Seguridad mediante obscuridad

llave bajo el tapeteHay quienes creen que si un atacante no conoce la URL de una página tienen seguridad, y en parte tienen un poco de razón; pero sólo si además de no conocer la URL, esta está protegida por contraseña y tiene tal vez algún otro mecanismo de seguridad. Aunque a lo que realmente se refiere el término seguridad mediante obscuridad es a usar la obscuridad como mecanismo para aumentar la seguridad. Yo en lo personal creo que no lo hace.

Muchas páginas de internet tienen una validación de usuario y contraseña, a veces hasta tienen SSL, a lo cual muchos dirían “esta bastante seguro”; pero cuando vemos más detenidamente la dirección a la que te lleva depués de iniciar sesión correctamente, así como todas las que le siguen, nos damos cuenta que se puede acceder ahí sin haber iniciado sesión forzosamente. Habrá algunos que no sepan que hay que cuidarse de eso, pero hay otros que garantizan que eso es seguro, además argumentado que es para facilitarle la vida a sus empleados y poder guardar en favoritos la dirección, dejando correr el riesgo y siendo algo totalmente inseguro y falso.

En cualquier momento alguien podría intentar atinarle a alguna de las páginas y no es muy difícil, pensando en que el login se encuentre en pagina.com/system/login.php, podemos intentar en users.php, o en menu.php o menu.html, cualquiera de esas páginas nos llevará a una que contenga toda la lista de links a las demas, y si su única protección es “que nadie conoce los links” estarán en graves problemas. Otra posible técnica es una búsqueda en google de “Index of” site:pagina.com, ésto nos desplegará todos los directorios que ha indexado google con sus respectivos contenidos; a menos que se configure el servidor web para negar el listado de los directorios del sitio.

Y así hay muchas razones por las cuales no debemos confiar en la Seguridad mediante obscuridad

Otro conexto en el que aplica este término es quien dice el código cerrado es mucho más seguro, cosa que para mi punto de vista es totalmente falso, y lo ha demostrado Linux. Tal vez si alguien analiza el código fuente de Linux le ayude a encontrar alguna falla, pero definitivamente no va a ser como en Windows que 10 años despues encuentran una falla crítica en Windows 98 que no se habían dado cuenta, y que ha sido heredada por todo el árbol genealógico de Windows hasta llegar a Windows Vista.

Seguridad mediante obscuridad es como dejar la llave de tu casa abajo del tapete o en la maceta, tal vez nadie la encuentre, pero tal vez sí.