Los test de intrusión como elemento preventivo del ciberriesgo

Yo, que no explico las nuevas tecnologías sino aquello para lo que sirven, llevo un tiempo queriendo saber qué es y para qué vale un test de intrusión. Entre tanta noticia sobre ciberseguridad (más bien los fallos de la misma) y con cada vez más hackers explicando y aconsejando sobre cómo prevenir, he decidido escribir algo que responda a mis preguntas y resuelva mis dudas. Así que aprovecho el equipo humano de Binaura Consultores y le lanzo todas las consultas a mi compañero Jorge González Milla, Pentester & Developer con sobrados conocimientos y trayectoria profesional como para impartir un tutorial que despeje cualquier incógnita. Esta es la entrevista construida tras una conversación que espero os resulte tan ilustrativa como interesante. Y útil, si es posible.

Test de intrusión: la clave para saber si sufrirás un ciberataque y por qué (y cómo prevenirlo)

CT: Si tuvieras menos de un minuto para convencerme de que un test de intrusión puede ayudarme en materia de ciberseguridad… ¿cómo me ‘venderías’ este servicio que en Binaura está funcionando tan bien?

Jorge: Te diría que cambies el chip, que en algún momento vas a ser atacada y no por ser pyme o un autónomo van a dejar de atacarte. De hecho, piensa que es mucho más fácil atacar a pymes y autónomos porque no pueden adoptar las mismas medidas de seguridad que, por ejemplo, una gran corporación. Con un test de intrusión sabrías por donde te van a atacar, porque lo van a hacer (si no lo han hecho ya). Y si eres una gran empresa, van a ir a por todo lo que tienes.

CT: Bien, Jorge. Me ha interesado tu planteamiento. Ahora descríbeme algunos beneficios directos e indirectos que pueden derivarse de un test de intrusión.

Jorge: Ahí van (son unos cuantos, ¿eh?)… Para empezar, la empresa puede saber por dónde la van a atacar. Es un método por el que la organización conoce sus vulnerabilidades. Que no quepa duda de que todos seremos atacados en algún momento, y que más vale que usemos controladamente un test de intrusión para descubrir (y arreglar) los agujeros de seguridad, que dejar que lo haga un ciberdelincuente y se aproveche de él. Vamos, que acabe dentro de la empresa haciendo y deshaciendo a su antojo.

Si el test se hace continuado (que es como debería hacerse), la empresa podrá estar siempre al tanto de sus vulnerabilidades, con lo que su marca no quedará dañada por un ataque. Imagina que acceden a tu base de datos y sustraen toda la información…un defacement (alteración provocada por un atacante) a la propia página web de la empresa provocaría desconfianza, tanto en clientes como en inversores.

Además, con esta técnica:

  • Se determina la factibilidad real de un ataque y su impacto en la empresa
  • Eleva la conciencia sobre la seguridad de la información
  • Provee la información necesaria para implementar controles de seguridad (como, por ejemplo, no instalar firewalls a lo loco) y mitigar riesgos. De hecho, supone un ahorro para la organización, al implementar sólo los controles necesarios
  • En algunas ocasiones, un test de intrusión permite descubrir que existen invitados ‘no deseados’ dentro de la red/servidores de la compañía. Ni qué decir tiene que un test de intrusión periódico podría evitar la fuga de datos, evitar incidentes, etc…

En definitiva, la empresa no estaría ‘ciega’ ante un presente/futuro ataque. Además, hay que considerar que la nueva normativa europea de protección de datos será muy estricta a partir del 2018 (entra en vigor en mayo) y si no se cumplen ciertas normas, puede suponer un peligro para la economía. Además de para la marca de la empresa, claro.

Si salen actualizaciones de un producto, hay que actualizar sí o sí

CT: ¿Qué porcentaje de test de intrusión tiene resultados satisfactorios y cuáles son los principales ‘problemas/brechas’ en las empresas sometidas a alguno?

Jorge: Actualmente, la mayoría de test de intrusión que he realizado han tenido resultados satisfactorios. En nuestro caso, que sea así se puede entender de dos formas:

  • Satisfactorio para la empresa: si el resultado es que no se han encontrado apenas vulnerabilidades (que, en mi caso, y supongo que en el de casi el 100% de pentesters no es lo que sucede) quiere decir que la empresa se ha puesto las pilas, enhorabuena, porque no haya muchas.
  • Satisfactorio para el pentester: si el resultado es satisfactorio porque se han hallado muchas vulnerabilidades, hay que hacer un trabajo más en profundidad e instigar a la empresa a solventarlo. Lo que yo he encontrado hasta ahora suele ser este tipo de resultado, que por la parte del pentester es satisfactorio, pero por parte de la empresa no.

Tengo que matizar que los principales problemas que existen están, sobre todo, en quienes manejan las máquinas. Por muchas medidas de seguridad que pongas, el error humano siempre está ahí, así que trabajamos por la concienciación. También existen muchos problemas de falta de parches. Se actualiza poco a las nuevas versiones de los productos que usan las empresas. Si salen actualizaciones, pues hay que actualizar en la medida de lo posible. Esto ahorraría muchos disgustos (como el famoso WannaCry y muchísimas brechas más que se han producido por falta de actualización de productos). Las configuraciones por defecto siguen siendo un problema grave. También las prisas a la hora de administrar los sistemas, ya que esto supone que un servidor/red quede expuesta.

Y hasta aquí lo esencial. Podríamos seguir, sin duda, pero dejémoslo para otro día. En nada os daré a conocer más sobre el perfil de Jorge y sus interesantes y útiles conocimientos para prevenir el ciberriesgo, por ejemplo, en vuestros smartphones. Consejos e información con la garantía de Binaura, por supuesto. También puedes visitar su página http://jmilla.es

 

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *