Hoy la Universidad de Oxford decidió bloquear el acceso a una herramienta de colaboración casi imprescindible como Google Docs por algo que es crítico y nadie parece entender: la falta de velocidad de respuesta a problemas de seguridad que está caracterizando a las empresas de Internet.
Ayer Twitter mostró que no tiene ni previstos sistemas de validación doble ante el hackeo de una cuenta por más que esta sea de un anunciante verificado y que luego de 5 horas no podían hacer nada más que suspender la cuenta… 5 horas en las que la marca fue ridiculizada sin parar.
Hoy la Universidad de Oxford cuenta que como Google tiene su tráfico encriptado no pueden frenar el acceso a formularios y documentos de Google Docs usados como herramienta de phishing y que la respuesta promdio de Google iba de un par de semanas antes a casi 48 horas hoy en día… con sus “procedimientos mejorados”.
¿Cual es el problema? Básicamente la velocidad de respuesta en problemas de seguridad de las empresas que manejan gran parte de nuestras identidades online es similar a la mía al momento de enfrentar en 150mt a Usain Bolt y el tema es que su economía no escala para mejorar los sistemas.
Pongamos estos dos ejemplos; Google y Twitter son “gratis” y tienen cientos de millones de usuarios ¿en serio se imaginan que pueden tener moderadores humanos para verificar la creación de documentos? ¿en serio imaginan que invierten en algoritmos que detectan vulnerabilidades o intentos de Phishing? Creo que si, pero no tanto como deberían.
Y el gran problema acá es que la respuesta es “el producto es gratis, no podés quejarte”, no sólo la respuesta no se sostiene sino que el producto es gratis porque comercializan nuestro uso y nuestros datos; sin esos las redes no tienen sentido y lamentablemente la monetización de los mismos no parece alcanzar para mejorar la seguridad pero… miren esta frase oficial de Oxford University:
“Vamos a presionar a Google que tienen que ser mucho más sensible, si no proactivos, con respecto al abuso de sus servicios para actividades delictivas. Los constantes fracasos de Google para poner un alto al abuso de sus sistemas para actividades criminales está teniendo graves consecuencias para nosotros y para muchas otras instituciones.
Si OxCERT recibe un aviso de abuso criminal de sitios de la Universidad, apuntamos a tenerlo dado de baja en menos de dos horas laborales, si no sustancialmente más rápido. Incluso fuera de las horas laborales hay una buena probabilidad de que tomemos acciones.
Tenemos que preguntarnos por qué Google, con muchos más recursos a su disposición, no puede responder mejor. De hecho gran parte, si no todo, el proceso puede ser automatizado – y parte de su cultura corporativa es que los programadores y administradores de sistemas deben automatizar las tareas comunes de manera que puedan dedicar esfuerzos a asuntos más interesantes.
Google pueden no ser malos, pero su inacción está haciendo más fácil para los demás para llevar a cabo actividades malvadas utilizando los servicios proporcionados por ellos.”
Si la Universidad de Oxford un dia abandona estos servicios, si los anunciantes se dan cuenta que Twitter no es eficiente a nivel seguridad ¿no creen que es un momento en el que deberían tomarse en serio estos problemas? Al menos cuando, irónicamente se hace público el hack constante desde redes chinas a servicios de consumidores.