Hoy he participado en la «II Jornada STIC CCN-CERT» con una ponencia invitada sobre la seguridad en aplicaciones web. Me he visto en un aprieto, porque acostumbrado a impartir cursos de entre 20 y 25 horas sobre la seguridad web, ¿cómo podía condensar en 30 minutos tanta información? El objetivo de la charla era concienciar sobre los problemas de la inseguridad en aplicaciones web. Después de darle muchas vueltas, se me ocurrió la siguiente idea: en vez de dar una conferencia, contaría una historia.

La primera parte de la historia de nuestro héroe, Julián Moreno, aparece recogida gráficamente en las transparencias siguientes, sobre las cuales yo he ido narrando sus peripecias:

Durante las primeras semanas de funcionamiento de su nueva tienda en Internet, Julián Moreno ha conseguido multiplicar por diez las ventas. Hasta que un mal día, se percata de que a pesar de despachar más y más jamones, sus ingresos disminuyen. ¿Qué ha podido ocurrir?

Aquí es donde he pasado al modo demo y he ido realizando en directo algunos ejemplos de ataques sobre la tienda electrónica de Julián: manipulación de campos ocultos, robo de credenciales mediante phishing a través de Cross-Site Scripting, envenenamiento de cookies, inyección de SQL, etc.

Lo concreto sobrevive

Finalizada la Jornada, la audiencia ha abandonado la sala. Sé que dentro de un par de días no se acordará de todos y cada uno de los detalles de las distintas técnicas de hacking explicadas ni retendrá los datos estadísticos sobre ataques que he proporcionado. Pero recordará la historia de Julián y cómo su tienda fue atacada de mil formas. Los datos abstractos se olvidan pronto. Sin embargo, lo concreto y tangible se recuerda durante largo tiempo. Tal es así, que los cuatro ponentes que me han sucedido han realizado continuas referencias improvisadas a Julián y su tienda: porque todos los presentes teníamos grabada vívidamente su imagen. Siempre resulta más efectivo personalizar una explicación, acudir al caso particular. Esta imagen concreta actúa como un ancla al cual asociar los recuerdos. Nadie se identifica con una estadística que revela que el 82% de los sitios web presentan la vulnerabilidad de Cross-Site Scripting; mientras que todos empatizamos con el pobre Julián al verlo asistir impotente al robo de credenciales de sus clientes por parte de atacantes desalmados.

La próxima vez que debas mostrar hechos o datos, cuenta una historia. Recuerda: lo concreto sobrevive.

Añadir a del.icio.us

- Lo concreto sobrevive