Los test de intrusión como elemento preventivo del ciberriesgo

Yo, que no explico las nuevas tecnologías sino aquello para lo que sirven, llevo un tiempo queriendo saber qué es y para qué vale un test de intrusión. Entre tanta noticia sobre ciberseguridad (más bien los fallos de la misma) y con cada vez más hackers explicando y aconsejando sobre cómo prevenir, he decidido escribir algo que responda a mis preguntas y resuelva mis dudas. Así que aprovecho el equipo humano de Binaura Consultores y le lanzo todas las consultas a mi compañero Jorge González Milla, Pentester & Developer con sobrados conocimientos y trayectoria profesional como para impartir un tutorial que despeje cualquier incógnita. Esta es la entrevista construida tras una conversación que espero os resulte tan ilustrativa como interesante. Y útil, si es posible.

Test de intrusión: la clave para saber si sufrirás un ciberataque y por qué (y cómo prevenirlo)

CT: Si tuvieras menos de un minuto para convencerme de que un test de intrusión puede ayudarme en materia de ciberseguridad… ¿cómo me ‘venderías’ este servicio que en Binaura está funcionando tan bien?

Jorge: Te diría que cambies el chip, que en algún momento vas a ser atacada y no por ser pyme o un autónomo van a dejar de atacarte. De hecho, piensa que es mucho más fácil atacar a pymes y autónomos porque no pueden adoptar las mismas medidas de seguridad que, por ejemplo, una gran corporación. Con un test de intrusión sabrías por donde te van a atacar, porque lo van a hacer (si no lo han hecho ya). Y si eres una gran empresa, van a ir a por todo lo que tienes.

CT: Bien, Jorge. Me ha interesado tu planteamiento. Ahora descríbeme algunos beneficios directos e indirectos que pueden derivarse de un test de intrusión.

Jorge: Ahí van (son unos cuantos, ¿eh?)… Para empezar, la empresa puede saber por dónde la van a atacar. Es un método por el que la organización conoce sus vulnerabilidades. Que no quepa duda de que todos seremos atacados en algún momento, y que más vale que usemos controladamente un test de intrusión para descubrir (y arreglar) los agujeros de seguridad, que dejar que lo haga un ciberdelincuente y se aproveche de él. Vamos, que acabe dentro de la empresa haciendo y deshaciendo a su antojo.

Si el test se hace continuado (que es como debería hacerse), la empresa podrá estar siempre al tanto de sus vulnerabilidades, con lo que su marca no quedará dañada por un ataque. Imagina que acceden a tu base de datos y sustraen toda la información…un defacement (alteración provocada por un atacante) a la propia página web de la empresa provocaría desconfianza, tanto en clientes como en inversores.

Además, con esta técnica:

  • Se determina la factibilidad real de un ataque y su impacto en la empresa
  • Eleva la conciencia sobre la seguridad de la información
  • Provee la información necesaria para implementar controles de seguridad (como, por ejemplo, no instalar firewalls a lo loco) y mitigar riesgos. De hecho, supone un ahorro para la organización, al implementar sólo los controles necesarios
  • En algunas ocasiones, un test de intrusión permite descubrir que existen invitados ‘no deseados’ dentro de la red/servidores de la compañía. Ni qué decir tiene que un test de intrusión periódico podría evitar la fuga de datos, evitar incidentes, etc…

En definitiva, la empresa no estaría ‘ciega’ ante un presente/futuro ataque. Además, hay que considerar que la nueva normativa europea de protección de datos será muy estricta a partir del 2018 (entra en vigor en mayo) y si no se cumplen ciertas normas, puede suponer un peligro para la economía. Además de para la marca de la empresa, claro.

Si salen actualizaciones de un producto, hay que actualizar sí o sí

CT: ¿Qué porcentaje de test de intrusión tiene resultados satisfactorios y cuáles son los principales ‘problemas/brechas’ en las empresas sometidas a alguno?

Jorge: Actualmente, la mayoría de test de intrusión que he realizado han tenido resultados satisfactorios. En nuestro caso, que sea así se puede entender de dos formas:

  • Satisfactorio para la empresa: si el resultado es que no se han encontrado apenas vulnerabilidades (que, en mi caso, y supongo que en el de casi el 100% de pentesters no es lo que sucede) quiere decir que la empresa se ha puesto las pilas, enhorabuena, porque no haya muchas.
  • Satisfactorio para el pentester: si el resultado es satisfactorio porque se han hallado muchas vulnerabilidades, hay que hacer un trabajo más en profundidad e instigar a la empresa a solventarlo. Lo que yo he encontrado hasta ahora suele ser este tipo de resultado, que por la parte del pentester es satisfactorio, pero por parte de la empresa no.

