Me llamo Arturo, pero todo el mundo me llama Arturito, y soy desarrollador informático en la Empresa Jussnet, dedicada al desarrollo de soluciones de IT, o programador como algunos nos llaman también…Os voy a intentar reflejar mi pensamiento sobre Ciberseguridad ya que está tan de moda….

 

Llevo años viendo como cada día en los periódicos, noticias de televisión, incluso en algún blog que visito a menudo sube el porcentaje de ataques informáticos, yo lo intento transmitir a mis responsables, e incluso en alguna ocasión al propio CIO de la empresa y aquí nadie hace nada….

 

La verdad es que yo no se nada de seguridad, lo que voy aprendiendo de forma autodidacta en los pocos ratos que tengo para ello (ya que me interesa mucho), pero yo no soy capaz de securizar las aplicaciones que realizo porque tampoco es mi ámbito y muchas veces me pierdo entre palabros que ni sé lo que significan.

 

Somos muchos los compañeros de profesión que sufrimos en silencio este problema (como las hemorroides…), ya que, además de realizar los diferentes desarrollos que hacemos internos para mi compañía, también lo hacemos para los diferentes clientes que tenemos, algunos muy grandes que nos exigen que los mismos tengan un nivel de seguridad alto antes de pasar a producción.

 

De hecho, hace poco tiempo en uno de nuestros desarrollos en un cliente, al cabo del tiempo de pasar a producción tuvieron un ataque en su aplicación, en este caso, nadie se preocupó de la seguridad y la aplicación y claro por lo que apareció (después de una auditoría de seguridad que hicieron) tenía muchísimos fallos de seguridad…

 

Por lo que contaron, las pérdidas económicas fueron enormes y esa compañía casi se va a la quiebra… Aunque tengo un ejemplo más cercano, el de tía Puri, que tenía una tienda online de detalles para comuniones y alguien atacó esa página y cogió los datos (tarjetas bancarias) de todos los clientes (obviamente lo que jamás pensó mi tía es que iba a ser objeto de un ataque).

 

En mi compañía, no se quiere invertir en darle un valor añadido a todos nuestros desarrollos, y creo que es un fallo garrafal porque algún día tendremos un susto grande y lo de tía Puri se quedará muy corto…

 

En algún café con “los que mandan” en mi empresa, intento meterles miedo alegando que muchas compañías muy grandes del sector bancario, educación, telecomunicaciones, entre otros, que tienen grandes equipos de Seguridad Informática han sufrido recientemente ataques (además este alegato lo suelo cambiar por un nombre diferente de empresa casi todas las semanas), pero los resultados son los mismos.

 

 

En fin, que hasta aquí llega mi reflexión, que debemos estar todos concienciados y preocupados por un tema que cada vez esta más en auge, yo por mi parte intentaré seguir informándome de todo lo acontecido en Ciberseguridad e intentar que el trabajo que hago sea lo más seguro posible (aunque mis responsables no quieren ayudarme a corroborarlo de ninguna manera).

 

La historia contada del pobre Arturito es ficticia, pero por desgracia muchas de las personas que están leyendo este artículo se han sentido identificadas con él, incluso desempeñando funciones diferentes a las que se plantean en la historia ya que hay muchísima gente que tiene presente todo esto independientemente del ámbito de su profesión.

 

Actualmente los ataques informáticos a aplicaciones web pueden afectar a todas las compañías de todos los sectores y se van incrementando cada día más produciéndose fugas de información de los propios usuarios/clientes y, por ende, las correspondientes pérdidas económicas para las empresas (por no hablar de los daños a la marca que les repercuten).

 

Todas las empresas tienen que tomar conciencia de lo importante que es realizar auditorías de seguridad de los servicios web que exponen al exterior, este tipo de aplicaciones expone todos los datos a Internet a través de nuestra página web, nuestra tienda online, portal del empleado, intranet, y un largo etcétera.

 

Cualquier empresa puede ser el objetivo de un atacante, hemos visto diversidad de ataques en todo tipo de empresas (con independencia del tamaño/sector/negocio de las mismas) y los resultados siempre son satisfactorios para el atacante ya que cualquier información que puedas sacar es poder para él.

 

El ejemplo de la tía Puri que contaba Arturito, comparado con los ataques que reciben muchas grandes compañías son el claro ejemplo de que nadie está libre por lo que hay que tomar conciencia y realizar una auditoría de seguridad de las aplicaciones web para saber cuales son los fallos que hay que solucionar para que un ataque no resulte satisfactorio (podéis visitar nuestros servicios de Hacking Ético aquí>).

 

Fernando Saavedra

Cybersecurity Manager

Áudea Seguridad de la Información