Entradas

Los test de intrusión como elemento preventivo del ciberriesgo

Yo, que no explico las nuevas tecnologías sino aquello para lo que sirven, llevo un tiempo queriendo saber qué es y para qué vale un test de intrusión. Entre tanta noticia sobre ciberseguridad (más bien los fallos de la misma) y con cada vez más hackers explicando y aconsejando sobre cómo prevenir, he decidido escribir algo que responda a mis preguntas y resuelva mis dudas. Así que aprovecho el equipo humano de Binaura Consultores y le lanzo todas las consultas a mi compañero Jorge González Milla, Pentester & Developer con sobrados conocimientos y trayectoria profesional como para impartir un tutorial que despeje cualquier incógnita. Esta es la entrevista construida tras una conversación que espero os resulte tan ilustrativa como interesante. Y útil, si es posible.

Test de intrusión: la clave para saber si sufrirás un ciberataque y por qué (y cómo prevenirlo)

CT: Si tuvieras menos de un minuto para convencerme de que un test de intrusión puede ayudarme en materia de ciberseguridad… ¿cómo me ‘venderías’ este servicio que en Binaura está funcionando tan bien?

Jorge: Te diría que cambies el chip, que en algún momento vas a ser atacada y no por ser pyme o un autónomo van a dejar de atacarte. De hecho, piensa que es mucho más fácil atacar a pymes y autónomos porque no pueden adoptar las mismas medidas de seguridad que, por ejemplo, una gran corporación. Con un test de intrusión sabrías por donde te van a atacar, porque lo van a hacer (si no lo han hecho ya). Y si eres una gran empresa, van a ir a por todo lo que tienes.

CT: Bien, Jorge. Me ha interesado tu planteamiento. Ahora descríbeme algunos beneficios directos e indirectos que pueden derivarse de un test de intrusión.

Jorge: Ahí van (son unos cuantos, ¿eh?)… Para empezar, la empresa puede saber por dónde la van a atacar. Es un método por el que la organización conoce sus vulnerabilidades. Que no quepa duda de que todos seremos atacados en algún momento, y que más vale que usemos controladamente un test de intrusión para descubrir (y arreglar) los agujeros de seguridad, que dejar que lo haga un ciberdelincuente y se aproveche de él. Vamos, que acabe dentro de la empresa haciendo y deshaciendo a su antojo.

Si el test se hace continuado (que es como debería hacerse), la empresa podrá estar siempre al tanto de sus vulnerabilidades, con lo que su marca no quedará dañada por un ataque. Imagina que acceden a tu base de datos y sustraen toda la información…un defacement (alteración provocada por un atacante) a la propia página web de la empresa provocaría desconfianza, tanto en clientes como en inversores.

Además, con esta técnica:

  • Se determina la factibilidad real de un ataque y su impacto en la empresa
  • Eleva la conciencia sobre la seguridad de la información
  • Provee la información necesaria para implementar controles de seguridad (como, por ejemplo, no instalar firewalls a lo loco) y mitigar riesgos. De hecho, supone un ahorro para la organización, al implementar sólo los controles necesarios
  • En algunas ocasiones, un test de intrusión permite descubrir que existen invitados ‘no deseados’ dentro de la red/servidores de la compañía. Ni qué decir tiene que un test de intrusión periódico podría evitar la fuga de datos, evitar incidentes, etc…

En definitiva, la empresa no estaría ‘ciega’ ante un presente/futuro ataque. Además, hay que considerar que la nueva normativa europea de protección de datos será muy estricta a partir del 2018 (entra en vigor en mayo) y si no se cumplen ciertas normas, puede suponer un peligro para la economía. Además de para la marca de la empresa, claro.

Si salen actualizaciones de un producto, hay que actualizar sí o sí

CT: ¿Qué porcentaje de test de intrusión tiene resultados satisfactorios y cuáles son los principales ‘problemas/brechas’ en las empresas sometidas a alguno?

