Sitios con Backdoors profesionales.

El presente artículo es sobre mi experiencia al configurar los firewall de una empresa que desea limitar el acceso de sus usuarios a sitios de ciertas categorías como son Redes Sociales, News, P2P, etc.

Al inicio el problema no fué configurar los parámetros de las herramientas para controlar el contenido de las páginas que visitan los usuarios, el verdadero problema vino después, al autorizar las páginas de los socios comerciales y socios operativos.

Es difícil entender que muchos desarrolladores de páginas o sitios-web (como los conozcan) olviden los controles de seguridad y omitan entender que quizás alguno de sus usuarios no tendrá permisos para ver más dominio que el que aloja a la aplicación; es decir.. muchos programadores hacen ligas a herramientas, subpáginas o páginas de segundos y terceros que pertenecen a otro género; entendamos por género el tipo de página o la clasificación de la misma por su contenido.

En éstas aventuras nunca faltan las ligas al facebook, youtube o twitter las cuales estan bloquedas en la mayoría de las empresas (eso es para público abierto, no clientes cautivos) pero he encontrado páginas "carísimas" que tienen ligas a hotmail, msn, news, tiendas, games y hasta casinos en línea; solo porque ése sitio les proporciona una herramienta (les deja utilizar sú código sin ninguna garantía) que acorta el tiempo de desarrollo ("¡¿porque hacerlo si ya está hecho y es gratis?!").

Lamentablemente todos los sitios así son bloquedos y una parte de la página queda infuncional o con bastantes fallas. Éste tipo de desarrollo yo lo calificaría como con "vicios ocultos", ya que el que "paga" por el derarrollo realmente nunca sabe de lo que se ha hechado mano para crearle la solución web.

Los corporativos, instituciones o pequeñas oficinas que desean implementar un asesor de contenido deben saber que ésto puede suceder con el acceso a las páginas de sus socios comerciales ( o socios operativos) y la culpa no la tienen ellos ni el implementador de la seguridad.

Los desarrolladores de aplicaciones deben entender que ahorrar tiempo no debe significar "sembrar" problemas futuros, así que deben evitar insertar accesos a sitios de terceros (o segundos) sin justificación y sin medición de los riesgos a los que se expone el sitio desarrollado.

Es todo amigos, cualquier duda o comentario, estoy a sus órdenes.

Ing. Marco Escalante