Entrevista de Cybernews con Sascha Pfeiffer
Detectar contraseñas comprometidas hasta que es demasiado tarde es una tarea difícil, solo hay algunas cosas vagas y obvias a las que prestar atención.
Contraseñas inseguras, reutilizadas y débiles son una de las principales amenazas de ciberseguridad que afectan no solo a los usuarios de redes sociales, sino también a grandes empresas e instituciones gubernamentales. Las contraseñas expuestas equivalen a robo de identidad, pérdidas financieras y muchas más consecuencias a largo plazo.
Ahora, la sociedad es consciente de la importancia de los gestores de contraseñas. Sin embargo, es bastante difícil encontrar las características más importantes a buscar y es crucial saber qué medidas adicionales mejoran la seguridad en línea. El Director General de Psono gestor de contraseñas, Sascha Pfeiffer, acordó compartir sus opiniones sobre ciberseguridad con el equipo de Cybernews.
Volvamos al principio. ¿Cómo fue el desarrollo de Psono?
Fue en 2015 cuando decidí programar Psono. No existía ninguna solución en ese momento que permitiera a una empresa alojar un servicio en sus servidores para gestionar contraseñas con cifrado del lado del cliente de todos los secretos almacenados. Hablé mucho con mis amigos sobre cómo debería funcionar o cómo era mi enfoque criptográfico y en algún aspecto probablemente los aburrí a muerte. La primera versión pública se lanzó en 2017 y luego se amplió con el tiempo. Primero con extensiones, archivos, aplicaciones para iOS y Android. Todo eso solo como un proyecto paralelo, básicamente todo mi tiempo libre, fines de semana y vacaciones se destinaron al producto. En 2020, decidí que quería seguir adelante con esto y fundé esaqa GmbH, lo cual fue una decisión difícil de tomar en ese momento. El COVID estaba en su punto máximo y el papel higiénico era escaso… Pero la elección valió la pena y ganamos bastantes clientes incluso sin ningún marketing real, solo personas que usaban nuestra edición comunitaria antes estaban comprando nuestro producto empresarial. La elección del nuevo gobierno alemán con el compromiso de que los usuarios tengan derecho al cifrado fue un gran alivio. Antes parecía que el estado alemán podría requerir que los proveedores de software implementaran puertas traseras, lo cual ahora está completamente fuera de la mesa.
¿Puedes presentarnos tu gestor de contraseñas? ¿Cuáles son sus características clave?
Psono te permite almacenar y compartir contraseñas de manera segura con compañeros de trabajo y miembros de la familia. Hay un par de puntos que hacen que Psono se destaque. Primero, puedes alojar cosas en tus servidores. Este enfoque descentralizado lo hace extremadamente resistente contra ataques en comparación con los proveedores que alojan cosas de manera centralizada para sus clientes, donde una sola vulnerabilidad expondrá todas las contraseñas de todos los clientes. La pila de Psono es de código abierto y, como tal, puede ser auditada en busca de vulnerabilidades y puertas traseras. Como proveedor alemán, ofrecemos alternativas comprometidas con la privacidad del usuario a otras soluciones. Todas las contraseñas y otros secretos se cifran antes de que salgan del dispositivo del usuario y solo pueden ser descifrados por el usuario. Todas las entradas se pueden compartir con otros usuarios y un extenso concepto de permisos con grupos permite configuraciones extremadamente flexibles, lo que lo convierte en una opción perfecta para empresas.
¿Cuál fue la visión detrás de hacer Psono de código abierto? ¿Puedes contarnos más sobre los pormenores del software de seguridad de código abierto?
Ser de código abierto es parte de nuestro modelo de seguridad. No debes confiar en ningún software que no puedas auditar. Esto es especialmente cierto para uno de tus softwares más cruciales, un gestor de contraseñas. Por supuesto, hay un amor intrínseco por el software de código abierto. Cuando pienso en cómo me sentí cuando mi primer Ubuntu arrancó en mi laptop, me vuelvo bastante nostálgico. Entonces, todos estamos sobre los hombros de gigantes y sin software de código abierto, todos viviríamos en la edad de piedra de IT. Ser de código abierto también tiene otras ventajas, ya que proporciona acceso a algunos canales de marketing que están disponibles exclusivamente para proveedores de código abierto.
Algunos expertos dicen que actualmente nos estamos moviendo hacia un futuro sin contraseñas. ¿Cuáles son tus pensamientos sobre este enfoque?