Jorge: Actualmente, la mayoría de test de intrusión que he realizado han tenido resultados satisfactorios. En nuestro caso, que sea así se puede entender de dos formas:

  • Satisfactorio para la empresa: si el resultado es que no se han encontrado apenas vulnerabilidades (que, en mi caso, y supongo que en el de casi el 100% de pentesters no es lo que sucede) quiere decir que la empresa se ha puesto las pilas, enhorabuena, porque no haya muchas.
  • Satisfactorio para el pentester: si el resultado es satisfactorio porque se han hallado muchas vulnerabilidades, hay que hacer un trabajo más en profundidad e instigar a la empresa a solventarlo. Lo que yo he encontrado hasta ahora suele ser este tipo de resultado, que por la parte del pentester es satisfactorio, pero por parte de la empresa no.

Tengo que matizar que los principales problemas que existen están, sobre todo, en quienes manejan las máquinas. Por muchas medidas de seguridad que pongas, el error humano siempre está ahí, así que trabajamos por la concienciación. También existen muchos problemas de falta de parches. Se actualiza poco a las nuevas versiones de los productos que usan las empresas. Si salen actualizaciones, pues hay que actualizar en la medida de lo posible. Esto ahorraría muchos disgustos (como el famoso WannaCry y muchísimas brechas más que se han producido por falta de actualización de productos). Las configuraciones por defecto siguen siendo un problema grave. También las prisas a la hora de administrar los sistemas, ya que esto supone que un servidor/red quede expuesta.

Y hasta aquí lo esencial. Podríamos seguir, sin duda, pero dejémoslo para otro día. En nada os daré a conocer más sobre el perfil de Jorge y sus interesantes y útiles conocimientos para prevenir el ciberriesgo, por ejemplo, en vuestros smartphones. Consejos e información con la garantía de Binaura, por supuesto. También puedes visitar su página http://jmilla.es

 

Barceló apuesta por BinauraMonlex y March JLT como asesores de riesgos cibernéticos

  • El proceso ha sido coordinado por el área de Riesgos del Grupo Barceló, para analizar y evaluar el impacto de estas amenazas en sus operaciones
    La protección de datos es una especialidad de BinauraMonlex

    Seguimos “echándole” el pulso a la ciberdelincuencia con soluciones y prevención

    Como consultora especializada en la gestión y seguridad de la información, desde BinauraMonlex nos complace anunciar nuestra participación en el acuerdo que, de la mano de March JLT, nos permitirá asesorar al Grupo Barceló frente a los riesgos cibernéticos.

    En concreto, trabajamos con las Unidades de Ocio y Turismo y Ciber Riesgos del bróker de seguros para establecer las amenazas existentes sobre los procesos de negocios del grupo turístico expuestos a ciberataques, así como las consecuencias en el caso de que tales amenazas se materialicen. Tal y como recoge la información emitida por March JLT y publicada recientemente en https://proveedoreshosteltur.com/seguridad-proveedores/barcelo-march-jlt-riesgos-ciberneticos/  “en el trabajo realizado se presentan los procesos críticos de negocio identificados y el nivel máximo de riesgo al que están expuestos”. Finalmente, se establece el impacto “considerando el punto de vista legal, económico, operacional y de reputación, con el objetivo de darles una cobertura adecuada”.

    El proceso ha sido coordinado por el área de Riesgos del Grupo Barceló. Desde BinauraMonlex nos sumamos a las palabras de Álvaro Mengotti (Chief Commercial Officer de March JLT), quien ha asegurado que la confianza depositada en nuestros equipos “supone un impulso para que sigamos trabajando en busca del mejor servicio para nuestros clientes”.