Tengo que matizar que los principales problemas que existen están, sobre todo, en quienes manejan las máquinas. Por muchas medidas de seguridad que pongas, el error humano siempre está ahí, así que trabajamos por la concienciación. También existen muchos problemas de falta de parches. Se actualiza poco a las nuevas versiones de los productos que usan las empresas. Si salen actualizaciones, pues hay que actualizar en la medida de lo posible. Esto ahorraría muchos disgustos (como el famoso WannaCry y muchísimas brechas más que se han producido por falta de actualización de productos). Las configuraciones por defecto siguen siendo un problema grave. También las prisas a la hora de administrar los sistemas, ya que esto supone que un servidor/red quede expuesta.

Y hasta aquí lo esencial. Podríamos seguir, sin duda, pero dejémoslo para otro día. En nada os daré a conocer más sobre el perfil de Jorge y sus interesantes y útiles conocimientos para prevenir el ciberriesgo, por ejemplo, en vuestros smartphones. Consejos e información con la garantía de Binaura, por supuesto. También puedes visitar su página http://jmilla.es

 

Entrevista Proveedores Hosteltur

Xavier Ferretjans y BinauraMonlex tuvieron un destacado papel en la mesa redonda sobre Innovación.

Xavier Ferretjans y BinauraMonlex tuvieron un destacado papel en la mesa redonda sobre Innovación.

Hoy os dejamos un enlace a una entrevista que la revista Proveedores Hosteltur nos ha realizado a raíz de nuestra participación en las jornadas “Encuentro Proveedores Hosteltur” que tuvo lugar en Madrid los días 16 y 17 del pasado Enero. La participación de Xavier Ferretjans en la mesa redonda de innovación causó el suficiente interés para que esta prestigiosa publicación haya querido profundizar en el tema. Esperamos que os resulte interesante.

Accede a la Entrevista íntegra

Especialistas en Derecho de las Nuevas Tecnologías: los abogados ‘transversales’ del SXXI

fotovanesa-1003x1030

Vanesa López Abogada Experta en TIC en BinauraMonlex

  • El Derecho de las Nuevas Tecnologías es, a día de hoy, una especialidad con identidad propia que no puede vincularse a ninguna otra, pero es aplicable a todas las de
    más. Dicho de otra forma, su utilización es transversal y nos coloca frente a una amplia gama de implicaciones: delitos informáticos, infracciones en materia de protección de datos, contratos tecnológicos, e-commerce o, incluso, el ámbito laboral, etc…

Esta pequeña introducción, de apenas cuatro pinceladas, nos permite acercarnos mejor al día a día en BinauraMonlex de Vanesa López, nuestra abogada experta en Derecho de las Nuevas Tecnologías. Aunque el recorrido de esta especialización puede estar apenas en sus inicios, algunos se pusieron ya hace unos años en la línea de salida, anticipándose incluso a la creciente demanda que se iba a producir. ¿En tu caso, Vanesa, cómo empieza la relación entre la abogacía y la tecnología?

Fue ya al finalizar la carrera, ese momento en el que cada uno va tirando hacía donde le interesa o hacía donde puede. A mí se me planteó la posibilidad de realizar un curso en materia de Protección de Datos, algo que en aquel momento se desconocía totalmente pese a que la ley llevaba ya muchos años en vigor. Me sorprendía la poca estima que se tenía – en general – por parte de la gente sobre sus datos personales. Sobre todo viendo lo valorados que eran estos por parte de las empresas… El siguiente paso fue una oferta de trabajo en una Consultora de Protección de Datos. ¡Era una señal!.

No hay que olvidar que ha sido la informática (y por lo tanto las nuevas tecnologías) la que, al hacer posible la recogida, uso y transmisión fácil de todo tipo de información, ha generado precisamente esa necesidad de establecer normas que limiten la utilización de datos personales. Ahora, ya con la perspectiva que da la experiencia, ¿crees que tu especialidad es una de las novedades más revolucionarias en la práctica jurídica?

