Hay una cuestión clave que toda compañía debería plantearse cuanto antes: ¿Qué se pierde cuando no se toman las medidas de seguridad sobre sus productos?
No paramos de hablar de los riesgos a los que estamos expuestos los usuarios cada vez que nos conectamos a Internet. Sin embargo, el tema adquiere mayor relevancia cuando estamos al frente de una empresa y nos centramos a diario en vender o mimar a los clientes para prestarles el mejor servicio, algo que es sumamente importante. Dentro de esta actividad comercial, lo habitual es que se dejen de lado aspectos fundamentales como la seguridad de las infraestructuras sobre las que está construida la empresa. En la mayoría de los casos, por no decir todos, empresas y emprendedores son muy dependientes de la tecnología y por tanto, muy vulnerables ante un ciberataque.
Es probable que un aumento de los niveles de seguridad informática de una empresa no incida en el aumento de las ventas de los productos o servicios que ofrece. Pero está más que demostrado que cada vez que se cae una web, se roban datos personales de los usuarios o sale a la luz algún tipo de incidencia dentro de la empresa, la confianza de los clientes se pierde, y en el mejor de los casos, merma.
En otras palabras, por cada nuevo día en el que una empresa o emprendedor deja de invertir en la ciberseguridad de sus infraestructuras se expone a un grave riesgo, en muchos casos de pérdidas incalculables. A diario vemos esto muy a pesar de que no se informa tanto del tema, dado que las entidades que han sido objetivo de los hackers evitan a toda costa que el hecho trascienda a los medios. Así impiden, precisamente, la pérdida de confianza de sus clientes o inversores. Los casos más sonados suelen ser los más evidentes, como el de la web Ashley Madison.
Nadie quiere esto para su empresa
La brecha de seguridad de la archiconocida web de citas tiene su propia entrada en Wikipedia y no es para menos. A mediados de julio de 2015 el sitio de referencia entre los usuarios que buscan tener un affaire sufrió un ataque de la mano de un grupo de hackers que se hacía llamar “The Impact Team”. Robaron 25 gigas de información personal de los usuarios, que no publicaron hasta un mes después.
El motivo de la espera fue intencionado. Los hackers pidieron que quitaran la web dado que no cumplía las condiciones de uso tal y como prometía. Supuestamente Ashley Madison no guardaba los datos personales de los usuarios, entre los que se incluye, nombres reales, números de tarjetas bancarias, historial de búsquedas, direcciones y fantasías sexuales, entre otros. Pero los hackers demostraron lo contrario al publicar toda esa información en lo que se conoce como dark web (o Internet Profundo) disponible para cualquiera que supiera acceder por el navegador Tor y quisiera descargarlo. En la lista de nombres se encontraron correos electrónicos de organismos públicos e instituciones privadas, una práctica de lo más desanconsejada a la hora de registrarse en una página web.
Este es uno de los ejemplos más sonados de los últimos años, pero ataques como estos hay centenares a diario. Hoy no sabemos cómo el caso Ashley Madison habrá afectado a los números de la compañía, pero sigue funcionando. Claramente, no todas las empresas tienen la capacidad financiera para aguantar un golpe como este y seguir ofreciendo sus servicios. Tal vez por eso, a nadie le gustaría estar al frente de una empresa cuyos servicios se vieran igual de comprometidos que los de Ashley Madison.
Pentesting o cómo una empresa previene un ciberataque
Muchos se preguntan si un ataque como el de Ashley Madison se podía haber evitado. A tenor de lo que sabemos hoy en día, parece que sí. Por lo visto, la web no pedía verificación de los correos electrónicos a la hora de registrar nuevos perfiles, esto permitía la creación de cuentas falsas, así como el uso de nombres de usuario muy similares entre sí.
Precisamente este tipo de fallos de seguridad son los que detecta un analista en seguridad informática. El procedimiento por el cual se pone a prueba la infraestructura tecnológica con la que opera la empresa y su seguridad se llama pentesting o examen de penetración.
Al poner a prueba la seguridad informática de una empresa, nos referimos a que se simula un ataque para conocer cuáles son sus puntos débiles, y a partir de ahí se valoran los pasos que hay que seguir para subsanar las vulnerabilidades.
Hay que decir que la diferencia entre el pentesting y un ataque hacker radica en que el primero se realiza bajo el consentimiento y aprobación de los propietarios del sistema, es decir, del cliente que contrata el servicio; mientras que en un ataque hacker no se da nada de esto, por ello también se incurre en un delito que en muchos países está penado con cárcel.
Debido a la relevancia que está adquiriendo el pentesting a la hora blindar los sistemas informáticos de una compañía u organismo, cada vez se oye hablar más de esta práctica. Sin embargo, no es fácil encontrar profesionales capaces de hacer un buen pentesting. Esto es porque la parte más importante del proceso no es saber usar las herramientas que se utilizan para simular el ataque, sino la elaboración de un informe donde el analista informático valora cada uno de los fallos de seguridad que ha encontrado, con el fin de ofrecer las soluciones que la empresa debe implementar cuanto antes.
En otras palabras, como empresa no nos podemos conformar con que alguien sepa entrar en nuestro sistema informático y encuentre los fallos como lo haría un hacker. Interpretar las vulnerabilidades y saber cómo solucionarlas son los puntos claves del pentesting.
En un campo tan complejo como es el de la seguridad informática, la experiencia y el reconocimiento son determinantes. Al fin y al cabo, se trata de permitir que un tercero comprometa los sistemas informáticos de nuestra empresa.
Por eso, ODS está compuesto por un equipo de analistas informáticos con una amplia experiencia en pentesting y por reconocidos campeones a nivel nacional e internacional en competiciones sobre ciberseguridad, como Daniel Fernández, que quedó primero de España en la Competición de Hacking Ético celebrada en 2016.
No nos fiemos de esa falsa sensación de seguridad cuando nos sentamos frente a un ordenador. Cada día que pasa sin que una empresa invierta en la protección de su sistema, pone en riesgo la confianza de sus clientes y por tanto, su continuidad. Basta una llamada, para evitar cualquier fatalidad.[:]