Los usuarios auténticos no siempre son humanos y eso no debería asustarle

por Lightyear Strategies2025/06/17
Read on Terminal Reader
tldt arrow
en-flagENbn-flagBNes-flagEShi-flagHIpt-flagPTja-flagJAsr-flagSRps-flagPSro-flagROel-flagELur-flagURsq-flagSQid-flagID
ES

Demasiado Largo; Para Leer

Muchos usuarios genuinos en línea no son humanos, son agentes de software de confianza.Los modelos de seguridad tradicionales les fallan al clasificar la automatización útil como amenazas.Deck aboga por los marcos de confianza basados en la intención para apoyar a los humanos y a los bots, reduciendo el riesgo, la pérdida y el fracaso, al tiempo que aumenta la resiliencia y la escala.
featured image - Los usuarios auténticos no siempre son humanos y eso no debería asustarle
Lightyear Strategies HackerNoon profile picture
0-item

¿Quién (o qué) confiamos en Internet?

¿Quién (o qué) confiamos en Internet?

Internet se construyó sobre la suposición de que los humanos son los únicos usuarios genuinos. está cocinado en nuestros flujos de autenticación, nuestros CAPTCHAs, nuestras heurísticas de seguridad, e incluso nuestro lenguaje. Hablamos de "usuarios" como personas, y "bots" como amenazas.

Pero esa suposición se rompe.

Hoy en día, algunos de los actores más esenciales en los sistemas de software no son humanos en absoluto. Son agentes: piezas de software sin cabeza, automatizadas, credenciadas que hacen todo, desde la recuperación de datos de salarios hasta la conciliación de reclamaciones de seguros hasta el procesamiento de derechos de autor a escala.

“Es hora de dejar de confundir la automatización con los adversarios”, dice Laurent Léveillé, Gerente de Comunidad de Deck. “Muchos de estos bots no son atacantes.


El legado de los modelos de confianza centrados en el hombre

El legado de los modelos de confianza centrados en el hombre

Los equipos de seguridad han confiado durante mucho tiempo en una heurística binaria: los humanos son buenos; las máquinas son malas. Esto llevó a una proliferación de CAPTCHAs, filtros de bot, limitadores de tasa y sniffers de agentes de usuario que no hacen distinción entre la automatización adversaria y los agentes productivos.

Estos modelos funcionaron durante un tiempo.Pero la Internet moderna se ejecuta con APIs, tareas programadas y desencadenantes sin servidor.Los agentes internos e integraciones externas se comportan como bots, porque lo son.Se conectan, solicitan datos, actúan predictiblemente y no hacen clic alrededor como un ser humano.

"Lo que estamos viendo ahora es que las mismas heurísticas diseñadas para mantener a los malos actores están rompiendo los casos legítimos de uso dentro", dice YG Leboeuf, cofundador de Deck.De las recompensas de las aerolíneas a los proveedores de seguros de salud"


Una mejor definición de “verdadero”

Una mejor definición de “verdadero”

Entonces, ¿cómo diferenciar entre robots dañinos y útiles?


Deck propone un cambio: de los modelos de primer orden humano a los marcos de primer orden.Los usuarios genuinos no se definen por su biología, sino por su comportamiento.

Un usuario real es:

  • Autenticación: Son lo que dicen ser.
  • Permitido: Están accediendo a lo que se supone que tienen.
  • Objetivo: Sus acciones son consistentes con un caso de uso conocido y permitido.


Considere un agente programado que extrae datos de gastos de 150 cuentas de empleados al final de cada mes. Es credenciado, escalado y audible. pero la mayoría de los sistemas lo etiquetan como sospechoso simplemente porque se conecta demasiado rápido o accede demasiado.

Mientras tanto, un ser humano real podría involucrarse en una actividad errática o maliciosa que vuela bajo el radar simplemente porque está usando un navegador.

Este es un paradigma defectuoso.Tenemos que invertirlo.