Las nuevas tecnologías han provocado una revolución, sin lugar a dudas. La sociedad se encuentra con nuevas maneras de interactuar, con la necesidad de estar en “modo on” las 24 horas del día. El comercio electrónico, por ejemplo, nos facilita opciones impensables hace unos años, aunque todo ello ha generado también unas necesidades y una problemática que reclama soluciones. La especialidad en Nuevas Tecnologías se concibe revolucionaria al ir a la par con las necesidades que generadas. Creo, por simplificar, que es una consecuencia del día a día.

¿Qué es lo que más te sorprende del ‘fenómeno TIC’?

Pues fíjate que la falta de interés. Y también la credibilidad de la gente…me explico: no digo que todos seamos expertos (ni mucho menos), pero si en el día a día no vas por la calle hablando con extraños ¿por qué regalas tu información a cambio de nada?. Y lo hago extensivo a las redes sociales, a concursos inventados, a e.mails infectados… el uso de las Nuevas Tecnologías está al alcance de todos, los que comparten conocimientos y los que quieren que tú “compartas” con ellos. No podemos creer todo lo publicado en Internet, igual que no creemos todo lo que se dice en la calle. En definitiva, que no vale eso de “lo he leído en Internet”.

Pues si a título particular se sigue siendo tan “crédulo”, imagino que la falta de conocimientos (eso que en BinauraMonlex llamamos cibercultura) sobre el marco normativo que regula toda la actividad vinculada a las Nuevas Tecnologías será también destacable…¿Quiénes están reclamando más tu asesoramiento, particulares o empresas?

Sin duda, empresas. Son las que tienen que recibir más asesoramiento y las que deben someterse y cumplir la normativa, contemplando medidas de seguridad en sus sistemas. Los particulares lo que debe hacer es conocer sus derechos y ejercerlos.

¿Leyes y normativas tienen mucho recorrido por delante para garantizar una correcta utilización de las nuevas tecnologías o lo básico ya está cubierto?

En este caso hay que tener en cuenta que siempre vamos un paso por detrás. No podemos obviar que evolución tecnológica es una constante y es imposible regular lo que no está inventado. Es un proceso lento y, como se suele decir, nunca llueve a gusto de todos… Hay muchos factores y muchos puntos de vista a tener en cuenta. Lo que era básico ayer no es básico hoy, y así llega mañana.

Con todo,  ¿crees que estamos preparados para regular el impacto y uso de las nuevas tecnologías?. ¿Se trabaja en una cultura “tecnológica para prevenir y asesorar sobre sus límites, derechos, etc?

Por supuesto, toda materia puede ser regulada y en este campo específico debe trabajarse constantemente en ello debido a su  evolución. Actualmente nos encontramos con que los conocimientos tecnológicos de los usuarios han ido en aumento. Hoy en día casi todos tenemos un smartphone y encontramos el modo de  configurar lo que nos interesa, una tableta, un ordenador, etc… accedemos a redes sociales y compartimos datos. Vamos aceptando en nuestro vocabulario ‘política de privacidad’ y ‘condiciones de uso’. ¡Hay quien incluso quien se lo lee!!. Somos conscientes de que existen virus, troyanos, ramsonware, etc. Existen campañas para concienciar a padres y menores sobre el uso de redes sociales e incluso conocemos términos como ciberataque… Sí, obviamente se está creando  cultura y existe recepción por parte de los usuarios.

 Hablemos ahora de BinauraMonlex. Dentro de los servicios jurídico-tecnológicos que se ofrecen ¿qué te llama más la atención?

Sin duda, la parte jurídica que envuelve la creación de nuevas aplicaciones. Me sorprende la cantidad de temas a tener en cuenta. Es impresionante. De hecho, es muy importante que la gente sea consciente de que la creación de apps, blogs –incluyendo los personales- páginas comerciales, etc, está bajo regulación y se tiene que cumplir con distintas y diversas leyes.

¿Hay mucha competencia ya en tu sector?

La verdad es que parece un tema nuevo, y no es así. En el mercado ya hay muy buenos abogados y, si bien es cierto que no en la misma cantidad que en otras materias, somos ya unos cuantos los que estamos en la calle con esta especialización…

Para terminar ya: de todo lo que has visto y conocido hasta ahora, ¿qué es lo que más te llama la atención?

