EEUU presenta plan para proteger sitios web empresariales

Los negocios estadounidenses que enfrentan una creciente amenaza de ciberataques contra sus sitios de internet tendrán ahora más herramientas para protegerse y reforzar sus portales contra piratas cibernéticos.
Un nuevo programa del Departamento de Seguridad Nacional ayudará a pequeñas compañías y organizaciones no lucrativas a evitar problemas de programación que permitan a los ciberpiratas entrar en sus sitios.
El proyecto fue desarrollado en conjunto con Mitre y es un esfuerzo para apuntalar debilidades conocidas en programación, que le dan a los ciberpiratas puertas traseras de acceso.
El esfuerzo comenzó mucho antes de recientes ciberataques contra sitios web corporativos y gubernamentales, incluido uno que provocó la caída del portal de la CIA por varias horas este mes.
El proyecto enlista 25 problemas técnicos que los ciberpiratas explotan y fija un método para calificar software, de manera que los clientes puedan ver si cumple con los estándares necesarios.
Hasta hoy, cuando los dueños de pequeñas empresas compran software, o contratan una compañía para construir un sitio web, es difícil que sepan si los programas son seguros, dijo Alan Paller, director de investigación del Instituto SANS, una organización de seguridad informática.
La información, compilada en un cibersitio especial que el público puede ver, le dirá a las personas en qué fijarse para crear un cibersitio seguro y cómo juzgar potenciales errores de programación.
También permitirá crear un marcador para que las compañías que busquen contratar a una empresa que construya su cibersitio puedan revisar su historial en seguridad.
El esfuerzo está dirigido a más de un millón de programadores y otros profesionales del sector tecnológico que escriben códigos, construyen sitios web y desarrollan software.
La lista ha sido creada por el DHS en colaboración con SANS Institute y Mitre y, según informa el New York Times, incluirá información personalizada para diferentes tipos de empresas, como, por ejemplo, las dedicadas a la banca online o al e-commerce. Además, advertirá de cuáles son los errores más comunes en este tipo de negocios.
Sin embargo, en muchas ocasiones la principal amenaza para el Gobierno y las grandes compañías no son estos piratas y sus sofisticados métodos de hacking que se aprovechan de vulnerabilidades, sino los propios trabajadores.
Según un artículo publicado por Bloomberg, con bastante frecuencia son los empleados quienes ponen en peligro información confidencial. Aunque esta acusación puede parecer exagerada, el artículo da algunos ejemplos bastante concluyentes.
Así, por ejemplo, se recuerda que la mayor filtración a WikiLeaks se produjo porque un trabajador descargó la información en un CD o que el reciente caso que afectó a la empresa de seguridad RSA pudo ocurrir porque un empleado abrió un archivo malicioso de un correo marcado como no seguro.
Por si fuera poco, un simple error también podría tener consecuencias negativas. El Departamento de Seguridad Nacional realizó un experimento en el que dejaba CDs y memorias USB en aparcamientos de edificios oficiales para observar si eran recogidos y después utilizados. El DHS descubrió que se accedió a un 60% de los dispositivos que se recogieron. Sin embargo, si tenían un logotipo oficial el porcentaje aumenta hasta el 90%. Es decir, la curiosidad también afecta a trabajadores que, supuestamente, conocen los riesgos de seguridad que conllevan sus acciones.
En este sentido, Bloomberg recuerda que los ataques sociales están creciendo y, además, se vuelven más sofisticados. De hecho, según datos de Symantec, los intentos de phising aumentaron un 6,7% entre junio de 2010 y mayo de este año. Además, los ataques cada vez se dirigen a objetivos más concretos, como ejecutivos, que se creen más protegidos que sus empleados y en cuyos computadoras hay información más importante.

iProfesional