4 medidas de seguridad de Chatbots que absolutamente necesitas considerar

Por: Wario Duckerman

¡No será una sorpresa que los chatbots estén en todas partes y estén aquí para quedarse! De hecho, el 80% de las empresas quiere tener algún tipo de chatbot implementado para 2020.

Los chatbots son nuestros amables asistentes que nos facilitan la vida al ayudarnos a reservar vuelos, citas, comprar, obtener respuestas a nuestras preguntas, etc. También permiten a las empresas reducir el costo del servicio al cliente y hacer que sus agentes de atención al cliente atiendan situaciones más complejas.
¡Ganar-ganar! 😉

Por lo general, los chatbots que se utilizan en industrias como el comercio minorista, la banca, los servicios financieros y los viajes manejan datos muy importantes como tarjetas de crédito / débito, SSN, cuentas bancarias y otra información personal confidencial (información de identificación personal). La recopilación de este tipo de datos es vital para que el chatbot haga su trabajo, por lo tanto, los chatbots y otros asistentes digitales se convierten en un objetivo atractivo para ser explotado por un atacante para robar información de los usuarios.

Al igual que cualquier nueva tecnología, el beneficio viene con una gran responsabilidad y riesgos de seguridad cibernética. Por esta razón, es muy importante conocer las prácticas de seguridad que comúnmente se implementan cuando se trabaja con chatbots. En su mayor parte, los chatbots no presentan problemas de seguridad que aún no se hayan descubierto y mitigado adecuadamente .

Estar al tanto de las prácticas de seguridad no solo lo ayuda a asegurarse de que su chatbot esté seguro, sino que también le da la tranquilidad de que su chatbot no estará en riesgo 🙂

Tipos de preocupaciones de seguridad

Las preocupaciones de seguridad se dividen en dos categorías principales:

  1. Amenazas

    Las amenazas suelen definirse como formas en que un sistema puede verse comprometido.
    Las amenazas pueden incluir eventos como suplantación de identidad, manipulación indebida, repudio, divulgación de información, denegación de servicio, elevación de privilegios y muchos más.
    Después de un ataque, los hackers pueden amenazar con exponer información o vender información personal en la web profunda. Cada ataque diferente debe ser mitigado con sus respectivas técnicas.

    lista-amenazas-ciberataque-seguridad

  2. Vulnerabilidades

    Las vulnerabilidades se definen como formas en que un sistema puede verse comprometido y no se mitiga adecuadamente. Un sistema puede volverse vulnerable y abierto a ataques cuando no está bien mantenido, tiene una codificación deficiente, carece de protección o se debe a errores humanos. La forma más efectiva de mitigar las vulnerabilidades es implementar las actividades de SDL (ciclo de vida del desarrollo de la seguridad) en el ciclo de vida del desarrollo.

    ciclo de vida de desarrollo de seguridad

    Alerta de Spoiler: Artículo de actividades de SDL a seguir.😉

Es muy importante conocer los diferentes ataques que pueden ser explotados en estas dos categorías. La conciencia de seguridad es una de las cosas más importantes en las que una empresa debería invertir, pero las medidas de seguridad a menudo pasan desapercibidas hasta que ocurre un ataque.

En 2017, el costo total promedio de un ciberataque exitoso fue de más de $ 5 millones, o $ 301 por empleado. ( Instituto Ponemon )

coste-reparto-ciberataque

¡Más vale prevenir que curar! 🙂

Los chatbots pueden ofrecer una solución a algunas de las debilidades de seguridad conocidas. El cifrado y otras medidas de seguridad minimizan la vulnerabilidad de un sistema a través de protocolos altamente seguros. Como resultado, los chatbots no solo ofrecen una excelente interfaz de usuario para las conversaciones, sino que también brindan seguridad a algunas vulnerabilidades.

