Entrevista al equipo Backend de Tuenti sobre seguridad y funcionamiento interno

Normalmente estamos acostumbrados a encontrar entrevistas que hablan sobre Tuenti desde un punto de vista más comercial, pero también podemos encontrar algunos otros casos en donde se aportan datos de como se mueven las cosas desde dentro de la red social gracias a entrevistas a trabajadores de Tuenti. En este caso se realizó una entrevista al equipo de Backend de Tuenti desde el punto de vista de la seguridad y funcionamiento interno.

La entrevista fue realizada hace algunos días a Guillermo Pérez (responsable de Backend y Seguridad de Tuenti) gracias a los chicos de SecurityByDefault.com, web en donde también se ha hablado en varias ocasiones sobre la seguridad de la red social informando de temas como el posible espionaje en conversaciones del chat de Tuenti, suplantar la identidad y otras acciones ilegales.

La entrevista es bastante extensa y está estructurada en cinco partes:  seguridad del lado del equipo de desarrollo, del de la empresa, acerca del reporte de vulnerabilidades, seguridad/privacidad y finalmente un par de ‘offtopic’. Puedes leerla completamente en la web de Security By Default o incluso descargarla en PDF.

Las preguntas y respuestas son de todo tipo, pero con contestaciones como la siguiente resaltan que el tema de la seguridad en la red social se mejora cada día;

 

  • ¿Cuantos reportes recibís y cual es su criticidad media? ¿Cuáles son los tiempos de actuación?

En el último trimestre tan sólo recibimos cuatro notificaciones de siete vulnerabilidades, y el anterior fue aún mejor. Nuestro compromiso es solucionar las incidencias de seguridad en menos de 24h, aunque normalmente tardamos entre 1 y 2 horas.

La tendencia es claramente positiva, con cada vez menos incidencias (sobre todo en productos nuevos que antes eran un problema), siendo la criticidad de las mismas cada vez menor.
El fallo más habitual suele ser algún tipo de inyección XSS, que tienen una criticidad limitada ya que requieren que el atacante desarrolle una plataforma para el ataque.

Aunque no es una vulnerabilidad en sí misma, con diferencia, el mayor problema de seguridad es el phising. Normalmente cada semana aparece alguna página nueva dedicada a engañar a los usuarios y robar credenciales. Bloqueamos la URL de inmediato y contactamos con los hostings y proveedores de DNS para cerrar la página lo antes posible. Tenemos contratada una empresa externa para el proceso, y actuamos por vía judicial si se averiguan datos de los implicados.
Ser rápidos es imprescindible para limitar la posible exposición de los usuarios y el beneficio obtenido por los atacantes. Cuanto menos sea el beneficio, menos interesante será Tuenti como plataforma a atacar, y por ello nos lo tomamos muy en serio.

También tratamos de concienciar al usuario, colaboramos con entidades públicas y privadas que trabajan en éste área explicando a los jóvenes cómo controlar su privacidad en Internet y disponemos de páginas de ayuda, pero el factor humano es siempre el eslabón más débil.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*Acepta la Política de Privacidad