"Las empresas no se toman la seguridad en serio"
Expertos critican en una convenci¨®n la falta de medidas
"Hay dos tipos de empresas: las que saben que han sufrido una intrusi¨®n y las que no", asever¨® el hacker Pau Oliva en la convenci¨®n de seguridad inform¨¢tica NoConName, celebrada en Barcelona. Hackers y consultores discutieron sobre la desidia de las empresas, entre ellas muchas pymes, que ponen en peligro no solo sus redes sino la privacidad de todos sus clientes.
La veterana convenci¨®n NoConName, a la que asistieron 350 personas seg¨²n la organizaci¨®n, se cerr¨® con una mesa redonda bajo el enunciado ?Se toman las grandes empresas la seguridad en serio?
Frente a frente, dos conocidos hackers, Pau Oliva y Albert Puigsech, haciendo preguntas inc¨®modas a dos consultores de corporaciones, Miguel ?ngel Hervella y Enric Llaudet. Al final, todos coincidieron en que "muchas empresas no lo est¨¢n haciendo bien", en palabras de Hervella.
Lo confirm¨® Llaudet, quien critic¨® que las corporaciones son "reinos de taifas donde es dif¨ªcil aplicar pol¨ªticas de seguridad".
Hervella matiz¨® que "en muchas empresas no se tiene claro el riesgo, creen que no les va a pasar nada o que, si pasa algo, pueden tirar de copias de seguridad".
Esta forma de pensar, afirmaron, est¨¢ muy extendida en las peque?as y medianas empresas. Seg¨²n Oliva, "la mayor¨ªa ni conoce la Ley de Protecci¨®n de Datos" que rige en Espa?a.
El problema, explic¨® Puigsech, viene cuando un ataque no afecta ¨²nicamente a la empresa y alcanza tambi¨¦n a terceros, usualmente los clientes. "Sus datos privados pueden acabar publicados en Internet, tambi¨¦n las tarjetas de cr¨¦dito, que tendr¨¢n que anular en el banco. Se generan unas graves molestias a los clientes que las empresas no tienen en cuenta".
El p¨²blico particip¨® vivamente en el coloquio celebrado tras la mesa redonda y alguien apunt¨® otro ejemplo: una empresa que ofrece routers configurados de forma insegura a sus clientes, poni¨¦ndolos en peligro.
Hervella explic¨®: "El problema en este caso es que el an¨¢lisis de riesgos no est¨¢ bien hecho y, hasta que no pase algo, como que les pongan una multa o sus clientes sean atacados en masa, no cambiar¨¢n".
El moderador del debate, Lorenzo Mart¨ªnez, introdujo otro tema caliente: "Muchas empresas pasan de los investigadores cuando les notifican fallos y no los arreglan".
Hervella lo justific¨® con un ejemplo: "Las empresas son complejas, puede que el responsable de seguridad quiera arreglarlo, pero la respuesta de sus jefes sea que no es prioridad, o no hay presupuesto, o la empresa que les vendi¨® esta aplicaci¨®n ha desaparecido y hay que contratar a alguien expresamente".
Los investigadores demostraron tambi¨¦n su preocupaci¨®n por la posibilidad de que cuando avisen del fallo a la empresa, esta les denuncie, algo que sucede a menudo. "En este caso", explic¨® Pau Oliva, "lo que suelen hacer los hackers buenos es contactar con la empresa a trav¨¦s de un tercero, por ejemplo, el organismo de seguridad inform¨¢tica del Gobierno espa?ol, Inteco".
Amenazas
Entre los asistentes a la convenci¨®n NoConName flotaba la certeza de que la seguridad de muchas empresas est¨¢ siendo o ha sido vulnerada con ¨¦xito.
En este contexto, el consultor Miguel ?ngel Hervella coment¨® un nuevo tipo de ataque, cada vez m¨¢s visto, llamado spear-phishing. Consiste en usar las redes sociales para buscar informaci¨®n sobre determinados trabajadores de una compa?¨ªa. Con los datos obtenidos, se confecciona un mensaje de correo electr¨®nico acorde a sus gustos, que les incita a pinchar en un archivo adjunto. Esto introducir¨¢ un troyano en sus ordenadores, que permitir¨¢ a los delincuentes entrar en la red de la empresa.
Para evitar este ataque, seg¨²n Hervella, "en Estados Unidos, Alemania y otros pa¨ªses se est¨¢ retirando el acceso de los trabajadores a las populares redes sociales".
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.