Breve introducción a algunas de las prácticas de seguridad implementadas cuando se trabaja con un chatbot

1. Codificación de extremo a extremo.

Es muy importante tener E2EE, esto asegura que toda la conversación se cifrará. Los datos en tránsito también pueden ser manipulados y falsificados, existen diferentes protocolos para proporcionar el cifrado y, al mismo tiempo, abordar estos problemas, los analizaremos más adelante. El cifrado en algunos casos puede necesitar ser usado con esquemas de protección de autenticación e integridad.

Como sabrá, los chatbots también pueden conectarse a canales como Facebook Messenger, Telegram, Slack, etc. En este caso, la mitigación ideal para E2E es permitir que los chatbots se conecten a canales que admiten el cifrado de datos. El artículo 32 (a) del Reglamento General de Protección de Datos (GDPR) exige específicamente que las empresas tomen medidas para seudonimizar y cifrar los datos personales.

La buena noticia es que gracias a regulaciones como GDPR, más compañías están prestando atención al cifrado de datos y, por lo tanto, brindan a los chatbots más canales para conectarse de manera segura. Por ejemplo: en 2016, Facebook Messenger introdujo la nueva función llamada “Conversaciones secretas” que habilita E2E basado en el protocolo de señal desarrollado por Open Whisper Systems.

2. Autentificación y autorización de la identidad del usuario.

La autenticación de usuario se utiliza para identificar que un usuario se verifica con credenciales de inicio de sesión válidas y seguras, como un nombre de usuario y una contraseña. Las credenciales se intercambian por un token de autenticación seguro, este token se utiliza en toda la sesión del usuario.

Una de las medidas de seguridad que se utilizan en los chatbots, especialmente en los casos bancarios, son los tiempos de espera de autenticación, cuando el token generado solo se puede usar durante un período de tiempo predeterminado, después de eso, el sistema se verá obligado a crear uno nuevo.

La autenticación de dos factores es otra forma de verificar la identidad de un usuario al pedirle que verifique su cuenta a través de un correo electrónico y un mensaje de texto. Esta técnica de autenticación también ayuda con la autorización al otorgar a la persona adecuada acceso y mantener la información en las manos adecuadas.

3. Mensajes autodestructivos.

Cuando se transmite información confidencial identificable (información personal identificable), el mensaje con esta información se destruirá después de un período de tiempo establecido. Este tipo de medida de seguridad es crucial cuando se trabaja con bancos bancarios y otros chatbots financieros.

El Artículo 5 (e) del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) establece que los datos personales se conservarán por un tiempo no mayor al necesario para los fines para los cuales se están procesando.

Otra medida de cumplimiento de GDPR es tener un “nivel de intención” de privacidad, el usuario puede intercambiar información personal, pero los datos no se revelarán ni siquiera desde el backend, solo las intenciones del usuario se registran y se guardan para fines de auditoría.

4. Protocolos seguros

Sabemos que la seguridad de la red a menudo puede ser un tema difícil, puede pensar en el propósito de los protocolos seguros como transferir datos del punto A al punto B sin ser interceptados, leídos por personas no autorizadas, alterados o eliminados.

HTTPS es el protocolo web que garantiza la privacidad e integridad de nuestros datos; este protocolo transfiere datos a través del protocolo de transferencia de hipertexto (HTTP) a través de una conexión cifrada por Secure Sockets Layer (SSL) o Transport Layer Security (TSL).

En resumen

La preocupación por la seguridad es muy importante en tiempos de las nuevas tecnologías, ya que pueden traer nuevas amenazas, sin embargo, las compañías están tomando mayores medidas de seguridad para garantizar que la información de los usuarios sea segura. Regulaciones como GDPR, la Ley de Privacidad del Consumidor de California (CCPA) y otras están aplicando políticas de seguridad de datos que obligan a las empresas a proteger los datos de los clientes.

A pesar de que los chatbots son una tecnología relativamente nueva, las prácticas de seguridad que los respaldan se han utilizado y han demostrado ser efectivas durante muchas décadas, lo que brinda a nuestros usuarios la tranquilidad de que sus datos se manejarán de manera segura.

Fuente: SAP

Related Posts

Leave a comment