Buscar

2011/05/06

El ataque a Sony siembra dudas sobre la seguridad en internet

La comisaria europea de Justicia, Viviane Reding, puso este miércoles el dedo en la llaga al asegurar que el ciberataque a Sony (también citó la polémica en torno a Apple y la recolección de datos de geolocalización de los usuarios de iPhone y iPad) ha debilitado la confianza en la tecnología. Aunque a nadie se le escapa que la compañía japonesa no es la primera que sufre un percance de este tipo, la magnitud del caso Sony (100 millones de cuentas de clientes afectadas) ha provocado que muchas personas se alarmen y duden sobre la seguridad de los servicios online. Muchas voces se preguntan ¿cómo es posible que una empresa de la talla de Sony sufra un ataque como este?, ¿están las empresas aplicando todas las medidas de seguridad disponibles?, ¿están nuestros datos seguros en internet?...
"Desde luego sorprende este ataque a gran escala a Sony, pero cualquier empresa con grandes concentraciones de usuarios y/o datos financieros es un objetivo en estos días. Otras violaciones recientes, como las de TripAdvisor, Epsilon, TK Maxx, Play.com y Lush, por citar algunas, son prueba de ello", dice Rik Ferguson, director de investigación de seguridad para EMEA de Trend Micro, quien añade que "nuestros datos están tan seguros como quiera la persona que se encarga de ellos. Si nuestra información se almacena usando un sistema de cifrado eficaz y nuestras contraseñas han sido creadas con buenos criterios de codificación, siempre serán más difíciles de robar por los ciberdelincuentes y, de lograrlo, resultarán del todo incomprensibles o inútiles para ellos", subraya.
Algo similar opina David Barroso, director de la división de e-crime de S21sec, que aclara que la seguridad al 100% no existe y que siempre hay riesgos, sobre todo en el eslabón más débil, las personas. "Durante 2011 han ocurrido muchos incidentes parecidos (RSA, HBGary, Comodo, Barracuda...) que demuestran que por muchas medidas de seguridad técnicas que implementemos, las personas somos los más vulnerables". Aún así, Barroso subraya que la mayoría de las empresas que ofrecen servicios en la red poseen medidas de seguridad para evitar el robo de información. "Aquí ocurre algo parecido a cuando vamos por la calle. Existe alguna posibilidad de que nos roben, que aumenta según la zona por donde paseemos y qué enseñemos. Pero ¿es por ello inseguro pasear por la calle? No, aunque siempre hay un riesgo".
Las firmas de seguridad reconocen que a veces cuesta convencer a usuarios y empresas que es seguro dar los datos en la red tras un ataque como el de Sony. Aún así, insisten que generalmente los servicios online cuentan con certificaciones de seguridad que avalan ésta, así como medidas visibles al usuario que pueden otorgar más confianza. "También el histórico de incidentes que tenga una compañía es un buen indicador para su confianza", dice Barroso.
Lluís Cedó, director de Penteo, advierte que las empresas deben ser conscientes de que todas están expuestas a ataques y que es necesario que sus políticas de seguridad estén continuamente evolucionando y actualizándose. "Lamentablemente en el ámbito de la seguridad informática la capacidad de intrusión de los ciberhackers avanza muy rápidamente y en determinadas condiciones, cuando el beneficio obtenido por el ataque vale la pena, no escatiman esfuerzos para lograr su objetivo", continúa.
Este experto insiste en que la tecnología avanza tan rápidamente y los sistemas son tan complejos que las posibilidades de hallar debilidades existen. Con todo, Cedó apunta que, pese a la gran repercusión mediática de casos como el de Sony, el impacto económico para las personas afectadas por este tipo de ataques siempre ha sido muy bajo, porque los datos sensibles, como los números de las tarjetas de crédito, suelen almacenarse encriptados, con algoritmos muy robustos como para minimizar el riesgo de las posibles pérdidas.
Respecto al miedo generado a dar los datos en internet, Cedó asegura que los usuarios, especialmente los de generaciones no digitales nativas, son desconfiados ante la protección y seguridad de los datos en internet. "Las nuevas generaciones en cambio no conciben otro medio de relación, comunicación y de almacenamiento de la información. A medida que las nuevas generaciones crezcan la preocupación por la seguridad en internet tendrá el mismo nivel que el que tienen otras generaciones respecto a la seguridad en otros medios.

Debe haber responsables de seguridad

La mayoría de los fallos de seguridad ocurridos este año han sido una mezcla de ingeniería social más una seguridad defectuosa, y muchos han tenido un componente humano, donde con algún engaño, algún usuario interno de la empresa da información confidencial al atacante, cuenta David Barroso, de S21Sec. Preguntado por si sería interesante aplicar soluciones de reconocimiento de la huella o del iris del ojo para hacer transacciones por internet, Barroso explica que, en el ataque a Sony, "tiene toda la pinta que ha sido un problema interno más que un problema en el lado del usuario, con lo que no serviría de mucho aumentar la complejidad de seguridad en el lado de este. Es más, seguramente los usuarios se cansarían de tener tantas dificultades para jugar y se pasarían a la competencia".
El analista independiente Jaime García Cantero añade que esas tecnologías están disponibles y están maduras. "El problema de la más segura de ellas, la del iris, es que es sumamente intrusiva y a casi todos nos molesta, aunque sin duda podría aumentar significativamente la seguridad. De todas formas, son tecnologías de identificación que protegen de accesos indebidos pero no solucionan el tema de protección de datos".
En lo que sí coinciden los expertos consultados es en la necesidad de que las empresas cuenten con un responsable de seguridad informática. "Muchas, por el sector en el que actúan, no estaban tan expuestas a la tecnología y sus riesgos, pero hoy lo necesitan todas".

Lecciones

Experiencias aprendidas de los ataques
l La seguridad informática evoluciona muy rápido. Las empresas deben actualizarse continuamente y mantener una inversión adecuada al riesgo y al valor de la información que custodian.
l Los usuarios deben usar contraseñas complejas y distintas para cada servicio online. Deben apostar por usar direcciones de e-mails desechables, tarjetas de crédito de un solo uso o servicios como Paypal para hacer transacciones financieras, según Trend Micro.
l Las empresas deben estar preparadas para responder a un ataque y saber gestionarlo bien: qué comunicar, cómo y qué medidas tomar.

Cinco Dias

No hay comentarios: