Me remonto a la aparición de Internet desde un punto de vista comercial, en 1996, hace 25 años, justo cuando fundamos Leader Redes y Comunicaciones en Valencia y cuando sólo algunos de los socios tecnológicos insistíamos en la importancia de la seguridad en las redes, que para entonces básicamente era tener copias de seguridad en disquetes por si se averiaban los discos duros. A partir de entonces, surge un negocio nuevo “la ciberdelincuencia”. Hemos pasado de tener hackers que utilizan técnicas informáticas y de programación para acceder a sistemas de información para manipular y robar datos, a organizaciones cibercriminales dedicadas a extorsionar o secuestrar datos a cambio de grandes sumas de dinero.
Técnicamente es algo sencillo, hay mucho material publicado en Internet para aprender a reventar sistemas y acceder a la información. Lo verdaderamente complejo y donde las organizaciones cibercriminales tienen experiencia es la ingeniería financiera para no ser localizados tras el pago, habitualmente con criptomonedas, o mediante transferencias a bancos de países “opacos”. Pero estos atracos no son siempre aplicando tecnología o reventando sistemas, sino que se puede investigar y aplicar técnicas de ingeniería social para solicitar que cambien una cuenta corriente para realizar los pagos en una falsa relación “cliente-proveedor”, o diseñar una estrategia para el pago de unos servicios, como fue el caso de la EMT.
En muchas empresas, lo primero que piensan cuando se habla de seguridad es en poner un “chisme” que tape los agujeros y asunto solucionado. Ese chisme es lo que llamamos firewall o cortafuegos. Sin embargo, esto requiere una permanente actualización de las políticas y medidas de seguridad conforme van surgiendo vulnerabilidades y analizar los informes de gestión de los firewalls para analizar comportamientos.
Está claro que si cierro las puertas desde el exterior, no pueden entrar en mis sistemas a no ser que tenga puertas abiertas, pero el principal problema es que los ataques se realizan de forma no intencionada por los usuarios que están dentro. Por lo tanto, estos “insiders” son los primeros a los que hay que proteger. ¿Cómo? Con formación periódica, con pruebas permanentes de ataques de ingeniería social, con pruebas permanentes de ransomware o de troyanos que permitan tomar el control del ordenador y, sobre todo, haciendo permanentemente copias de seguridad.
Una vez tenemos a estos usuarios controlados, debemos prestar atención a nuestros sistemas de información, que antes teníamos solo en casa, pero ahora tenemos también “en la nube”, donde supuestamente todo es seguro. Y aquí viene el primer equivoco. Los servidores propios alojados en la nube tienen seguridad en cuanto a la disponibilidad, por alimentación eléctrica, sistemas virtualizados, múltiples operadores de Internet y seguridad de acceso física al centro de datos, pero no hay que olvidar de preguntar acerca de protección firewall, definición de políticas y copias de seguridad.
Ahora vamos a por los sistemas de información en sí, con independencia de dónde se encuentren y aquí es donde empiezan las prácticas de hacking ético. ¿Qué es el hacking ético? Sencillamente aplicar los mismos ataques que nos realiza cualquier cibercriminal, pero de forma ética, es decir, avisando de los agujeros y de cómo taparlos para evitar desgracias.
Las personas que se han pasado “al lado bueno”, realizan reiterados test una vez se ha contratado el servicio, empezando por la recopilación de la información, direcciones IP, versiones de las aplicaciones y de las bases de datos, y con todo ello empezar a estudiar si son vulnerables. Una vez dado de este paso, empiezan los ataques de fuerza bruta, consistente en intentar averiguar las contraseñas de los sistemas utilizando una máquina preparada para hacer miles de combinaciones en base a las respuestas que nos ofrece el sistema de información, hasta conseguir después de miles de intentos conseguir acceso. Y estos test de penetración se pueden realizar tanto internamente como externamente, para conocer el nivel de seguridad de las contraseñas.
Pasado este segundo nivel, vamos a intentar tumbar los servidores, dejándolos inoperativos, utilizando las vulnerabilidades encontradas o sobrecargando los servidores realizando cientos de miles de peticiones desde múltiples sitios simultáneamente. Y ahora solo queda poner en riesgo los otros vectores de la seguridad, como la confidencialidad o la integridad de los datos, analizando los principales riesgos más importantes para plataformas web, según OWASP, organización sin ánimo de lucro que trabaja para mejorar la seguridad del software.
Esta batería de servicios requiere de manos especializadas y éticas, así como resolver los problemas detectados con un plan de acción, y estar periódicamente analizando las nuevas vulnerabilidades, o las nuevas incorporaciones de aplicaciones, o cambios en los sistemas para evitar estar en peligro. Hace años que las empresas valencianas de ciberseguridad venimos ofreciendo todos estos servicios, tanto los de hacking ético como los análisis y consultoría de seguridad, dentro de lo que ha dado en llamarse MSSP – Proveedor de Servicios de Seguridad Gestionados – y que, por lo tanto, no nos ceñimos a corregir problemas una vez se han producido, sino de forma preventiva proponer cambios para evitar desastres.
A este respecto, podemos ofrecer una serie de recomendaciones como son el empleo de VPN por parte de los usuarios para acceder a los sistemas de información, utilización de un doble factor de autenticación en las credenciales de acceso a la VPN recibiéndolos por SMS, email o vía APP, controlar los equipos informáticos en itinerancia, tanto si están conectados a la empresa teletrabajando, si están desconectados de la oficina y por supuesto cuando esa “bomba de relojería” llega a la oficina después de haber estado expuesto. También, aislar la conexión de los teléfonos móviles de la conexión Wifi de la empresa que permite llegar hasta los servidores.
Y como colofón una regla nemotécnica para hacer las copias de seguridad, que es lo único que nos quedará si nos secuestran los datos, o se produce algún problema. “REGLA 3-2-1”: al menos mantener TRES COPIAS de los datos a respaldar de diferentes franjas horarias o días, en al menos DOS soportes distintos y por supuesto, UNA de ellas fuera de la oficina.
Animo a todas las empresas a proteger sus sistemas de información, ya que todos dependemos de ellos para atender a clientes, producir, facturar y cobrar. Además, hay que tener en cuenta que este próximo año, dentro del plan Next Generation de la UE, las pymes de 10 a 49 empleados podrán disfrutar de unas ayudas sencillas de obtener dentro de lo que el Gobierno de España ha presentado como Kit Digital, dentro de las cuales se incluyen la adquisición y contratación de medidas de seguridad y ciberseguridad, además de otras cuestiones relacionadas con la transformación digital.
Carlos Estrela es CEO de Leader Redes y Comunicaciones