Noticias

La seguridad digital en España

Las empresas españolas invierten entre un 4 y un 10% de su presupuesto total de TI a seguridad digital; es decir, según los cálculos más optimistas, de los 86.000 millones de euros facturados por el sector en 2014 se han dedicado a seguridad un máximo de 8.600 millones de euros.

Sin embargo, a cuestión es cuánta inversión necesita un site para lograr un nivel óptimo de seguridad. Este informe está realizado bajo la premisa de que no existe ninguna web segura, sino empresas y organismos conscientes del peligro al que se enfrentan por su exposición digital y, por ello, activas en la protección de sus sites. En este sentido, el experto en seguridad informática de Product Manager & Security Consultant en ‎Telefónica y profesor de ISDI  Julio Gómez, certifica que “la tecnología evoluciona y, con ella, llegan siempre nuevos riesgos y ataques. En los últimos años ya se ha hablado de gente que es capaz de manipular marcapasos o que son capaces de controlar trenes. Los coches autónomos ya han tenido también algún que otro percance y cuanto más evolucionemos hacia el Internet de las cosas más sencillo será encontrar este tipo de noticias“.

Resulta que la seguridad es siempre una situación de vigilancia, control y análisis que persigue pero nunca alcanza la perfección. Los datos de los estudios y estimaciones apuntan a un crecimiento acelerado de los ataques que no se corresponde con el mismo cuidado por parte de las empresas. En concreto:

• Nivel de inversión: casi el 60 por ciento de las empresas españolas invierten más de 1.000 euros al año en seguridad;
• Ataques: diariamente se identifican 160.000 webs que tienen puntos débiles de seguridad; más de 320.000 direcciones IP registran actividad maliciosa;
• Costes: un informe de Kaspersky calcula que las pérdidas provocadas por una brecha de seguridad pueden ir desde los 33.000 euros de una pyme hasta el medio millón de euros de una gran empresa. Algunos ejemplos son: En 2015 España recibió 45.000 amenazas con un coste de 45.000 millones, el 1,4% del PIB; la Policía registró en 2014 hasta 70.000 ataques en España; Ahora se producen un 44% más de ataques informáticos en el mundo que los que sucedían en 2008 (McAfee y CSIS). Los delitos informáticos provocan unas pérdidas por valor de 326.677 millones de euros para la economía global.

Basando se en su experiencia, Julio Gómez reconoce que “ninguna empresa, le da importancia a la seguridad hasta que no tiene un incidente: ya sea un ataque, una fuga de información o un problema con un virus (malware). Y no es una cuestión de tamaño porque he visto a empresas del Ibex35 con fallos de seguridad de pymes e incluso a pure players que tienen graves deficiencias de seguridad y han tenido muchos problemas a pesar de ser compañías cien por cien digitales. Todas las empresas pueden y deben mejorar”.

Es evidente que no todos los sites necesitan el mismo nivel de protección ni están expuestos a los mismos riesgos. “depende del tipo de contenido que haya en la web y el porcentaje que se genera a partir de acciones del usuario Es decir, en un blog, el contenido lo publica una empresa (o el propietario) y el lector no interactúa con él más allá de añadir algún comentario o algún botón social, pero no puede hacer nada más. Por otro lado, hay sites que viven del contenido que generan los usuarios y es mucho más probable que se encuentre un fallo grave de seguridad en ellos”, comenta el experto.

Para tener una buena detección de amenazas los sites pequeños como páginas corporativas, blogs, etc., deberían tener una inversión de entre 500 y 2.000 euros anuales; páginas más grandes requieren desde 5.000 hasta 10.000 euros; y algunos ecommerce o páginas más sensibles, necesitan un plan de seguridad ad hoc y constante. Con una media de inversión necesaria de 6.250 euros al año tirando por lo bajo la Internet española debería estar invirtiendo unos 21.875 millones, casi tres veces más que los aproximados 8.600 que se dedican en la actualidad. Y es una estimación conservadora.

