El auge de este tipo de software se ha visto frenado. Muchas soluciones existentes no responden a las expectativas del producto, pudiendo encontrar vulnerabilidades que afectan a la seguridad de la información. Confide es un claro ejemplo de esto que estos diciendo. Expertos en seguridad han detectado varios fallos de seguridad que dejaban al descubierto información de los usuarios del servicio.
Tal y como se suele decir en estos casos, la aplicación no resulta tan segura como parece. Y no solo es. Es menos segura que otros servicios de mensajería convencionales.
Este tipo de problemas han sido los detonantes del frenazo que han sufrido estas aplicaciones, sobre todo dentro del mundo empresarial. Las tradicionales emplean cifrado extremo a extremo, por lo que han mejorado la seguridad de forma considerable.
Lo curioso de todo esto, es que Confide posee un cifrado considerado con un grado militar extremo a extremo, de ahí que no se entienda la existencia de varios problemas de seguridad que dejan al descubierto la información.
Contraseñas básicas frente ataques de fuerza bruta
El primer fallo de seguridad es incomprensible. Permite a los usuarios fijar aplicaciones básicas, un problema si los atacantes toman la decisión de llevar a cabo ataques de fuerza bruta contra la cuenta. Es decir, no se impone al usuario unos requisitos mínimos para fijar la contraseña de la cuenta del servicio. Teniendo en cuenta que se trata de un servicio de mensajería seguro, es un fallo importante. expertos en seguridad informan que la aplicación no está preparada para detener estos ataques, así que el número de intentos sería ilimitado.
El envío de datos en Confide no siempre es seguro
Aunque la mayor parte de los datos sí se envían a través de conexiones cifradas, expertos han descubierto que el envío de notificaciones no se realiza de forma segura. A todo esto, hay que sumar que no existe un sistema para comprobar la veracidad de los mensajes recibidos. Esto quiere decir que en el caso de que los datos hayan sufrido un ataque Man-in-the-Middle no se podría comprobar la veracidad del contenido.
Cifrado no implica que sea seguro
O lo que es lo mismo, una cosa no implica la otra. Lo que queremos decir es que existen muchos servicios que utilizan cifrados para el envío de la información. Sin embargo, el uso de estos no implica que los datos viajen de forma segura. Una mala implementación de los mecanismos de seguridad expondría la información enviada.
Puede decirse que es lo mismo que ha sucedido con el servicio Confide. Utiliza cifrado de las comunicaciones entre extremos, pero este no está sustentado de forma correcta. Al final, pequeños fallos de seguridad pueden suponer un problema mucho mayor, anulando por completo el uso de certificados.
Este tipo de errores son los que han dilapidado muchas aplicaciones que se ofrecían tanto a usuarios como empresas con una seguridad destacable. Al final, no han resultado ser mejores que las tradicionales, pudiendo incluso ser peores.
Fuente: https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
