En una publicación anterior desarrollamos el concepto detrás del “principio del mínimo privilegio”, que consiste en la estrategia para limitar el acceso a lo que resulta imprescindible para nosotros, por ejemplo, nuestra seguridad y privacidad en Internet.
Otra idea de gran utilidad, que está estrechamente ligada con el principio de menor privilegio y que se une a las buenas prácticas que los usuarios deberíamos aplicar para evitar los riesgos derivados de la sobrexposición, es lo que se conoce como “principio de la mínima exposición”.
Tal como su nombre lo indica, la mínima exposición tiene como objetivo reducir la superficie de visibilidad en distintos ámbitos, tanto en lo tecnológico, como en las prácticas comunes de los usuarios. Por ejemplo, cuando hablamos de la mínima superficie de exposición en el ámbito tecnológico, nos referimos a prácticas que contribuyen a reducir la visibilidad que un atacante podría tener de nuestros recursos tecnológicos.
Pensemos en un escenario donde un administrador de servidores debe configurar de forma adecuada solo los servicios que debe brindar, evitando tener puertos abiertos innecesarios o el uso de protocolos no requeridos, ya que los mismos que podrían contener alguna vulnerabilidad que podría ser aprovechada por algún atacante. Por lo tanto, esta práctica tiene como propósito la protección de los sistemas o la infraestructura tecnológica.
En otras palabras y de manera general, este principio busca cuidar los sistemas al intentar evitar exponer la menor cantidad de servicios posibles, ya que a menor cantidad de servicios disponibles (y quizá accesibles) por un atacante, menores son las posibilidades de que puedan explotar una vulnerabilidad.
El principio de la mínima exposición también puede ser utilizado como parte de las denominadas buenas prácticas, especialmente cuando hablamos de las redes sociales. Si bien este tipo de redes modificaron la manera en que interactuamos y nos comunicamos, también potenciaron el hábito de compartir información y detalles de nuestra vida. En este sentido, tal como nos dice Tomáš Foltýn, la sobreexposición de información en las redes sociales puede tener consecuencias negativas, sobre todo cuando entregamos detalles de nuestras actividades a los atacantes.
Por lo tanto, una práctica recomendable consiste en aplicar el principio de la mínima exposición y mediante las opciones de configuración de cada red social: limitar el acceso a nuestra información en las aplicaciones que habilitamos; revisar con quién compartimos lo que publicamos, y qué pueden ver sobre nosotros alguien que no forma parte de nuestro círculo de contactos. En caso de no aplicar estas prácticas, el riesgo es que un atacante pueda recopilar esa gran cantidad de datos personales nuestros, así como información de la actividad que compartimos, con distintos fines maliciosos; ya que lamentablemente, las redes sociales y otros espacios digitales se convirtieron en un territorio utilizado y explotado por criminales.
En conclusión, la combinación de ambos principios, tanto el menor privilegio como la mínima exposición, contribuyen a minimizar riesgos, ya sea que nos enfoquemos en el ámbito tecnológico para el cuidado de la infraestructura tecnológica en las empresas, o bien, en las prácticas que comunes que llevamos a cabo prácticamente a diario como usuarios de las redes sociales o algún dispositivo.
Estas prácticas permiten otorgar los recursos mínimos necesarios para cumplir una tarea, al tiempo que reducen la superficie de visibilidad o exhibición, lo que sin duda ayuda a la protección en el ámbito digital.
Finalmente, es importante mencionar que no se persigue inhibir el uso de la tecnología, por el contrario, el objetivo es que estos recursos puedan ser utilizados de manera más consciente, responsable y segura, al tiempo que disfrutamos de la tecnología en un ambiente cada vez más seguro.