Chema Alonso. Fuente: UCLM.
Prácticamente todas las empresas y organizaciones del mundo tienen puntos vulnerables en sus sistemas informáticos y deberían mantener auditorías de seguridad constantes para evitar ciberataques. Así lo afirmó ayer en la Universidad de Castilla-La Mancha (UCLM) el hacker Chema Alonso, considerado uno de los mayores expertos en seguridad informática de España, durante la conferencia inaugural del Día de Internet.
“Las auditorías de seguridad hay que hacerlas todos los días, los 365 días del año”. Alonso alertó del alto nivel de exposición de las organizaciones públicas y privadas a las ciberagresiones como consecuencia de sus deficientes estrategias de protección.
El responsable de la empresa Eleven Paths y de la seguridad informática de Telefónica, ofreció la conferencia en la Escuela Superior de Informática de Ciudad Real, informa la UCLM en una nota. Su intervención, titulada ¡El pentesting está muerto, larga vida al pentesting!, giró en torno a la efectividad de las denominadas “pruebas de penetración” (pentesting), que consisten básicamente en atacar a un sistema informático con la intención de detectar sus vulnerabilidades en materia de seguridad.
Desde su empresa, Alonso ha encontrado “puertas” o fallos de seguridad en todo tipo de empresas, desde las más modestas, a otras que no lo son tanto, como Microsoft, Apple u Oracle. A su juicio, es prácticamente imposible garantizar la seguridad total de un sistema informático, pero las organizaciones podrían esforzarse mucho más en mejorar sus niveles de protección y evitar los ciberataques.
“Cuando nos encargan una auditoría de seguridad, nosotros, igual que los malos –los ciberdelincuentes- buscamos la gacela herida, el punto débil. En una empresa tienes muchos servidores; a algunos, los que contienen la información económica, por ejemplo, les prestas mucho interés. Sin embargo, hay otros, como los que controlan las impresoras, que son más accesibles. Esa es la gacela herida”.
En virtud de su experiencia como auditor de las principales organizaciones españolas, Alonso lamenta la escasa concienciación en materia de seguridad informática, lo que favorece la libertad de acción de los criminales. “La mayoría de las empresas encargan pentestings con periodicidad anual y, o ya saben cuáles son sus debilidades, por lo que poco les puede aportar la auditoría, o la solicitan sólo por requerimientos legales o administrativos”.
Según Alonso, esa escasa concienciación se traduce en circunstancias como el hecho de que algunas organizaciones soliciten la realización de las auditorías a horas de poco tráfico web con el objetivo de no molestar a los usuarios. “Si un pentester no puede hacer una prueba cuando lo necesita ya estás perdido, porque los malos sí van a intervenir cuando quieran”, subrayó.
