20/09/2011 10:09:55
LAS EMPRESAS NO SE TOMAN LA SEGURIDAD INFORMÁTICA EN SERIO, AFIRMAN HACKERS Y EXPERTOS
Mercè Molist
"Hay dos tipos de empresas: las
que saben que han sufrido una intrusión y las que no", aseveró el
hacker Pau Oliva en la convención de seguridad informática NoConName,
celebrada este fin de semana en Barcelona. Hackers y consultores
discutieron sobre la desidia de las empresas, entre ellas muchas PyMES,
que ponen en peligro no sólo sus redes sinó la privacidad de sus
clientes.
La veterana convención
NoConName, a la que asistieron 350 personas según la organización, se
cerró con la mesa redonda "¿Se toman las grandes empresas la seguridad
en serio?". Frente a frente, dos conocidos hackers, Pau Oliva y Albert
Puigsech, haciendo preguntas incómodas a dos consultores de
corporaciones, Miguel Ángel Hervella y Enric Llaudet. Al final, todos
coincidieron en que "muchas empresas no lo están haciendo bien", en
palabras de Hervella.
Lo confirmó Llaudet, quien
criticó que las corporaciones son "reinos de taifas donde es difícil
aplicar políticas de seguridad". Hervella matizó que "en muchas
empresas no se tiene claro el riesgo, creen que no les va a pasar nada
o que, si pasa algo, pueden tirar de copias de seguridad". Esta forma
de pensar, afirmaron, está muy extendida en las PyMES. Según Oliva, "la
mayoría ni conoce la Ley de Protección de Datos".
El problema, explicó Puigsech,
viene cuando un ataque afecta no sólo a la empresa sinó también a
terceros, usualmente los clientes: "Sus datos privados pueden acabar
publicados en Internet, también las tarjetes de crédito, que tendrán
que anular. Se generan unas molestias a los clientes que las empresas
no tienen en cuenta".
El público participó vivamente
y alguien apuntó otro ejemplo: una empresa española que ofrece
"routers" configurados de forma insegura a sus clientes, poniéndolos en
peligro. Hervella explicó: "El problema en este caso es que el análisis
de riesgos no está bien hecho y, hasta que no pase algo, como que les
pongan una multa o sus clientes sean atacados en masa, no cambiarán".
El moderador del debate,
Lorenzo Martínez, introdujo otro tema caliente: "Muchas empresas
"pasan" de los investigadores cuando les notifican fallos y no los
arreglan". Hervella lo justificó: "Las empresas son complejas, puede
que el responsable de seguridad quiera arreglarlo, pero la respuesta de
sus jefes sea que no es prioridad, o no hay presupuesto, o la empresa
que les vendió esta aplicación ha desaparecido y hay que contratar a
alguien expresamente para que lo arregle".
Respecto a este tema, los
investigadores demostraron también su preocupación por la posibilidad
de que cuando avisen del fallo a la empresa, esta les denuncie, algo
que desde hace años está al orden del día. En este caso, explicó Pau
Oliva, lo que suelen hacer últimamente los hackers buenos es "hacer el
contacto con la empresa a través de un tercero, por ejemplo el
organismo de seguridad informática del gobierno español, Inteco". Otra
posibilidad totalmente diferente es que la empresa acabe contratando al
hacker que la ha avisado. Aunque, avisó Hervella: "A lo mejor es un tío
buenísimo, pero pasados seis meses empiezan a pasar cosas".
"SPEAR-PHISHING": A POR LOS EMPLEADOS MÁS SOCIABLES
Entre los asistentes a la
NoConName flotaba la certeza de que la seguridad informática de la gran
mayoría de empresas está siendo o ha sido atacada con éxito. "No te
fíes del administrador de redes que diga que no le han entrado: es que
no se ha dado cuenta", afirmada una persona del público durante el
tiempo de debate. "Muchas empresas viven de la buena fe de los
atacantes, que entran pero no les hacen ningún daño y, a veces, incluso
les dejan una nota para avisarles de sus fallos", explicaba otro.
En este contexto, el consultor
Miguel Ángel Hervella comentó un nuevo tipo de ataque, cada vez más
visto, llamado "spear-phishing". Consiste en usar las redes sociales
para buscar información sobre determinados trabajadores de una
compañía. Con los datos obtenidos, los atacantes crean un mensaje de
correo electrónico acorde a los gustos de estos empleados, incitándoles
a pinchar en un archivo adjunto. Si lo hacen, se instalará un troyano
en sus ordenadores, que permitirá a los delincuentes entrar en la red
de la empresa. Para evitar este ataque, según Hervella, "en Estados
Unidos, Alemania y otros países están retirando el acceso de los
trabajadores a la redes sociales".
NoConName
http://noconname.org/
Copyright 2011 Mercè Molist.
Verbatim copying, translation
and distribution of this entire article is permitted in any digital and
no commercial medium, provide this notice is preserved.
<<