Por Valentina Tombolini
Académica Facultad de Ingeniería, Universidad Central
¿Existe una casa imposible de robar? Si reflexionamos al respecto, llegaremos a la conclusión que no. Para cualquier medida de seguridad que podamos usar –alarmas, sensores, rejas, guardias- un atacante astuto y motivado puede encontrar una forma de entrar. Puede ser difícil y costoso, pero siempre hay una forma de entrar.
La seguridad en internet funciona de la misma manera. Las empresas usan diferentes tecnologías para proteger su información y la de sus clientes. No sólo los datos transaccionales –números de tarjetas de crédito o historial de compras, sino datos personales: direcciones, teléfonos, correos, etc.
Un principio de la seguridad es que no existen sistemas invulnerables. Pero aunque para cada medida de protección que apliquemos –en el mundo físico o virtual- hay una posible contramedida, eso no significa rendirse y simplemente dejar que cualquiera entre. Las empresas tienen la obligación moral y financiera de proteger su información y la de sus usuarios, y las personas debemos ser cuidadosos al elegir a quien le entregamos nuestros datos.
Hay cuatro conceptos que las empresas deben tener en cuenta. Pentesting permanente: La primera medida de seguridad es conocer la solidez de nuestros sistemas de seguridad. El pentesting es, en términos simples, solicitar a un equipo de especialistas en hacking auditar la seguridad de la empresa. ¿Puede un atacante vulnerar los cortafuegos de nuestros servidores? ¿Puede un intruso acceder físicamente a un equipo e instalar un pendrive con virus? ¿Hay alguna red corporativa mal protegida? Es posible acceder a un equipo remoto incluso a través de una impresora WiFi mal configurada, así que esta tarea no puede tomarse a la ligera. Las pruebas de seguridad informática deben hacerse de forma recurrente, puesto que las tecnologías y vulnerabilidades cambian con frecuencia.
Cuidado con las modas en seguridad: confiar en una tecnología poco probada que parece revolucionaria e inquebrantable es un error. Un ejemplo reciente: el sistema de reconocimiento facial del más moderno smartphone Samsung –el Galaxy s8- ya ha sido vulnerado incluso antes que el dispositivo esté disponible en las tiendas. Es un error grave creer que cierta tecnología es mejor para la protección de los datos sólo porque es más reciente, y por cierto que las empresas deben elegir con cuidado sus proveedores de seguridad, tanto física como virtual.
El mundo BYOD, sigla en inglés de “Bring Your Own Device” (Trae tu propio dispositivo). Es una realidad que, en prácticamente todas las organizaciones, las personas conectan y desconectan sus propios equipos a las redes corporativas, y en ellos procesan, transportan y transmiten datos sensibles que pueden ser objetivo de un ataque. Toda institución debe optar por una política de seguridad interna que incluya los teléfonos, tablets y computadores de sus empleados, proveedores y clientes.
Encriptación avanzada: La última capa de protección, y quizás la más importante, es resguardar la información incluso si fue robada, convirtiendo los datos en bytes inútiles. La encriptación de datos debe estar presente en todos los procesos informáticos, incluyendo los servidores, acceso a internet (a través de una VPN), y de los dispositivos físicos, como computadores, discos duros externos y pendrives. Un algoritmo de encriptación robusto impedirá el uso de datos robados, haciéndolos inútiles.
Las empresas afectadas por problemas de seguridad informática no son pocas. En realidad, la mayoría de los gigantes han tenido que lidiar con este problema: Sony, Microsoft, Yahoo, Adobe, LinkedIn, Badoo, Dropbox, entre muchas otras, han sufrido este tipo de problemas. Un ladrón no necesita todas las puertas y ventanas abiertas para entrar a nuestro hogar, sólo necesita una. En seguridad informática pasa lo mismo, y por eso las empresas deben ser tan precavidas como sea posible.