Los datos de los análisis por sectores son significativos:

1. El sector que más invierte en seguridad es la banca. Le siguen las empresas que se consideran de infraestructuras críticas: energía (incluyendo centrales nucleares), proveedores de servicios de
telecomunicaciones (Telefónica, Telvent, etc.) y aguas;

2. Entre los organismos públicos invierten bastante los ministerios y grandes instituciones como la DGT. Sin embargo, en los ayuntamientos existe un enorme déficit de inversión y tienen grandes problemas de
seguridad.

3. Las empresas del sector retail invierten, pero no en exceso, a excepción de Inditex y El Corte Inglés.

4. Las aseguradoras son las siguientes en volumen de inversión, pero en menor medida.

En cuanto a los riesgos y los enemigos, se puede decir que todas las empresas están expuestas a través de su página web, el correo electrónico, las redes sociales, los servicios online, el ecommerce…

Según Gómez:
• Aunque las mafias controlan gran parte del crimen organizado en Internet y el móvil principal es el dinero, las técnicas de ataque han ido evolucionando: Antes se limitaban a fraudes (phishing) y malware orientado al usuario final (los consumidores) pero en el último año y medio han cambiado de objetivo con la evolución de un tipo de virus conocido como Cryptolocker, que lo que hace es cifrar la información del disco duro y luego pide un rescate para recuperarla. Este tipo de malware está afectando a muchas empresas que están teniendo serios problemas y que en muchos casos acaban pagando el rescate.

• Por otro lado, en los últimos cinco años se ha venido detectando un aumento considerable de los ataques por ciberespionaje, ciberguerra e incluso ciberterrorismo. Las empresas se atacan entre ellas aunque
ninguna lo admita. Pero mucho más grave son los ataques de los gobiernos, que son _players_ muy representativos del sector. Países como China, EEUU o UK están a la cabeza de ataques perpetrados contra otros gobiernos o contra empresas de otros países.

• En menor escala, también se encuentran los hacktivistas que son grupos de personas que atacan empresas y organismos públicos normalmente con una justificación moral o ideológica.

En lo que se refiere a la seguridad en las compañías, el experto la clasifica según tres niveles de madurez:

1. NIVEL DE MADUREZ BAJO:

• Tipo de empresa:

* no disponen de equipo especializado;

* tienen un bajo presupuesto para TI o poco conocimiento de los riesgos de tener presencia en Internet;

* aunque sufren ataques, no son conscientes.

Ejemplos en España: Startups con otras prioridades: encontrar clientes, desarrollarse y posicionarse en el mercado, etc.; Empresas de hostelería (hoteles) y del sector ocio; Constructoras; Empresas de fabricación/producción (automóviles, productos alimenticios, productos de consumo, etc.)

• Amenazas: en general se enfrentan a ataques genéricos (no suelen ser dirigidos) desde Internet que pueden comprometer el servicio o la información:

INYECCIÓN DE SQL (OWASP Top-1): Permiten un acceso no autorizado a la base de datos.

Riesgos:

* Robo de información

* Eliminación / modificación de información

* Acceso al servidor y a otros sistemas internos

Ejemplos de empresas afectadas: Yahoo!, Flickr, Bitdefender, TalkTalk

CROSS-SITE SCRIPTING (OWASP Top-3): permite añadir código a una página web.

Riesgos:

* Robo de sesiones (robo de cookies)

* Modificar el contenido de la página web

* Acceso a información sensible (credenciales…)

Ejemplos de empresas afectadas: Yahoo!, Apple, Google, PayPal.

Un ejemplo:

* USO DE SOFTWARE VULNERABLE / MAL CONFIGURADO (OWASP Top-5 y 9): el software es propenso a errores (bugs). Si un determinado error afecta a la seguridad, se considera una vulnerabilidad. Un fallo en la configuración también puede provocar una vulnerabilidad. El uso de software vulnerable/mal configurado es una de las principales causas de intrusiones en las empresas.

* APLICACIONES MAL DISEÑADAS (OWASP Top-2, 4, 6, 7 y 10): es habitual que durante el diseño y desarrollo del software, no se tenga en cuenta la seguridad como pilar fundamental. En estos casos, es habitual encontrar fallos de diseño que puedan afectar negativamente el negocio de las empresas.

