La opacidad en las brechas de seguridad

Esta semana se ha celebrado el Reuters Cybersecurity Summit en Washington y una de las principales conclusiones ha sido que, tal y como ha indicado Dale Peterson, CEO de Digital Bond, buena parte de los directivos “no entienden los riesgos que aceptan”… porque si los entendieran, los considerarían inaceptables.

La ponencia de Peterson se centró en las compañías de suministros, las llamadas utilities como el agua, gas o electricidad, puesto que en caso de ataque terrorista estas redes son objetivos prioritarios.Peterson fue muy claro al indicar que “los sistemas son inseguros por diseño” y, lo más preocupante, es que el consenso entre los participantes del evento es que los altos ejecutivos de estas utilities son reacios a invertir millones en seguridad porque ven el riesgo cibernético como algo estándar, nada especialmente crítico.

Un error y para muestra un botón: sólo el año pasado, el Departamento de Defensa Nacional de EEUU detectó 256 ciberataques y más de la mitad se centraron en el sector de la energía (el doble que en 2012). Y es que, sólo con información pública, las llamadas fuentes abiertas, es posible planear un atentado. De hecho, En 2003 Víctor Tise, investigador del Scientific Research Corporation (SRC) de EEUU, fue capaz de planear un atentado ficticio al gaseoducto de EEUU-Canadá. Según detalla Tise, “encontré mapas detallados de las tuberías de gas” y tras refinar la búsqueda, incluso “hallé los puntos más vulnerables de las conexiones”. Y adivinen: “el mejor material lo encontré en las webs de las universidades, thinks-tanks y de activistas”, aseguró. Onces años después, las posibilidades de hacer esto se han disparado.

Por este motivo, desde la Administración de Obama se han dado algunos pasos al respecto, animando a las compañías a realizar test de estrés en materia de seguridad. Sin embargo, uno de los problemas que surge en materia de ciberseguridad es que la mayor parte de las brechas de seguridad no salen a la luz por una mera cuestión de reputación. Se sacrifica, salvo en los casos sangrantes (como esta misma semana el de eBay), la calidad del servicio al clientes en favor de mantener una buena imagen.

Hace casi tres años, entrevistaba en Londres a Art Coviello, chairman de RSA Security, al poco de que la compañía recibiera un duro golpe en prensa tras saberse que 40 millones de registros de empleados pudieron ser robados, algo crítico considerando que RSA suministraba seguridad a proveedores de Seguridad Nacional como Lockheed Martin.

Coviello, que por entonces presidía el Consejo CxO de Ciberseguridad de TechAmerica, criticó precisamente la opacidad que tienen las compañías a la hora de haber públicas sus brechas de seguridad y reclamaba una mayor colaboración entre el ámbito público y privado.

SinDominio_SeguridadPruebas en España

En España queda mucho camino por recorrer. En algunas grandes empresas todavía es posible acceder a las salas de los servidores vistiendo un mono de la compañía de telecomunicaciones (caso real). Por no hablar, por ejemplo, de la realidad que un estudio de S21sec nos dibujaba el año pasado, cuando revelaba que nuestro país recibía el 20% de los ataques que se sufren en todo el mundo en Banca, ocupando el segundo lugar del ranking mundial.

Y aunque es cierto que se van produciendo algunos avances, estamos lejos de medidas como las que recientemente tomó el Banco de Inglaterra (BoE) en Reino Unido, cuando obligó a las entidades a someterse a unos test de ciberseguridad. Y con todo, surge la polémica acerca de dónde está la frontera entre proteger la seguridad y ocultar información a los clientes, pues el BoE se negó a hacer públicos los informes resultantes.

En España, hace un par de meses, Acciona, Bankinter, Endesa, Gas Natural Fenosa, Grupo FCC, Mapfre, Metro de Madrid, Neinver y ONO se prestaron para ser sometidas a unos tests de ciberseguridad en los que la puntuación media fue de 7 sobre 10, con mejoras en áreas como la capacidad de detección de los ataques, así como en la elaboración de los procedimientos asociados.

Para ello se sometieron a la metodología CYBER-EX 2013, en virtud de la cual las compañías S21sec y Grupo SIA, coordinados por Inteco, ejecutaban una serie de ataques. A cargo de la evaluación, la consultora Deloitte, y como observadores de excepción, Check Point, Ecix Group, Symantec y Trend Micro.

Seguridad made in Europa

SinDominio_SWEPT¿Y en Europa? A las vísperas de las elecciones europeas, no podemos olvidarnos de las iniciativas de la UE. En este sentido, cabe destacar uno de los últimos proyectos: SWEPT, dotado con 4 millones de euros, de los que la mitad los aporta directamente la Comisión Europea dentro de su “Programa de Apoyo a la Política en materia TIC” (ICT PSP). Se trata de una iniciativa que persigue lograr el máximo de protección ante ataques de malware y phising. Para ello, los planes pasan por, ejemplo, crear una herramienta, especialmente indicada para desarrolladores y diseñadores web con la que cualquier pueda verificar si su página web es segura ante estos ataques. Algo muy útil en el caso de pymes, cuyos departamentos de informática brillan por su ausencia.

En SWEPT participan 11 empresas y casi la mitad de ellas son españolas, comenzando por Tecnalia, que es quien lidera el proyecto. Las otras son Everis, Eurohelp, Arsys y Arima.

var dd_offset_from_content = 40;var dd_top_offset_from_content = 0;var dd_override_start_anchor_id = «»;var dd_override_top_offset = «»;

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *