Un periodista nunca revela sus fuentes y tampoco las buenas o malas artes que utiliza para acceder a información reservada. El Watergate es un caso paradigmático de información confidencial lanzada a los cuatro vientos por un periódico como el Washington Post. Pero con el caso Wikileaks de Julian Assange o el escándalo Snowden han sido Internet y las nuevas tecnologías los vehículos para acercar la verdad a los internautas. Sin tantas aspiraciones y poniendo por delante nuestra proverbial modestia, hemos conseguido registrar una conversación entre un proveedor de sistemas de seguridad, que de momento mantendremos en el anonimato, y un responsable de seguridad de una gran empresa española. En ella se desgranan aspectos delicados que atañen a las organizaciones y que no se tienen en cuenta a la hora de desplegar una estrategia TI. Existe un gran desconocimiento a nivel de dirección de los graves peligros que puede entrañar un ataque informático, hasta tal punto que una compañía puede ver cómo su negocio se va al garete siendo víctima de un ataque.
CISO: No creo que tenga muchas cosas que contarme sobre seguridad informática. Me dedico a ello desde hace tiempo y tengo el perímetro de mi empresa acotado y todos los puestos de trabajo securizados.
PROVEEDOR: No dudo que usted se preocupe por ello, pero tiene que saber que las cosas han cambiado radicalmente en torno a la seguridad informática. Antes el core no se veía afectado, pero ahora la tecnología ha pasado a ser uno de los aspectos fundamentales de las empresas.
CISO: Eso es evidente, está descubriendo el Mediterráneo…
PROVEEDOR: Le voy a contar un caso que le hará meditar. Un empresario de la construcción me dijo: ‘mientras se pongan ladrillos mi negocio seguirá funcionando”. Al poco tiempo, su empresa fue atacada y se bloqueó el sistema de gestión. Así que el jefe de obra no tenía un albarán que firmar y los ladrillos se dejaron de poner.
CISO: Si la informática no funciona no se atienden a los clientes. Lógico.
PROVEEDOR: Pero el tema va más allá. Si soy una empresa de lácteos y me corrompen los yogures, no vuelvo a vender un pack en mi vida. Esto también es informática. Los ordenadores controlan los robots que se encargan de la uperisación. Un ataque de esas características puede afectar el ‘bottom line’ y la compañía corre el riesgo de perecer.
CISO: Quizá sea un caso extremo.
PROVEEDOR: Le voy a dar otro ejemplo real. Un alto horno alemán sufrió un sabotaje informático mediante el cual le impidieron apagar el horno por la noche, de tal manera que se quemó el motor y se quedó sin repuestos. Y adiós a todos los pedidos.
CISO: Como le he comentado al principio, nos cuidamos mucho del perímetro de la empresa y de lo que se instala en los ordenadores.
PROVEEDOR: Es importante que sepa que es posible hacer una auditoría de red y desplegar un dispositivo para ver qué información entra y sale de su organización. En el cien por cien de los casos, detectamos la existencia de pequeños bots que son utilizados por los malos para enviar spam masivos.
CISO: Tenemos usuarios que son muy proactivos con la tecnología. Y que tire la primera piedra el que no tenga IT Shadow en su empresa.
PROVEEDOR: No quiero utilizar el recurso del miedo, pero si en su firma hay que gente que utiliza Dropbox, está llevando la información corporativa a servidores que hay en Estados Unidos o en cualquier sitio fuera de la Unión Europea donde no hay control. La gente quiere tener en su iPad o su Android la misma información que tiene en su portátil; quiere editar un documento en cualquier dispositivo. Los usuarios van a tratar de ser productivos, si no le provees de herramientas la van a buscar en la IT en la sombra. Los usuarios son expertos en movilidad y conocen la nube.
CISO: Pienso que es preferible que sea la empresa la que dote de los dispositivos móviles a los usuarios. Así te garantizas la compatibilidad y que no se van a salir de nuestras prescripciones.
PROVEEDOR: No estoy de acuerdo. El ordenador lo puedes tener seguro en una mesa. Puedes dar un móvil corporativo y dejar leer en el iPad. Pero si el Smartphone corporativo es de bajas prestaciones, es muy posible que coja la SIM y se la instale en su propio dispositivo. Y al ser personal, ya no le puedes aplicar las mismas restricciones.
CISO: Hay más malware dirigido el PC que al móvil.
PROVEEDOR: Hay muchas maneras de controlar un smartphone y acceder a los datos de la empresa. Estoy persuadido de que todos los PC están securizados, pero no el móvil. Una vez intervenido, puede manipularse la cámara y el vídeo, registrar los datos que se teclean y lo peor… robarle sus credenciales. Pueden enviar mensajes en su nombre o mandar un correo con un PDF.
CISO: Pensaba que los PDF eran documentos totalmente inocuos
PROVEEDOR: La mayoría de los usuarios cree que son archivos inofensivos, Un director de Recursos Humanos de una gran compañía recibe decenas de currículos y ahí está el peligro. La industria del malware juega con envíos masivos e indiscriminados, lo que le garantiza una alta probabilidad de éxito.
CISO: ¿Un auténtico mercado negro?
PROVEEDOR: Efectivamente, por ejemplo un 0,01% de aciertos sobre 100.000 correos son 10 usuarios contaminados. En esta industria del malware hay una cadena de valor. Alguien descubre una vulnerabilidad de IOS y la vende por 100.000 dólares. Alguien la compra y contrata a otro para que genere el software malicioso; y luego le suministrará esta aplicación a otro que se encarga de contaminar un millón de dispositivos.
CISO: También sé de software malicioso que te secuestra los archivos.
PROVEEDOR: Sí, el más famoso es Cryptolocker que ganó ‘popularidad’ esta primavera con los mensajes de una agencia postal española. Algún incauto de la empresa pincha sobre un correo y el programa empieza a encriptar los archivos, cambiando su extensión. Lo peor es que si el equipo está en red, salta y contamina el siguiente y así sucesivamente.
CISO: Luego el malware te solicita un dinero para desbloquearlos. ¿Cree que es conveniente pagar?
PROVEEDOR: No es aconsejable, nada garantiza que te repongan los ficheros. Pero lo menos aconsejable es propiciar situaciones así que la única solución es un buen backup para recuperar la mayor información posible.
CISO: Creo que me ha convencido. Quizá no valore los riesgos tan extremos. Cuando te pasas la vida expuesto a resolver problemas, a veces los minimizas. Pero ya sabe de las penurias nuestras en cuestiones de presupuestos y recursos.
PROVEEDOR: Lo primero que hay que hacer es una valoración de los riesgos que desee asumir. Después tiene que ir al CEO y describirle la situación: “nos enfrentamos a estos peligros y debemos protegernos”. Pero también hay que revisar el plan de seguridad, tener uno de contingencia y aplicar las buenas prácticas. Hay que ver las diferentes fases. Si estoy en una selva y quiero poner un campo de golf a lo mejor tengo que tirar los árboles primero. No le quiero vender una caja sino una solución de seguridad.
CISO: Mi director general es a veces un poco terco y resulta difícil de convencer.
PROVEEDOR: Pues cuéntele lo de Ashley Madison, ese portal de relaciones de parejas infieles. Dígale que esa empresa se ha arruinado tras ser hackeada y se sabe que uno de sus usuarios era el propio CEO.
CISO: Sin duda, me acaba de dar el mejor argumento.
PROVEEDOR: Siempre llevo este as en la manga.
