Selecciona Edición
Entra en EL PAÍS
Conéctate ¿No estás registrado? Crea tu cuenta Suscríbete
Selecciona Edición
Tamaño letra
SEGURIDAD

SANS Institute consultará con tres españoles la seguridad de la 'web'

Los ingenieros David Pérez, Raúl Siles y Jorge Ortiz han dedicado dos años y medio a obtener un certificado que sólo tienen dos personas más en el mundo

A finales de julio, en la conferencia de seguridad informática Black Hat, un consultor desveló un fallo en los routers Cisco, que dirigen la mayoría del tráfico de Internet.

El Gobierno de Estados Unidos pidió consejo al SANS Institute, que publica regularmente las 20 vulnerabilidades más críticas de la Red, para conocer cómo afrontar el problema. Casi al mismo tiempo, el organismo concedía a tres españoles, Jorge Ortiz, David Pérez y Raúl Siles, el GSE (GIAC Security Experts), la certificación de seguridad de más alto nivel que ofrece la institución académica estadounidense. Sólo hay cinco individuos en el mundo que la poseen. Tres son ellos; personas a las que se les reconoce sus conocimientos en seguridad perimetral (cortafuegos, VPN...), análisis forense, detección de intrusos, investigación de incidentes, seguridad de Windows y Unix y auditoría de sistemas y redes.

"Más allá del reconocimiento, ahora estoy mucho más seguro de mi trabajo cotidiano", asegura Jorge Ortiz, ingeniero químico e informático, casado y con dos hijas, que trabaja como consultor de seguridad en HP.

Todo empezó en 2003. Ortiz, Pérez y Siles trabajaban en HP diseñando y realizando servicios de seguridad para los clientes de la empresa, posición desde la que veían que los problemas en las redes crecían exponencialmente. "Cada vez había más amenazas como virus y gusanos, software malicioso, ataques de correo basura y demás incidentes. Por nuestra situación profesional nos convenía prepararnos a conciencia", explica Raúl Siles, ingeniero informático de 30 años.

De las diferentes certificaciones de seguridad que existen en el mercado "había dos relevantes: CISSP, más teórica, y SANS/GIAC. Elegimos esta última porque se centraba en aspectos más técnicos y prácticos", prosigue Siles.

Antes de presentarse al examen para obtener la certificación de más alto nivel del SANS Institute, la GSE, los candidatos deben completar cinco certificaciones GIAC (analista de cortafuegos, analista de intrusiones, gestor de incidentes y administrador de seguridad en Windows y en Unix) y sacar "matrícula de honor en al menos una de ellas; además de presentar un trabajo de investigación en otras tres", añade David Pérez, ingeniero de telecomunicaciones de 34 años, que tras ocho años y medio en HP, regresó a Alboraia (Valencia), para trabajar como consultor independiente.

"Sólo te digo que hemos escrito varios artículos, algunos de 100 folios. Es un gran esfuerzo, pero quizá es la parte en la que más hemos aprendido", dice Ortiz.

Luego, quedaba lo peor: tres días de exámenes en Washington (Estados Unidos), mezcla de pruebas escritas, ensayos de investigación y trabajos en grupo.

La criminalidad empeora

En total, han sido dos años y medio en los que no han hecho más que "trabajar de día, estudiar de noche y robar horas al reloj de mi tiempo libre para realizar los trabajos de investigación. Quiero agradecer a mi mujer su apoyo infinito. Sin ella no lo habría conseguido", reconoce Siles. Según Pérez, "ha sido un largo y complejo proceso de aprendizaje, pero sin duda ha merecido la pena".

Ahora, la organización estadounidense, que asesora a gobiernos, empresas e instituciones, les consultará cuando haya problemas en la seguridad de la red de redes.

"Cada vez veremos más variedad y cantidad de software malicioso. Si al principio los ataques eran por entretenimiento, por el placer de la notoriedad, ahora interviene el factor económico. Los criminales que actúan en el mundo físico han aprendido que por Internet consiguen lucrarse igual, pero a menor coste. Los programas son cada vez más sofisticados", asegura Pérez.

Dice Ortiz: "La gente debe ser consciente de que el problema de la seguridad en la Red es real. Las empresas, sobre todo las pymes, deben entender que hay inversiones cuyo retorno no es inmediato. La inversión en informática debe ser aquella que permita gestionar los riesgos, que existen, para minimizarlos".

El clásico más vale prevenir que curar. En las pruebas que han realizado, "intrusiones controladas y con permiso de sus responsables para detectar los puntos débiles, la mayoría de empresas, aunque estaban prevenidas, no eran capaces de detectar los ataques", asegura.

A petición de Ciberp@ís, los tres expertos han elaborado una serie de recomendaciones para una navegación más segura: Tener el sistema actualizado siempre, instalar antivirus y cortafuegos, cerrar la red inalámbrica Wi-Fi para evitar que otros la usen con fines maliciosos ("si no dejas la puerta de tu casa abierta, ¿por qué deberías dejar la de tu ordenador?", dice Siles), comprar en páginas solventes o productos de fabricantes reconocidos, no instalar cualquier programa y, si no se está seguro, simplemente decir no. "Uno de los problemas de la informática es que siempre es muy fácil", sentencia Ortiz. "Con un simple clic puede crearse un problema muy gordo".

JORGE ORTIZ: jdortiz@gmail.com

DAVID PÉREZ: david.perez.conde@gmail.com

RAÚL SILES: www.raulsiles.com

* Este artículo apareció en la edición impresa del Jueves, 22 de septiembre de 2005