domingo, 21 de agosto de 2016

¿Hasta dónde llegar?

El otro día, cuando veíamos lo del phishing a Carrefour Pass, dejaba caer una cosa que me había llamado la atención: Carrefour no era titular de un dominio que muchos habríamos dado por bueno si nos lo encontramos por ahí:


Estuve echando un rato, no demasiado largo, con la cabeza puesta en los nombres de dominio razonables y el typosquatting. Y nuestro ejemplo no era un caso aislado:

Quisiera poner en orden mis ideas y no centrar el tema en Carrefour, que ciertamente no es la única organización con este tipo de problemas, ni en los registradores de estos dominios, sobre cuyas intenciones no podría pronunciarme. Ni tampoco sólo en los dominios registrados, pues hay otros parecidos a los anteriores que aún no lo están. Quisiera tener respuestas y sólo me salen preguntas.

Con el paso del tiempo, veo como términos que antes sonaban muy bien se van quedando cortos. Muy cortos. Como "Seguridad Informática", que al centrarse más en las herramientas que en los objetivos, fue (o está siendo, según el caso) paulatinamente sustituido por "Seguridad de la Información".

Pero la información es escurridiza. Difícil de guardar. Y las formas de llegar a ella son, por otro lado, prácticamente ilimitadas. En esas condiciones... ¿Hasta qué punto se puede esperar que una organización registre todos los dominios que pudieran confundirse o asociarse con sus servicios, productos y marcas, incluyendo aquellos que consisten en un error ortográfico o de escritura? ¿Hasta dónde sería preciso llegar en ese frenesí registrador?

Y, por otro lado... ¿puede considerarse seguro un servicio si existen nombres de dominios que podrían ser utilizados de forma creíble para hacer phishing relacionado con él?

¿Podría regularse de alguna manera este tema? ¿Tendría cabida, por citar algún ejemplo, en la normativa sobre Protección de Datos o en el Esquema Nacional de Seguridad?

Lo que sí tengo claro es que se trata de algo que incide directamente sobre la seguridad. Y no hablo ya de "Seguridad de la Información", término al que creo que también le llegó ya su hora. Seguridad financiera. Seguridad patrimonial. Seguridad jurídica. Seguridad personal y de la privacidad y la intimidad. Seguridad de la imagen y la marca...

Seguridad. Sin matices añadidos. O se mira de forma global o se pierden de vista los detalles.

No hay comentarios:

Publicar un comentario