No sabría decirte. Es que no paro de sorprenderme ante la rapidez y complejidad de la evolución tecnológica, sus consecuencias y, por tanto, la velocidad a la que yo y BinauraMonlex tenemos que adaptarnos.

Esa podría ser la clave del posicionamiento actual de la marca BinauraMonlex: la capacidad de adaptarse a entornos cualquier cosa menos estáticos. La habilidad de plantear soluciones eficaces  (preventivas y reactivas) ante necesidades de nuevo cuño.

 

¿Está tu hotel preparado para el aumento de las exigencias en gestión sostenible que reclama el mercado?

Agencias, touroperadores y clientes directos valoran, cada vez más, el compromiso medioambiental de los establecimientos.  

La sostenibilidad es la gran alternativa para la ocupación hotelera cuando se acaben las cifras record de visitantes.

 

El ‘lleno absoluto’ que se está registrando en diferentes destinos turísticos durante este verano, como ocurre en Baleares, ha reabierto el debate de la sostenibilidad. Al margen de las derivadas políticas y económicas que genera una excesiva ocupación (no siempre rentable cuando se confronta a los recursos que consume), lo cierto es que ya hace unos años que el compromiso con una gestión hotelera responsable forma parte incluso de los criterios de contratación. En Binaura Consultores hemos comprobado cómo diferentes touroperadores vinculan cada vez más la inclusión de determinados hoteles en sus paquetes vacacionales, a las certificaciones en materia de gestión medioambiental que pueden acreditar. Dicho de otro modo: dan prioridad para la reserva de plazas a los establecimientos que demuestran un compromiso inequívoco en este ámbito.

Abraham Parrona es nuestro responsable de Desarrollo de Negocios. Evaluador del modelo de excelencia EFQM, la fundación europea para la gestión de calidad, ha analizado la evolución en aumento de estas exigencias…

Los touroperadores llevan varios años incentivando a los hoteles para que adopten políticas de sostenibilidad que otorguen mayor visibilidad y prestigio de cara a los clientes finales. Para ello crearon sistemas que podríamos catalogar de ‘autoevaluación’ mediante un “checklist” como Travelife, que es una solución para gestionar esa sostenibilidad en los negocios turísticos y proveedores de servicios. Pero inicialmente, no podían considerarse sistemas de gestión, y eran medidas escasas y de poco calado en los hoteles. Con el tiempo, ese método ha aumentado considerablemente sus exigencias y los hoteles se ven sometidos a auditorias y controles por parte de los TTOO. En cualquier caso, aquellos hoteles que se inclinen por un sistema de gestión medioambiental basado, por ejemplo, en la Norma ISO 14001 cubren con creces los criterios de Travelife… pero además dotan de un sistema en continua mejora, que aporta un importante ahorro de costes y una mejora en la imagen de marca, entre otros muchos beneficios.

fotoABRAHAM_2

  • Dependiendo del mayorista, las certificaciones Travelife y Green Key son las más requeridas, aunque supongan en realidad el mínimo a cumplir para aquellos establecimientos que decidan adoptar medidas de sostenibilidad, ¿no?.

Así es. No obstante, certificaciones como EMAS, de origen europeo,  e ISO 14001, con  reconocimiento internacional, son muy bien recibidas por los touroperadores, porque saben el esfuerzo que supone la implantación de estos sistemas. Aunque los beneficios que implican para los clientes y los propios hoteles son excepcionales también.

  • Lo que llama la atención es que esos propios TTOO estén más interesados por las certificaciones medioambientales, que valoran de manera significativa los turistas alemanes y escandinavos, principalmente, que por las de calidad. ¿Qué opinión tiene Binaura Consultores sobre ello?

Lo cierto es que las medidas a implantar por parte de los touroperadores no contemplan iniciativas de gestión de calidad. El gran Know-how en gestión que atesoran nuestras cadenas (aunque un SGC aportaría grandes ventajas) puede ser una de las razones por las que los operadores destinen sus esfuerzos a criterios más novedosos. Es relativamente reciente el interés por parte de los ciudadanos y de las empresas en adoptar comportamientos responsables con la sociedad y con nuestro entorno, y esta concienciación convierten a esos sistemas de gestión en algo que aporta un valor añadido muy atractivo para los clientes.

  • ¿Cuáles son los principales consejos que podríamos aportar a los hoteles desde Binaura Consultores?

