img
Testing

¿Como impactan las brechas de seguridad en los software de certificación de conocimientos?

Oct 1, 2020   Maria Gabriela Tenreiro
   

Muchos de los organismos y entidades públicos y/ó privados a cargo de emitir certificaciones y licencias de conocimientos a través de exámenes presenciales, han optado por implementar plataformas de evaluación en formatos digitales coma consecuencia de la llegada de la pandemia COVID - 19, y los riesgos de contagio que pudiera implicar continuar con un formato presencial.

Estas plataformas de evaluación van desde las más básicas, permitiendo al evaluado presentar el examen en forma digital, emitiendo el resultado de la evaluación en tan solo minutos, hasta aquellas que permiten la integración de todo el entorno de la persona evaluada, permitiendo a los evaluadores tomar el control del proceso tal como lo sería en un escenario presencial, accediendo por ejemplo mediante la cámara del ordenador al entorno físico de la persona evaluada, con el objetivo de garantizar las condiciones y requisitos de seguridad del proceso de evaluación.

Tal es el caso de la plataforma de evaluaciones TestReach, la cuál en lo personal he hecho uso de ella en calidad de evaluado. Ésta plataforma posee características muy interesantes que permiten tanto al evaluado como al evaluador sentir confianza en el proceso y en consecuencia de los resultados.

Integración con los recursos del ordenador del evaluador, acceso a vigilancia remota durante la evaluación y comunicación con el moderador son algunas de ellas.Esta plataforma además, en su descripción indica contar con encriptación de datos y certificación de estándares ISO, SAS, SSAE e ISAE, con lo cuál asegura y respalda la seguridad de los datos sensitivos que maneja.

Actualmente existe una gran oferta en el mercado de éste tipo de plataformas, que emergen y han tomado auge en tiempos de pandemia, que permiten a las entidades de certificación poder hacer entrega de sus exámenes y evaluaciones , continuando con sus procesos, tan importantes para el desarrollo y progreso del capital humano en el ámbito público y privado.

Dado que la seguridad en éste tipo de plataformas viene a ser un factor decisivo para su uso, es el primer atributo considerado al momento de decidir sobre su adopción. Sin embargo, hay casos recientes, no tan exitosos como lo deseado, donde la seguridad para ha jugado en contra, y donde las brechas de seguridad además de otros fallos han permeado al usuario final. Tal es el caso de la plataforma de evaluaciones desarollada por ILG Technologies de Misouri, elegida para entregar las evaluaciones de Abogados de Florida.

La Junta de Examinadores de Abogados de Florida anunció el mes pasado que cancelaría sus exámenes presenciales, a favor de un formato en línea, debido a las restricciones inminentes de un escenario de pandemia, por lo que adoptarían el software antes mencionado para sus procesos de evaluación.Pero a medida que los examinados comienzan a descargar el software, indican que se han encontrado con una serie de problemas, desde brechas de seguridad hasta daños en sus dispositivos.

Es impresionante el tipo de fallos (algunos funcionales), asi como brechas de seguridad, que la la Junta Evaluadora de Abogados de Florida describe en una carta enviada a la Corte Suprema, solicitando intervenir en el proceso de pruebas de ésta plataforma:

 “ …los examinados informaron que el software congeló sus dispositivos e incluso provocó que se sobrecalentaran; el rendimiento se retrasó mientras escribían y les impidió eliminar contenido; y que el sistema de inicio de sesión de reconocimiento facial les permitió acceder al software incluso cuando usaban a su perro, o incluso una ventana abierta, en lugar de sus caras.

También dicen que documentaron más de 35 aparentes violaciones de seguridad que los usuarios dijeron que experimentaron poco después de descargar el software. Estos incluyeron intentos sospechosos de iniciar sesión en redes sociales y cuentas de correo electrónico, cuentas bancarias y tarjetas de crédito comprometidas, y al menos un intento de extorsión.

Si bien es cierto que uno de los principios de las pruebas reza que: " Las pruebas detectan la presencia de defectos, no la ausencia de ellos", desde la perspectiva de Aseguramiento de la Calidad, muy probablemente para éste caso hubo niveles de pruebas carentes de foco, que quizás por premura de las partes fueron omitidas ó no se invirtió el esfuerzo necesario.

Como responsables de las pruebas de software debemos tener siempre en cuenta dos puntos importantes:

  •  La seguridad del software es responsabilidad de todo el equipo, por tanto lo es también del equipo de pruebas.
  •  Debemos tener presentes en nuestro trabajo diario los Principios de las Pruebas, ya que fundamente la razón de nuestro labor en los equipos de desarrollo.

De cualquier modo, éstos defectos críticos detectados por el usuario final en ambiente productivo son un duro golpe a los Costos de la No Calidad de la compañía de desarrollo, por la gran inversión y esfuerzos que implicará repararlos, y más allá, el reto que significará recuperar la confianza de los usuarios en el producto.

Con 💙

Maria Gabriela Tenreiro 💻

Destacados