“La seguridad total en las empresas no existe”

Ponemos rostro en estas páginas a un hacker ‘de los buenos’ (“no me gusta el concepto de ético”, dice), a un experto en seguridad informática y reconocido divulgador, a través de Discovery Max, de todo lo relacionado con el mundo hacker. Su nombre es Antonio Ramos, al que entrevistamos entre conferencia y conferencia en el foro Mundo Hacker, celebrado recientemente en Madrid.

image
Para Ramos, los hackers éticos son los caballeros jedis que luchan contra los sijs (cibercriminales)

Ramos vive con pasión ese mundo, del que dice: “Hoy la guerra fría tiene lugar en el ciberespacio”. En el ámbito de las empresas sobre el que centramos nuestro interés afirma que la seguridad total no existe (“tendría un coste infinito”), aunque nos ofrece las claves para blindarla lo mejor posible y nos identifica las amenazas y vulnerabilidades.

Publicidad - Sigue leyendo debajo

EMPRENDEDORES: ¿Cuál es la amenaza que trae por el camino de la amargura a las empresas y a los que os dedicáis a la seguridad informática?
ANTONIO RAMOS: Por ejemplo, está habiendo una avalancha de un malware que se llama Cryptolocker. Entra en muchas empresas por un pdf y lo que hace es cifrar toda la información de manera irrecuperable. Piensa que puede venir en un formato de una orden de compra (en España están entrando haciéndose pasar por un email de Correos). El Cryptolocker te secuestra toda la información y te la devuelve bajo pago, y a veces ni te la devuelvo. Es un chantaje. ¡Y nunca hay que pagar!, porque en el momento que pagues una vez, te conviertes en un objetivo para el cibercrimen.

Otra brecha de seguridad en las pymes es el wifi. ¡Es que yo con el equipamiento que disponemos podemos leer todo del banco de abajo: las transacciones bancarias, los correos corporativos…! El problema de las wifis es muy grande. Por eso hay que revisar que tengan unas buenas configuraciones de seguridad. Sorprende, todavía, que la gente use por defecto la password que instala el proveedor y piense que tienen un sistema seguro porque la contraseña es muy larga, pero es que esa password la tenemos en diccionario media España. Y otro de los problemas son los empleados descontentos. En la pequeña empresa pasa mucho. He trabajado en muchos casos de fraude y casi siempre había involucrado alguien de dentro.

La seguridad total tendría un coste infinito para cualquier organización o empresa.

EMP.: ¿Cuál es ese maletín de primeros auxilios para que una pyme navegue sin riesgos en la Red? ¿A qué precio?
A.R.: El precio depende del tamaño. Para empresas de entre 10 y 40 empleados, un primer anillo de seguridad, lo mínimo, es tener recuperación ante desastres, seguridad en todos los puestos de trabajo –y en los servidores– mediante antivirus, y un gran guardián fronterizo a través de un firewall, que además permite monitorizar si hay movimientos extraños, salidas de la red. En un segundo anillo ya empezamos a preocuparnos por la posible salida o pérdida de información, intencionada o no, de los puestos de trabajo de la empresa. Para ello tenemos que tener un DLPS (Data Loss Prevention), es decir, un sistema de control de fuga de información que permite desde cosas tan básicas como registrar en qué tipo de USB, disco, persona y hora se ha llevado determinado fichero, hasta impedir que un documento salga de la empresa, incluso vía gmail, hotmail, etc. Y no hablamos de presupuestos elevados, sino de invertir entre 2.000 y 3.000 euros. Si saltamos a empresas de 200 a 400 trabajadores, también hay que analizar qué otros dispositivos de seguridad pueden requerir soluciones de seguridad, pero si están bien configurados, vas seguro. No se trata de si gasto más estoy más seguro, sino gastar de un manera inteligente.

Publicidad - Sigue leyendo debajo

EMP.: ¿Existe el blindaje total?
A.R.: No existe y nunca ha existido. La seguridad total tendría un coste infinito para una organización. Lo que tienes que hacer es en invertir en seguridad en relación a lo que valga tu organización según la información que manejes. Si hablamos de una empresa con información crítica, el presupuesto debe ser mucho mayor que, por ejemplo, una que remodela cocinas.

EMP.: ¿Es Tor (plataforma para navegar de forma anónima) la cueva de Alibaba y los 40 ladrones?
A.R.: Tor se creó con un buen propósito: guardar el anonimato de sus usuarios. Sin embargo, el cibercrimen ha visto en Tor la panacea porque dificulta muchísimo que sean perseguidos. ¿Qué ha pasado? La red Tor se ha empezado a llenar de servicios de pornografía de niños, venta de sustancias prohibidas, venta de documentación falsa, venta de personas… El cibercrimen se ha trasladado, de verdad, a Tor.

Y además...

Estas son algunas píldoras que nos deja este experto en seguridad informática.

Hacking. “He observado que en el último año y medio, quizá por la crisis, ha aumentado el hacking solicitado por empresas para obtener información de su competencia”.

Guerra fría digital. “Hoy la guerra fría tiene lugar en el ciberespacio. Todos los gobiernos tienen departamentos de inteligencia que están monitorizan y pinchando Internet, una red que, por sus protocolos, nació insegura. El mundo echa fuego digitalmente”.

Leyenda urbana. “Que los fabricantes crean los virus para luego ofrecer antivirus, es falso. Empresas que cotizan en el Nasdaq no se van a involucrar con cibercriminales para fabrican virus para que éstos hagan su negocio”.

Publicidad - Sigue leyendo debajo