El primero es una obviedad, y tiene que ver con la rapidez con la que está cambiando la manera en la que los clientes pueden acceder a la reserva de sus vacaciones, así que los TTOO no están solos y cada vez hay más actores compitiendo. También hay que prestar atención a la irrupción en escena de las viviendas de turismo vacacional, con aumentos ocupacionales superiores al 20% anual…son los compromisos con la gestión responsable los que aportarán una diferenciación y un valor añadido frente a este incipiente modelo de pernoctación.

El segundo pasa por pensar a medio-largo plazo: aunque ahora el flujo de turistas a España es cada año mejor y puede conseguirse una gran ocupación debido a la enorme demanda (ojo, y  sin que muchos de los visitantes puedan elegir lo que realmente buscan por falta de plazas), en años en los que disminuya la ocupación, aquellos hoteles que demuestren su compromiso con la calidad y sostenibilidad serán los que aporten mayores garantías a los visitantes.

  • Así que podríamos concluir que, cada año, las exigencias en criterios de sostenibilidad irán en aumento…

Sí. Crecerán en paralelo a la necesidad de conseguir la mayor satisfacción de los clientes y su fidelización. Y precisamente por ello en Binaura Consultores apostamos por sistemas de gestión medio ambiental altamente reconocidos, como los que anteriormente hemos comentado basados en la Norma ISO 14001, que pueden ser certificados y cuyo sello es conocido a nivel internacional. Lo cierto es que aportan credibilidad no sólo a los turoperadores, sino ante los clientes finales y la forma de organizar sus viajes. Además, conviene recordar a las empresas que ya atesoren este sello en su versión de 2004 que tienen de plazo hasta 2018 para realizar la transición hacia la última.

  • Parece que esta tendencia en auge sólo beneficia a una parte de la industria turística, pero la verdad es que los hoteles también salen ganando ya que este tipo de sistemas de gestión tiene entre sus ventajas la fidelización, mejor imagen de marca, ahorro de costes, satisfacción de trabajadores y clientes, mejora en la utilización de recursos, etc…

Lo que está claro y cada vez entienden más empresas, de cualquier tamaño además, es que implantar un Sistema de Gestión Ambiental (SGA) les ayuda a controlar los impactos que producen sus actividades en el medio ambiente, reducirlos o incluso eliminarlos, haciendo de cada una de ellas una organización más sostenible. Y que además cumple con la legislación ambiental vigente. Por ese motivo, todas estas inquietudes están ya también muy presentes en el ámbito sanitario. Sus centros consumen grandes recursos y su impacto en el entorno puede representar un importante riesgo medioambiental. De ahí que hayamos detectado también un aumento del interés por los sistemas de gestión ambiental también en este campo, el sanitario, otra de nuestras áreas de especialización junto a la turística y la tecnológica.

Un último dato para acabar con cualquier duda sobre la conveniencia de no desoír la llamada de la ‘tendencia verde’ en los negocios: las empresas con un SGA implantado obtienen mejores valoraciones de sus clientes. Y al fin y al cabo, ellos son los que pueden hacerla crecer, ¿no?.

BINAURAMONLEX: LA CIBERSEGURIDAD GESTIONADA POR PROFESIONALES ACREDITADOS

En opinión de nuestro asesor experto en los servicios más tecnológicos: “la seguridad informática debe ser un esfuerzo conjunto y continuo por parte de todos los miembros de una empresa”. Conseguir la implicación general y global es parte de la cibercultura de la prevención por la que abogamos.

IMAGEN

La nueva realidad tecnológica ha provocado la transformación de las empresas y la forma de relacionarse entre ellas. Las nuevas tecnologías han propiciado esa transformación, generando una gran oportunidad para mejorar su comunicación y el acceso a nuevos mercados, productos y clientes. Sin embargo, todo ello supone nuevos riesgos de diferente índole a los que hacer frente.

La creación de BinauraMonlex responde a esa nueva realidad empresarial y, día a día, un equipo multidisciplinar y acreditado, orienta a sus clientes sobre cómo disfrutar de todas las ventajas que otorgan las TIC…pero controlando sus riesgos organizativos, jurídicos y tecnológicos.