• Contramedidas:

* PRIORIZAR LA SEGURIDAD DURANTE EL DESARROLLO: existen guías de buenas prácticas que deben ser seguidas durante el desarrollo para evitar fallos de seguridad que puedan afectar al sistema en el futuro.

* CONFIGURACIÓN SEGURA DEL SOFTWARE (_HARDENING_): previene vulnerabilidades que puedan ser debidas por una configuración indebida.
Ejemplos: Usuario/Contraseña por defecto; Usar cifrado para proteger la información (http vs https).

* INSTALAR HARDWARE ESPECIALIZADO DE SEGURIDAD: Firewalls, IDS… para prevenir ataques genéricos y detectar cuando se está siendo atacado.

* AUDITORÍAS DE SEGURIDAD (_PENTESTING_): se “ataca” el sistema a analizar en busca de vulnerabilidades, de la forma en que lo haría un atacante de verdad. Las auditorías sirven para identificar
vulnerabilidades reales en los sistemas y ayudar a corregirlas.

* AÑADIR CONDICIONES QUE CUBRAN PRUEBAS DE SEGURIDAD: en el caso de que estemos contratando a un tercero para un desarrollo.

2. NIVEL DE MADUREZ MEDIO:

• Tipo de empresa:

* disponen de equipo especializado;

* son empresas grandes y/o con gran presencia en Internet;

* sufren ataques constantemente e incluso amenazas dirigidas.

Ejemplos en España: Mayoría de los bancos; Aseguradoras; Compañías de energía.

• Amenazas: su principal preocupación son los ataques desde Internet que puedan comprometer el servicio o la información (todos los vistos en el nivel anterior).

* DEMANDAS POR NO CUMPLIR ESTÁNDARES (ej: PCI-DSS) o de agencias gubernamentales (AEPD).

* Ataques de Denegación de Servicio Distribuidos (DDoS). Miles / millones de ordenadores se conectan simultáneamente al servidor contra el que se realiza el ataque, saturando todos los recursos y evitando que
los usuarios legítimos puedan conectarse.

EJEMPLO DE ATAQUE DDOS: 31 de diciembre de 2015. Todas las webs de BBC fueron atacadas durante varias horas, convirtiéndose en el mayor ataque de DDoS de la historia.

• Contramedidas:

* Más y mejores servidores

* Bloqueos a nivel de CDN

* “Limpieza” de tráfico a nivel ISP

* SOC (Security Operation Center): equipo especializado para gestionar todas las amenazas y los incidentes de seguridad.

3. NIVEL DE MADUREZ ALTO: su principal preocupación son los ataques dirigidos que tengan como objetivo la propia empresa. Invierten en I+D y servicios de inteligencia y han pasado a un modelo proactivo.

CSIRT: Computer Security Incident Response Team

CERT: Computer Emergency Response Team

Funciones:

• Detección de Intrusiones: en colaboración con el SOC

• Distribución de nuevas vulnerabilidades: para su corrección

• Educación y concienciación: a ciudadanos y empleados

• Compartir información: entre otros CERTs/CSIRTs públicos y
privados

¿Quién lo forma?:

• Sistemas de la Información (TI)

• Seguridad de la Información

• Legal

• Recursos Humanos

• Marketing y/o Comunicación

• Seguridad Física

• Continuidad de Negocio

• Dirección

• Equipos externos: otros CSIRTs, fuerzas de seguridad…

Conclusiones:

• Las empresas están EXPUESTAS A AMENAZAS EN INTERNET.

• Las repercusiones de UN INCIDENTE DE SEGURIDAD AFECTAN AL NEGOCIO de la empresa, ya sea a nivel económico (bolsa, sanciones…) o tecnológico (pérdida de datos, filtración de información…)

• Es fundamental TENER EN CUENTA “LA SEGURIDAD” desde el primer momento a la hora de tener una presencia en Internet.

• Hay SITUACIONES QUE SE ESCAPAN DE TODO CONTROL. Siempre hay que
asumir riesgos, pero tratando de minimizarlos.

Haz clic para comentar

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

 
Subir