aplicaciones IM están disponibles en diversas plataformas en un rango que va desde las tradicionales computadoras de escritorio hasta los celulares inteligentes y las agendas personales. Esta propagación del uso de mensajería instantánea puede aumentar significativamente los riesgos de seguridad para las organizaciones y los usuarios.
Los ataques incluyen variantes de gusanos de correo electrónico, botnets que comprometen la información privada de cada persona.
El riesgo en general de las áreas relacionadas con las IM son:
•Malware
•Gusanos
•Virus
•Troyanos
•Bots controlados vía IRC (canales de mensajería instantánea)
Confidencialidad de la información
Los datos transferidos a través de canales de mensajería puede estar afectada por la divulgación en donde la misma pasa por varios puntos antes de llegar a destino en su comunicación. Los mensajes pasan generalmente a través de redes y servidores que no están bajo control. Algunos proveedores de IM ofrecen el servicio de compartir archivos para remediar este flagelo.
El proceso de compartir archivos puede dejar duplicados de documentos confidenciales en carpetas de los usuarios después que se terminó su sesión.
El excesivo ataque de las redes, negación de servicios, utilización en demasía de la red puede deslegitimar el uso.
Las aplicaciones pueden verse afectadas por las vulnerabilidades que contienen las IM, que pueden comprometer seriamente los sistemas.
Se puede agregar que las vulnerabilidades traen aparejados posibles errores en el momento de dar soporte a los sistemas como así también a sus interfaces. Algunas aplicaciones de IM pueden afectar procesos del sistema operativo de las computadoras generando nuevas clases de amenazas. Afirmando que se llama a un módulo por vez, los procesos de seguridad se construyen en niveles altos de programación facilitando la creación de nuevos vectores de amenazas.
Las IM móviles tienen riesgos de seguridad más significativos asociados con los programas IM de escritorio, los celulares con IM a menudo no contemplan claves de protección de acceso o encriptación local de los datos almacenados. El resultado es que los ataques enmascarados contra correos electrónicos y contactos de IM son sencillos de implementar desde los celulares extraviados. La naturaleza propia de los móviles complica la implementación de métodos de seguridad acordes a las exigencias inalámbricas.
Los mensajeros instantáneos (IM) mas conocidos son: AOL instant Messenger, ICQ, Jabber, MSN, Skype, Google Talk, Trillian y Yahoo! Messenger. Los protocolos que utilizan son IRC, MSNP, OSCAR, SIMPLE, XMPP y YMSG entre otros.
Los sistemas de mensajería están disponibles en la mayoría de los sistemas operativos.
¿Cómo protegerse de las vulnerabilidades y del uso no autorizado de IM?
•Establecer políticas para el uso aceptable de mensajería y asegurar que todos los usuarios apliquen esas políticas y entiendan claramente los riesgos potenciales.
•Establecer políticas para el uso móvil del servicio, incluyendo contraseña y requerimientos de encriptación.
•Crear configuraciones propias y estándar para que los usuarios no puedan transferir archivos.
•En general a los usuarios no se les debe permitir instalar aplicaciones, esto lo debe hacer el área de sistemas.
•Restringir los poderes administrativos o los superpoderes en los usuarios con una regla de sus privilegios, crear cuentas separadas para usar en los horarios de oficina, la navegación establecida por sitios permitidos y el control de la navegación en línea.
•Asegurarse que los proveedores de aplicaciones envíen sus parches de actualización relacionados con la mensajería y los parches propiamente dichos del sistema operativo.Emplear productos antivirus y antispyware.
•No utilizar servidores de mensajería instantánea externos.Proveer un servidor comercial similar a un Proxy o servidor interno.
•Crear comunicaciones seguridad entre empresas confiables.
•Configurar apropiadamente los caminos de las comunicaciones de manera segura, existen IM capaces de establecer conexiones mediante enmascaramiento en http.
•Instalar productos específicos para la seguridad de mensajería.Filtrar todo el tráfico a lo largo de un servidor de autenticación para proveer capacidades de filtro adicional y o monitoreo de la red.
•Bloquear el acceso público de servidores externos que no han sido debidamente autorizados.
•Bloquear los puertos de mensajerías mas populares.
•Crear túneles para canales IM.
•Realizar contrato de confidencialidad con las empresas asociadas para que ellos aumenten su interés en proteger los datos del lado externo.
•Utilizar control de acceso y o contraseñas para proteger las sesiones de los usuarios y o las presentaciones.
En los próximos capítulos vamos a comentar más vulnerabilidades de la Web 2.0
Las marcas y nombres mencionados en este artículo son marcas y nombres registrados de sus respectivas empresas, algunos de los conceptos vertidos son autorizados por escrito de su autor. Sans.org: organización para la seguridad de los datos. IA: Informatión Authority, England.
* Si desea puede escribirle al autor para dudas, consultas o inquietudes sobre este tema escribir a [email protected]