 

BinauraMonlex lleva la ciberseguridad y la protección de datos a los Graduados Sociales

  • El Colegio Oficial de este colectivo profesional, con su presidenta Emilia Goyanes al frente, acogió la conferencia sobre cómo actúan los hackers y qué consecuencias puede tener un ataque en pequeñas y medianas empresas
  • ¾ partes de los ciberataques tienen a las pymes como objetivo. Casi la mitad de ellas paga rescate por recuperar sus datos tras un secuestro con ransomware
Emilia Goyanes, Xavier Ferretjans y Abraham Parrona, en el Colegio Oficial de Graduados Sociales

Emilia Goyanes, Xavier Ferretjans y Abraham Parrona, en el Colegio Oficial de Graduados Sociales

Quien más quien menos ya ha asimilado que el cibercrimen ha dejado de ser un concepto difuso para aceptarse como una realidad que, cada vez más, provoca pérdidas económicas y daños a la imagen de personas y empresas. Su impacto (tanto en formas de ataque como en consecuencias) no sólo crece exponencialmente, sino que va a seguir aumentando a medida que estemos más conectados. Probablemente el riesgo cero no exista, pero quedarse de brazos cruzados no es una opción…

Esa es la breve introducción con la que BinauraMonlex se acaba de presentar ante los Graduados Sociales, con una charla coorganizada por la Fundación y el Colegio Oficial de estos profesionales y en la que su presidenta, Emilia Goyanes, actuó de anfitriona. Nuestro responsable de nuevas tecnologías y seguridad de la información ayudó a los Graduados Sociales asistentes a conocer la evolución de las agresiones tecnológicas más relevantes: desde los virus de los años 70 del siglo pasado (cuando Internet aún no se había desarrollado y lo más parecido a la red era la primigenia Arpanet) hasta los primeros hackers de los 90 obsesionados más por exhibir sus capacidades que por dañar realmente un sistema, los gusanos y troyanos de principios del siglo XXI seguidos de los malware lucrativos y, desde 2015, los ya famosos ransomware que van a seguir dando muchos dolores de cabeza. El equivalente a lo ‘robado’ por este método en todo el mundo durante 2016 fue de mil millones de dólares.

Xavier Ferretjans explicó que “los expertos calculan que al menos en los próximos años son precisamente estos malintencionados programas informáticos los que habrá que seguir combatiendo desde varios frentes, ya que han demostrado ser muy eficaces a la hora de conseguir dinero secuestrando información”. Lo que es innegable, aseguró Ferretjans, es que “los secuestros informáticos hacen estragos, sobre todo por el desconocimiento de los destinatarios del ataque, las brechas de seguridad en las empresas y la falta de una auténtica cultura de la prevención en las organizaciones”. Dicho de otra forma, falta mucha formación, ya que “aunque en el mercado hay ya un antivirus bastante eficaz para detectar el sansomware (y no siempre puede hacerlo), permitiendo volver a la situación previa a la infección que encripta y secuestra nuestros datos, hay colectivos (tanto particulares, como autónomos y Pymes) que se creen que no son interesantes para los ciberdelincuentes y no se preparan para combatirlos”.

Grave error. Esa confianza, fruto del desconocimiento en el mejor de los casos, provoca que el 71% de los ciberataques -nada menos que ¾ partes de los que se producen- tienen como objetivo a pequeñas y medianas empresas. Casi la mitad de ellas, en el caso de ransomware, pagan el rescate. En opinión de Ferretjans “que se ataque solo a las grandes corporaciones es un mito, en realidad se busca a otras más modestas, menos preparadas y con menos inversión en ciberseguridad y prevención”.

Tanto el responsable de nuevas tecnologías y seguridad de la información de BinauraMonlex como el de desarrollo de negocio, Abraham Parrona, recordaron a los Graduados Sociales que su colectivo profesional es uno de los que más información sensible maneja, al disponer de datos y autorizaciones oficiales que deben preservarse en la más absoluta confidencialidad. Por ese motivo, desde la consultora jurídico tecnológica se les recomendó “prestar especial atención tanto a la seguridad con la que van a proteger sus dispositivos como al nuevo reglamento europeo de protección de datos “. Precisamente la normativa, de obligado cumplimiento a partir del año que viene, está muy enfocada a la ciberseguridad y no solo va a provocar un cambio de chip en cuanto a prevención y gestión de la información de clientes que manejamos, sino que por primera vez va a aplicar sanciones muy importantes por incumplir sus disposiciones.

Si te ha gustado este contenido, compártelo en tus redes sociales. ¡Ayúdanos a generar cibercultura!