La tendencia suele ser repetida por los proveedores de soluciones que intentan vender su software como la solución a este problema. Creo que las contraseñas no desaparecerán en los próximos 30 años. El problema es que no ha surgido una solución adecuada hasta ahora. Por lo general, tienen múltiples desventajas. Las herramientas heredadas normalmente no se pueden conectar. Implementar una solución en todos los dispositivos, software y sistemas es difícil. Las opciones públicas como todos esos servicios OAuth imponen el riesgo de que el servicio cierre tu cuenta o te niegue el acceso por alguna razón, lo que te llevaría a perder todas tus cuentas conectadas. Las contraseñas tienen muchos problemas, sin embargo, todas las alternativas conocidas actuales tienen sus problemas.
¿Has notado alguna nueva amenaza que surja como resultado de los eventos globales actuales?
Quiero ser cauteloso, pero honestamente no creo que estén surgiendo nuevas amenazas respecto a los eventos globales actuales. Seguramente hay un mayor deseo de seguridad y protección, pero el lado de la seguridad informática solo podría beneficiarse moderadamente. Esto seguro puede cambiar bastante rápido si se hacen públicos nuevos hacks.
En caso de una violación de seguridad, ¿cuáles deberían ser los primeros pasos para que una empresa proteja su carga de trabajo así como los datos de sus clientes?
El primer paso sería la mitigación. Intenta desconectar el internet, la red, apagar servidores y servicios para prevenir cualquier daño adicional. El segundo paso sería reiniciar los servicios de nuevo de manera aislada y tratar de identificar qué sucedió, cómo sucedió, potencialmente con ayuda externa de profesionales que te ayudarán a responder estas preguntas. El tercer paso sería informar a los clientes afectados. Explicar los detalles y los riesgos potenciales. Cuando pongas en funcionamiento tus servicios de nuevo, rota las credenciales y asegúrate de que el atacante no dejó ninguna puerta trasera que pudiera usar para recuperar acceso a los sistemas. Investiga cómo prevenir problemas de naturaleza similar en el futuro e implementa esas medidas de protección. Por lo general, ahí es donde entran los gestores de contraseñas si la empresa aún no tiene uno.
¿Cómo puede alguien saber si su contraseña ha sido comprometida? ¿Hay algunas señales de advertencia tempranas que a menudo se pasan por alto?
Por lo general, es bastante difícil detectar contraseñas comprometidas, solo hay algunas cosas vagas y obvias a las que prestar atención. Como actividad sospechosa, notificaciones de correo electrónico de contraseñas cambiadas o inicios de sesión desde ubicaciones desconocidas, o transferencias bancarias que no has autorizado. Psono tiene una buena función incluida que verifica servicios públicos como haveibeenpwned.com en busca de violaciones de contraseñas conocidas, por lo que detectará si tu contraseña alguna vez fue comprometida. Por lo general, es mejor pensar de manera preventiva. Lo que puedes hacer para evitar que tu contraseña sea comprometida es usar contraseñas verdaderamente aleatorias y nunca reutilizar contraseñas; ahí es donde un gestor de contraseñas es tu única opción.
Además de una autenticación sólida, ¿qué otras herramientas de seguridad crees que todos deberían incorporar en su estilo de vida?
Hay muchas herramientas, pero como la mayoría de los ataques se realizan por correo electrónico, diría que un proveedor adecuado de servicios de correo electrónico es tu primera línea de defensa. Gmail y Outlook hacen un muy buen trabajo al prevenir el spam, phishing y bloquear contenido sospechoso. La segunda herramienta más importante que puedes implementar es la autenticación de dos factores. Úsala donde puedas. Nos asociamos con Yubico para implementar el soporte de Yubikeys en Psono (junto con alternativas como Google Authenticator y otros). Los segundos factores previenen la mayoría de los inconvenientes por los que se critican a las contraseñas.
Comparte con nosotros, ¿qué es lo próximo para Psono?
No sé por dónde empezar. En cuanto al producto, actualmente estamos trabajando en una nueva versión de nuestro cliente web que fue completamente reescrita. La aplicación es otro gran proyecto ya que queremos hacer de ella la mejor aplicación de clase para contraseñas. En cuanto al negocio, aún no tengo permitido decir nada, pero hay algunas grandes corporaciones en camino que brindarán a los clientes un amplio acceso a gestores de contraseñas.
