¿Por qué los bots de mensajes son una posible amenaza de seguridad?
En la conferencia para desarrolladores de Facebook la compañía reveló la primera ola de Bots para Messenger. Estos programas interactivos y automatizados responden al lenguaje natural y les permite a los usuarios comprar, pedir comida, leer las noticias y obtener pronósticos del tiempo personalizados –todo sin salirse de la aplicación Messenger.
Además, la aplicación de mensajería Kik también reveló su tienda de bots, mientras que Slack y Telegram han estado experimentando con bots desde hace un tiempo. Microsoft también ha hecho un empuje hacia los bots en su conferencia Build 2016, introduciendo herramientas de desarrollador para crear bots para Skype y otros servicios de Microsoft.
Aunque los bots son indudablemente de gran importancia tecnológica en estos momentos, un área de la que hemos escuchado poco es sobre su seguridad. La manera en cómo estas plataformas enfrentarán el asunto de la seguridad no está muy claro todavía, a sabiendas que incluso los botos pudieran presentar una amenaza única comparada a los virus tradicionales y otros softwares maliciosos, según dicen los expertos.
Justo ahora, la mayoría de los bots tienen un enfoque muy angosto: puedes pedir comida o enterarte de las principales noticias o comprar un nuevo par de zapatos –tareas a las que estás acostumbrado a realizar a través de páginas web o aplicaciones. Pero, a diferencia de la web, que usualmente provee unas pocas señales de que la interacción es segura (por ejemplo, el símbolo del candado en tu explorador, un certificado de seguridad, o por lo menos la dirección URL), no existe manera obvia para distinguir un bot bueno de un bot malo.
Tabla de Contenidos
No hay manera obvia de distinguir si un bot es seguro o malicioso
Lo que es peor, los bots no han estado por mucho tiempo como para que los usuarios los conozcan lo suficiente para distinguir a aquellos de fuentes legítimas de aquellos actores potencialmente malignos. Piensa en las estafas de suplantación de identidad en los correos electrónicos: Aunque no es poco común que un estafador te envíe un correo que pretenda ser, por ejemplo, de tu institución financiera, la mayoría de los softwares de correos electrónicos se han hecho muy buenos en identificar este tipo de mensajes de modo que vengan acompañados de una advertencia o vayan directamente a tu carpeta de correos no deseados.
Pero no existe un mecanismo análogo para los bots. Hipotéticamente, podrías empezar a interactuar, digamos, con un bot de compras que no tienes idea de que es falso y su intención es robarte los datos de tu tarjeta de crédito u otra información personal.
Amenazas de seguridad: Lo que está en riesgo
Aunque otros tipos de bots han sido seguidos muy de cerca en la industria de la seguridad por muchos años, las conversaciones con bots que enfrentarán los consumidores en Facebook Messenger, Slack, Kik, Telegram y otras aplicaciones sociales son todavía lo suficientemente nuevas como para no haber sido estudiadas extensamente. Aun así, tal como las aplicaciones móviles pudieran tener malware escondido, los bots también pudieran presentar una amenaza significativa a los usuarios.
Dado que los bots están incrustados en las aplicaciones de mensajería y redes sociales que ya estamos usando, los bots pudieran estar mejor posicionados para llevar a cabo ciertas tareas como aprovecharse para minar nuestra información personal o copiar nuestras credenciales de inicio de sesión, dice Rami Essaid, CEO de Distil Networks, una compañía de seguridad que se especializa en los ataques de bots.
“Lo que es potencialmente peligroso es que ellas están construyéndose dentro de las aplicaciones. Sin una tonelada de escrutinio pudiéramos tener a unos potenciales caballos de troya convirtiéndose en aplicaciones, no tienen que trabajar desde afuera hacia dentro –ya están dentro.”
Essaid resalta que aunque es muy temprano como para que esto sea una amenaza inmediata –estamos apenas empezando a ver la primera ola de bots conversacionales en las aplicaciones de redes sociales- las plataformas necesitarán avanzar para identificar y eliminar los bots maliciosos.
“Una vez que puedas ejecutar el código en cualquier plataforma, el mundo estará en tus manos en términos de lo que puedes y no puedes hacer, y todo se reducirá al escrutinio de Facebook y esas aplicaciones de mensajería para revisarlas y mantenerlas limpias,” dice Essaid.
¿Y qué sucede con las plataformas?
Lo complicado de esto es que a diferencia de las tiendas de aplicaciones, que por lo general están bajo supervisión de Apple y Google, depende de cada aplicación vigilar los bots de su plataforma. Y cada aplicación tiene políticas diferentes en la manera en la que tratan con los desarrolladores.
Algunas aplicaciones, como Telegram y Slack, son relativamente abiertas –casi cualquier desarrollador puede crear un bot y ponerlo a disposición de otros usuarios. Facebook, por otro lado, toma un enfoque mucho más cauteloso. Los bots del Messenger están todavía en fase beta así que cada bot está siendo revisado individualmente antes de ser aprobado y lanzado para todos los usuarios de Facebook.
De hecho, Facebook dice que la protección de la seguridad y privacidad de sus usuarios es uno de los factores más importantes en el por qué tienen un enfoque más lento.
“Tenemos mucho de políticas de seguridad y esa es realmente una de las razones por la que estamos lanzando este proyecto más lento por los momentos,” dice el director de gerencia de productos para Messenger, Peter Martinazzi. “Comenzó como un programa beta porque queremos asegurarnos de que tenemos las mejores maneras de corregir las violaciones de seguridad apenas ocurran.”
Rehusó a discutir los detalles sobre cómo cada desarrollador es investigado individualmente pero resaltó que la compañía está haciendo cumplir varias políticas de plataforma en cuanto a la seguridad para proteger a los usuarios. La compañía estará también mirando muy de cerca cómo los usuarios interactúan con los bots, dijo.
“Hay muchas señales de los usuarios, como cuando alguien marca algo como spam o si están bloqueando un bot, y todo eso será un factor de ayuda en cómo monitorearemos cuando las cosas se comporten bien y las personas estén teniendo una buena experiencia.”
Aunque el escrutinio cuidadoso es algo indudablemente bueno, este enfoque es lejos de ser infalible. Miren a Apple, la cual, a pesar de tomar cuidados similares en la revisión minuciosa de las aplicaciones antes de llegar a la Apple Store, igual ha permitido que docenas de aplicaciones con software maligno se hayan filtrado en años pasados. Parece algo casi inevitable que un bot pudiera pasar incluso las políticas de seguridad más estrictas una vez que las plataformas de mensajería comiencen a crecer.
Deja una respuesta