Básicamente se trata de ofrecer una solución integral a las necesidades en seguridad de la información en cada una de las fases de un posible incidente: antes, durante y después (prevención, análisis y reacción). Uno de nuestros consultores de seguridad de la información en su variante más técnica es J. Le hemos pedido a este Ingeniero Superior en Informática con las certificaciones CISA (Certified Information System Auditor) y CISSP (Certified Information Systems Security Profesional), que nos explique su experiencia, opinión y recomendaciones para hacer frente a un momento especialmente importante en lo que BinauraMonlex denomina la ‘cibercultura de la seguridad’. Esperamos que te resulte interesante saber qué personas y sus conocimientos forman la barrera humano-tecnológica frente a la delincuencia en la red.

J, cómo explicarías tu trabajo de la forma menos técnica y más compresible posible…

Mi trabajo es lo que se conoce como hacker de sobrero blanco (white hacker). Intentamos romper la seguridad de los sistemas informáticos sin razones maliciosas y siempre contratados por las propias organizaciones, con el fin de encontrar y arreglar sus vulnerabilidades o agujeros de seguridad presentes. En definitiva, intentando evitar incidentes de seguridad futuros.

Sin embargo, te ‘molesta’ que te llamen hacker.

 En particular, sí, ya que se te encasilla en una posición que, al menos en mi caso, no es la que se me atribuye. La gente en general desconoce los diferentes perfiles del hacking, y por lo tanto, las diferentes razones por la que cada uno nos dedicamos a estas actividades. En el momento en el que escuchamos la palabra hacker, enseguida se asocia a criminal o persona de poca confianza.  No obstante, todo ello es comprensible ya que en los medios de comunicación sólo se da popularidad a los ciberataques realizados por hackers de sombrero negro o gris.

Entonces cuéntanos tu cometido, por qué elegiste este camino…

Cuando empecé a estudiar la carrera, comprendí que quería diferenciarme del resto. A ese sentimiento se añadió que, por entonces, cada vez eran más los casos conocidos de ciberataques y la repercusión (a nivel económico y/o social) que tenían en las organizaciones o sistemas afectados. Me entró el gusanillo y decidí auto formarme al respecto.

¿Crees que tu actividad se entiende en las empresas, o sólo en los departamentos concretos que se ocupan de estas cuestiones?

Normalmente, sólo se entiende en aquellas empresas que manejan/albergan información sensible y/o consideran la información como un activo estratégico dentro de la misma. Por lo tanto, uno de sus mayores objetivos consiste en salvaguardar la seguridad de dicha información, evitando accesos no autorizados que puedan poner en peligro su confidencialidad e integridad.

Y en general, ¿cómo valoras la cultura de la ciberseguridad en las empresas españolas?

Todavía no asignan a la seguridad informática el peso que se merece. Sólo en algunas grandes empresas existe un responsable de seguridad de la información que reporta directamente a la dirección general. Es un claro síntoma de que sigue faltando mucho por hacer. Además, los escasos recursos con los que suelen contar las PYMES, dificultan la expansión de la ciberseguridad en el tejido empresarial.

No obstante, cada vez hay una mayor preocupación al respecto. A raíz del aumento de los incidentes acontecidos cada año, las empresas se están dando cuenta que es vital apostar por la protección informática. Se estima que la inversión en ciberseguridad sufra un aumento exponencial en los próximos años.

¿Cuál sería la foto de la principales amenazas en este momento?

Es necesario tener en cuenta que las amenazas de seguridad a las que se enfrenta cualquier empresa pueden tener un origen tanto externo, como interno.

Una vez dicho eso, los principales vectores de ataque utilizados hoy en día son:

  • Ataques que causan denegaciones de servicio (DoS o DDoS) y por tanto, pérdida de disponibilidad y daño en la reputación de la imagen de la empresa, dependiendo de los servicios que se vean afectados por los ataques
  • Extorsiones vía ransomware (software malicioso instalado en los computadores que impide el acceso a determinada información, solicitando un rescate para recuperar su control) por parte de los atacantes dirigida a empresas y/o particulares cuyos datos han sido ‘secuestrados’.
  • Accesos no autorizados debido a malas configuraciones (vía web, vía wifi, etc.) desde donde un atacante pudiera acceder a otras redes y/o equipos inicialmente no accesibles.
  • Fuga de información provocada por empleados descontentos con acceso a datos sensibles, o trabajadores con poca formación en materia de ciberseguridad que suponen un riesgo por el uso de dispositivos USB, descargas de páginas inseguras, apertura de correos con phising, etc.

¿Y en el corto-medio plazo, de qué amenazas estaríamos hablando?

