SANS Institute consultar¨¢ con tres espa?oles la seguridad de la 'web'

A finales de julio, en la conferencia de seguridad inform¨¢tica Black Hat, un consultor desvel¨® un fallo en los routers Cisco, que dirigen la mayor¨ªa del tr¨¢fico de Internet.

El Gobierno de Estados Unidos pidi¨® consejo al SANS Institute, que publica regularmente las 20 vulnerabilidades m¨¢s cr¨ªticas de la Red, para conocer c¨®mo afrontar el problema. Casi al mismo tiempo, el organismo conced¨ªa a tres espa?oles, Jorge Ortiz, David P¨¦rez y Ra¨²l Siles, el GSE (GIAC Security Experts), la certificaci¨®n de seguridad de m¨¢s alto nivel que ofrece la instituci¨®n acad¨¦mica estadounidense. S¨®lo hay cinco individuos en el mundo que la poseen. Tres son ellos; personas a las que se les reconoce sus conocimientos en seguridad perimetral (cortafuegos, VPN...), an¨¢lisis forense, detecci¨®n de intrusos, investigaci¨®n de incidentes, seguridad de Windows y Unix y auditor¨ªa de sistemas y redes.

"M¨¢s all¨¢ del reconocimiento, ahora estoy mucho m¨¢s seguro de mi trabajo cotidiano", asegura Jorge Ortiz, ingeniero qu¨ªmico e inform¨¢tico, casado y con dos hijas, que trabaja como consultor de seguridad en HP.

Todo empez¨® en 2003. Ortiz, P¨¦rez y Siles trabajaban en HP dise?ando y realizando servicios de seguridad para los clientes de la empresa, posici¨®n desde la que ve¨ªan que los problemas en las redes crec¨ªan exponencialmente. "Cada vez hab¨ªa m¨¢s amenazas como virus y gusanos, software malicioso, ataques de correo basura y dem¨¢s incidentes. Por nuestra situaci¨®n profesional nos conven¨ªa prepararnos a conciencia", explica Ra¨²l Siles, ingeniero inform¨¢tico de 30 a?os.

De las diferentes certificaciones de seguridad que existen en el mercado "hab¨ªa dos relevantes: CISSP, m¨¢s te¨®rica, y SANS/GIAC. Elegimos esta ¨²ltima porque se centraba en aspectos m¨¢s t¨¦cnicos y pr¨¢cticos", prosigue Siles.

Antes de presentarse al examen para obtener la certificaci¨®n de m¨¢s alto nivel del SANS Institute, la GSE, los candidatos deben completar cinco certificaciones GIAC (analista de cortafuegos, analista de intrusiones, gestor de incidentes y administrador de seguridad en Windows y en Unix) y sacar "matr¨ªcula de honor en al menos una de ellas; adem¨¢s de presentar un trabajo de investigaci¨®n en otras tres", a?ade David P¨¦rez, ingeniero de telecomunicaciones de 34 a?os, que tras ocho a?os y medio en HP, regres¨® a Alboraia (Valencia), para trabajar como consultor independiente.

"S¨®lo te digo que hemos escrito varios art¨ªculos, algunos de 100 folios. Es un gran esfuerzo, pero quiz¨¢ es la parte en la que m¨¢s hemos aprendido", dice Ortiz.

Luego, quedaba lo peor: tres d¨ªas de ex¨¢menes en Washington (Estados Unidos), mezcla de pruebas escritas, ensayos de investigaci¨®n y trabajos en grupo.

La criminalidad empeora

En total, han sido dos a?os y medio en los que no han hecho m¨¢s que "trabajar de d¨ªa, estudiar de noche y robar horas al reloj de mi tiempo libre para realizar los trabajos de investigaci¨®n. Quiero agradecer a mi mujer su apoyo infinito. Sin ella no lo habr¨ªa conseguido", reconoce Siles. Seg¨²n P¨¦rez, "ha sido un largo y complejo proceso de aprendizaje, pero sin duda ha merecido la pena".

Ahora, la organizaci¨®n estadounidense, que asesora a gobiernos, empresas e instituciones, les consultar¨¢ cuando haya problemas en la seguridad de la red de redes.

"Cada vez veremos m¨¢s variedad y cantidad de software malicioso. Si al principio los ataques eran por entretenimiento, por el placer de la notoriedad, ahora interviene el factor econ¨®mico. Los criminales que act¨²an en el mundo f¨ªsico han aprendido que por Internet consiguen lucrarse igual, pero a menor coste. Los programas son cada vez m¨¢s sofisticados", asegura P¨¦rez.

Dice Ortiz: "La gente debe ser consciente de que el problema de la seguridad en la Red es real. Las empresas, sobre todo las pymes, deben entender que hay inversiones cuyo retorno no es inmediato. La inversi¨®n en inform¨¢tica debe ser aquella que permita gestionar los riesgos, que existen, para minimizarlos".

El cl¨¢sico m¨¢s vale prevenir que curar. En las pruebas que han realizado, "intrusiones controladas y con permiso de sus responsables para detectar los puntos d¨¦biles, la mayor¨ªa de empresas, aunque estaban prevenidas, no eran capaces de detectar los ataques", asegura.

A petici¨®n de Ciberp@¨ªs, los tres expertos han elaborado una serie de recomendaciones para una navegaci¨®n m¨¢s segura: Tener el sistema actualizado siempre, instalar antivirus y cortafuegos, cerrar la red inal¨¢mbrica Wi-Fi para evitar que otros la usen con fines maliciosos ("si no dejas la puerta de tu casa abierta, ?por qu¨¦ deber¨ªas dejar la de tu ordenador?", dice Siles), comprar en p¨¢ginas solventes o productos de fabricantes reconocidos, no instalar cualquier programa y, si no se est¨¢ seguro, simplemente decir no. "Uno de los problemas de la inform¨¢tica es que siempre es muy f¨¢cil", sentencia Ortiz. "Con un simple clic puede crearse un problema muy gordo".

JORGE ORTIZ: jdortiz@gmail.com

DAVID P?REZ: david.perez.conde@gmail.com

RA?L SILES: www.raulsiles.com