Selecciona Edición
Conéctate
Selecciona Edición
Tamaño letra
SISTEMAS | CiberP@ís

"Las empresas no se toman la seguridad en serio"

Expertos critican en una convención la falta de medidas

"Hay dos tipos de empresas: las que saben que han sufrido una intrusión y las que no", aseveró el hacker Pau Oliva en la convención de seguridad informática NoConName, celebrada en Barcelona. Hackers y consultores discutieron sobre la desidia de las empresas, entre ellas muchas pymes, que ponen en peligro no solo sus redes sino la privacidad de todos sus clientes.

La veterana convención NoConName, a la que asistieron 350 personas según la organización, se cerró con una mesa redonda bajo el enunciado ¿Se toman las grandes empresas la seguridad en serio?

Frente a frente, dos conocidos hackers, Pau Oliva y Albert Puigsech, haciendo preguntas incómodas a dos consultores de corporaciones, Miguel Ángel Hervella y Enric Llaudet. Al final, todos coincidieron en que "muchas empresas no lo están haciendo bien", en palabras de Hervella.

Lo confirmó Llaudet, quien criticó que las corporaciones son "reinos de taifas donde es difícil aplicar políticas de seguridad".

Hervella matizó que "en muchas empresas no se tiene claro el riesgo, creen que no les va a pasar nada o que, si pasa algo, pueden tirar de copias de seguridad".

Esta forma de pensar, afirmaron, está muy extendida en las pequeñas y medianas empresas. Según Oliva, "la mayoría ni conoce la Ley de Protección de Datos" que rige en España.

El problema, explicó Puigsech, viene cuando un ataque no afecta únicamente a la empresa y alcanza también a terceros, usualmente los clientes. "Sus datos privados pueden acabar publicados en Internet, también las tarjetas de crédito, que tendrán que anular en el banco. Se generan unas graves molestias a los clientes que las empresas no tienen en cuenta".

El público participó vivamente en el coloquio celebrado tras la mesa redonda y alguien apuntó otro ejemplo: una empresa que ofrece routers configurados de forma insegura a sus clientes, poniéndolos en peligro.

Hervella explicó: "El problema en este caso es que el análisis de riesgos no está bien hecho y, hasta que no pase algo, como que les pongan una multa o sus clientes sean atacados en masa, no cambiarán".

El moderador del debate, Lorenzo Martínez, introdujo otro tema caliente: "Muchas empresas pasan de los investigadores cuando les notifican fallos y no los arreglan".

Hervella lo justificó con un ejemplo: "Las empresas son complejas, puede que el responsable de seguridad quiera arreglarlo, pero la respuesta de sus jefes sea que no es prioridad, o no hay presupuesto, o la empresa que les vendió esta aplicación ha desaparecido y hay que contratar a alguien expresamente".

Los investigadores demostraron también su preocupación por la posibilidad de que cuando avisen del fallo a la empresa, esta les denuncie, algo que sucede a menudo. "En este caso", explicó Pau Oliva, "lo que suelen hacer los hackers buenos es contactar con la empresa a través de un tercero, por ejemplo, el organismo de seguridad informática del Gobierno español, Inteco".

Amenazas

Entre los asistentes a la convención NoConName flotaba la certeza de que la seguridad de muchas empresas está siendo o ha sido vulnerada con éxito.

En este contexto, el consultor Miguel Ángel Hervella comentó un nuevo tipo de ataque, cada vez más visto, llamado spear-phishing. Consiste en usar las redes sociales para buscar información sobre determinados trabajadores de una compañía. Con los datos obtenidos, se confecciona un mensaje de correo electrónico acorde a sus gustos, que les incita a pinchar en un archivo adjunto. Esto introducirá un troyano en sus ordenadores, que permitirá a los delincuentes entrar en la red de la empresa.

Para evitar este ataque, según Hervella, "en Estados Unidos, Alemania y otros países se está retirando el acceso de los trabajadores a las populares redes sociales".

* Este artículo apareció en la edición impresa del Viernes, 7 de octubre de 2011

Más información