Por Héctor Morales,

Director de Seguridad Aplicativa en Optimiti Network.

¿Quién diría que un simple correo electrónico puede voltear de cabeza a un gran consorcio? En leyenda ya se ha convertido la historia de un ataque de phishing que se brincó, como borreguito en pleno sueño, la cerca de seguridad impuesta mediante una inversión millonaria por una conocida tienda departamental en México, y que en vez de arrullarla la despertó de su letargo.

Después de eso, ya nada puede ser igual. ¿De qué sirve levantar bardas de 10 metros de alto, instalar decenas de puertas con claves y códigos de acceso, sistemas de reconocimiento de voz y rostro, cámaras de vigilancia, registro de identidad y huellas dactilares, si como en cárcel de alta seguridad el asalto se gesta silencioso, subterráneo, a rastras desde el subsuelo, en la grácil inocencia de un email, por donde irremediablemente se fugará la información?

De acuerdo con los más recientes estudios, tanto en México como en muchos lugares del mundo, el 84% de las brechas de la seguridad en las empresas se producen en las aplicaciones internas, externas, puestas y móviles. Vulnerar desde la web ya no es necesario para los cibercriminales. ¿Para que desgastarse en romper las barreras a golpes de hackeo como antes, si ahí están miles de aplicaciones que encima de una ancha puerta tienen un gigantesco letrero que con amabilidad dice: “Pase usted”?

Algo tiene que cambiar, empezando por el gasto destinado a la seguridad perimetral, cuya proporción reporta Gartner Maverick Research es un bestial 23 a 1, con respecto a lo que se invierte en seguridad aplicativa. Parece que levantar muros con más ladrillos no resulta efectivo cuando se pelea contra topos.

Estamos hablando de gastos de millones de dólares aplicados en cubrir el perímetro, hasta que llega alguien, entra hasta la base de datos, compromete los datos, se los lleva y los expone. Entonces, ¿a quién le echamos la culpa: al correo electrónico, a los programadores, al jefe, a los frameworks?

A esto se añade que los desarrolladores no nacemos como tales pensado en la seguridad. El enfoque, lastimosamente, es más pragmático: acabar rápido, entregar y cobrar, sin cifrar ni proteger absolutamente nada. Ese es el problema esencial. Basta hacer un análisis de vulnerabilidad o una prueba de penetración, para exhibir todos los trapitos al astro rey.

Y ahora que deambulamos gozosos en las nubes para ciertas tareas, tampoco está de más seguir el consejo de cifrar todo lo que se suba a esas alturas, a menos que se esté hosteando el servicio, y aun así hay un ingrediente de seguridad compartida que exige asegurar las aplicaciones.

El día de hoy se han desarrollado nuevas herramientas para abatir al máximo los riesgos. Una marcada tendencia en ciberseguridad es Endpoint Detection and Response (EDR)  –una tecnología que en vez de prevenir se enfoca en detectar, responder y remediar las embestidas de las amenazas avanzadas–, cuya función no se basa en firmas de virus sino utiliza la inteligencia contextual para revelar patrones de comportamiento malicioso, mediante la correlación de todos los datos recogidos, en tiempo real.

Otro elemento vital es el escáner de vulnerabilidades para establecer el alcance de éstas en las aplicaciones, que diagnostica y ofrece reportes y estadísticas.

No obstante, la principal vertiente de mitigación es la concientización. Y como que a las empresas al fin les empieza a caer el veinte, así como a los propios desarrolladores, de construir aplicaciones menos vulnerables. Hacerlo así, mitiga más de 90% los riesgos.

En México 73 millones de mexicanos están conectados a internet, desde casa o vía un smartphone, la gran mayoría de los cuales se sumergen en las aguas profundas de las redes sociales, cuya seguridad es altamente etérea, por lo que es imprescindible prestar atención a la manera como navegan en Internet, comparten imágenes y todo tipo de información.

En este mundo no sobra una pequeña dosis de paranoia, y siempre tener en mente que si ese dato se pierde, mis clientes pierden y yo también, no sólo en términos de recursos financieros sino en la propia reputación. La tecnología en nuestros desarrollos está creciendo demasiado rápido, más aún que nuestro nuevo modo de vida.

Leave a Reply

Your email address will not be published. Required fields are marked *