Se estima que los vectores de ataque más utilizados a corto plazo sigan la tendencia de este último año, centrándose en las extorsiones vía ransomware dirigidas tanto a empresas como a usuarios. Además con los smartphones como objetivo cada vez más interesante para los atacantes, dada la falta de medidas de seguridad establecidas en los mismos.

Adicionalmente, se estima que con IoT (Internet of things) el número de dispositivos conectados a la red multiplicará por cuatro a la población mundial en los próximos años. Así que será necesario situar a la ciberseguridad entre las prioridades de cualquier empresa o particular. Me gusta recordar que siempre debemos tener en cuenta las máximas de que “La tecnología no nace segura” y “La seguridad completa no existe”.

¿Cuáles son las recomendaciones básicas que darías en un pitch a un grupo de empresarios o sus directivos?

Ninguna empresa está libre de ser objetivo de un ciberataque tanto interno como externo. Por lo tanto, recomendaría una serie de medidas de seguridad mínimas que intenten prevenir y limitar el impacto de un posible incidente de seguridad.

Entre esas recomendaciones básicas incluiría:

  • El establecimiento de una política de contraseñas robusta para todas las aplicaciones y/o dispositivos electrónicos existente en la empresa
  • La definición y puesta en marcha de una política de backups adecuada a las necesidades de la empresa
  • Instalación de equipos de prevención (antivirus, IDS, IPS, firewalls, etc…)
  • Permitir únicamente la navegación por páginas seguras y de confianza
  • Limitar el uso de programas de acceso remoto
  • Mantener actualizado todo el software instalado en la empresa
  • Prestar atención al uso del correo electrónico, es una de las vías más utilizadas por los atacantes para infectar los equipos

La seguridad informática debe ser un esfuerzo conjunto y continuo por parte de todos los miembros que forman parte de una empresa.

¿Y los particulares, qué deberían tener en cuenta?

El principal objetivo de los ciberataques que se producen hoy en día es el dinero, y los particulares son las presas más indefensas. Sin embargo, no parece haber cundido la necesidad de salvaguardar nuestros datos personales entre la gente.

Por lo tanto, como recomendación inicial, siempre aconsejaría ser un poco escéptico a la hora de proporcionar datos personales, sin valorar exhaustivamente el nivel de seguridad aportado por la solución tecnológica utilizada.

Por otro lado, como medidas adicionales, recomendaría

  • No acceder a páginas web consideradas peligrosas
  • Limitar los permisos otorgados a las aplicaciones instaladas en nuestros smartphones
  • Utilizar contraseñas difíciles de averiguar
  • Evitar la instalación de aplicaciones de origen dudoso en nuestros computadores
  • Tener mucho cuidado a la de seguir los enlaces incluidos y/o visualizar los documentos adjuntados en los correos electrónicos recibidos cuyo origen no sea “cotidiano”
  •  llevar a cabo copias de seguridad recurrentes de la información que consideremos sensible

¿Seguís siendo pocos para tanto reto, tiene tu perfil profesional mucha demanda?

Por supuesto que sí, es una profesión con mucho futuro donde cada vez hay mayor demanda. Pero también hay de trabajo vacantes sin cubrir,  por falta de personal cualificado.

Para hacer frente a esas carencias,¿crees que nuestro entorno educativo está preparado para ello, para formar adecuadamente a los profesionales necesarios?

En los últimos años han surgido ofertas educativas en las universidades españolas bastante adecuadas y muy bien enfocadas por expertos en la materia, que permiten a cualquier joven adentrarse e iniciarse en este mundo con una base sólida y estructurada. Sin embargo, no olvidemos que esta profesión tiene un alto grado asociado de autoformación y continuo reciclaje. De hecho, hay que mantenerse activo, poner a prueba diariamente tus conocimientos en cada uno de los proyectos que realizas. Hay que tener en cuenta que los sistemas informáticos de cada organización son diferentes unos de otros.

Lo mismo pasa con la actitud de cada organización: cada una tiene su peculiar forma de afrontar la oportunidad de asesoramiento de Seguridad TIC, Hardening de sistemas, la Auditoría de Cogido Fuente, el Análisis Forense o el Hacking Ético. Quizá saber cómo piensan y actúan los profesionales que prestan esos servicios aporte el valor añadido en el que trabaja BinauraMonlex para contar con la confianza de sus clientes…