Los costos ocultos de equivocarse

Los costos ocultos de equivocarse

La clasificación equivocada de los agentes como amenazas no solo conduce a una mala UX.

  • Fracaso del producto: los flujos automáticos se interrumpen silenciosamente. el registro de pagos no se ejecuta. los informes no se presentan. se pierden los datos.
  • Los usuarios culpan al producto, no a las reglas de seguridad.
  • Deuda de ingeniería: Los desarrolladores se ven obligados a crear excepciones ad hoc.
  • Puntos ciegos de seguridad: las excepciones debilitan los sistemas, abriendo vías para los abusos reales.


En Deck, un cliente había construido un flujo de trabajo de reclamaciones en varios pasos que se basaba en un agente interno que sincronizaba los datos de EOB durante la noche.Cuando su proveedor de seguridad legítimo comenzó a limitar la tasa del agente, creó una cascada de fallos a continuación.


Diseño de identidad híbrida

Designing for Hybrid Identity

Los sistemas modernos necesitan acomodar tanto a los humanos como a los no humanos en sus modelos de confianza.

  • Credenciales separadas: No reutilizes los tokens humanos para agentes.
  • Límites de tasa consciente de la intención: Espere que los agentes se muevan rápidamente y funcionen 24/7.
  • Auditabilidad: Los agentes deben registrar sus acciones.Crear tuberías de telemetría estructuradas.
  • Gestión del ciclo de vida: rastrear la propiedad de los agentes, rotar los secretos y descartar los procesos obsoletos.
  • Bases de comportamiento: monitorear lo que “normal” parece para cada identidad.


Un cambio cultural en la seguridad

Un cambio cultural en la seguridad

La seguridad no se trata sólo de decir "no".Se trata de permitir que los sistemas funcionen como se pretendía, de forma segura.

"Los equipos que ganan no son los que tienen las defensas más rígidas", dice Léveillé. "Son los que diseñan una infraestructura que entiende la diferencia entre riesgo y fricción".


Esto significa:

  • Traslado de la puesta en marcha a la habilitación
  • Reemplazar las reglas de detección sin sentido con el análisis contextual
  • Construir no sólo para la prevención, sino para la resiliencia


No tengas miedo de los agentes, aprende de ellos.

No tengas miedo de los agentes, aprende de ellos.

No todos los usuarios son humanos.No es una amenaza.Es una realidad.Y cada vez más, es una oportunidad.

Al reconocer y respetar la automatización como parte de la base de usuarios, desbloqueamos una mejor fiabilidad, una escala más rápida y sistemas más fuertes.

Es hora de dejar de preguntar: “¿Este es un bot?” y comenzar a preguntar: “¿Este es de confianza?”

HackerNoon Services
L O A D I N G
. . . comments & more!

About Author

Lightyear Strategies HackerNoon profile picture
Lightyear Strategies@lightyearstrategies
Boston's Best Media Research Company
Read my stories

ETIQUETAS

purcat-imgcybersecurity#trusted-automation#bot-detection#intent-based-security#api-security#genuine-users#automated-workflows#human-vs.-bot#good-company

ESTE ARTÍCULO FUE PRESENTADO EN...

Read on Terminal Reader Terminal
Read this story w/o Javascript Lite

HISTORIAS RELACIONADAS

Article Thumbnail
De los foros a los feeds: cómo los algoritmos de las redes sociales influyen en la interacción digital
by minad21
Jan 01, 1970
#optout
Article Thumbnail
Cómo mejorar su flujo de trabajo 10 veces: 17 aplicaciones esenciales
by madzadev
Jan 01, 1970
#web-development
Article Thumbnail
Una breve introducción a la teoría del cerebro de Boltzmann
by thebojda
Jan 01, 1970
#futurism
Join HackerNoonloading
Latest technology trends. Customized Experience. Curated Stories. Publish Your Ideas

Trending Topics

blockchaincryptocurrencyhackernoon-top-storyprogrammingsoftware-developmenttechnologystartuphackernoon-booksBitcoinbooks