![No necesita presentación, Chema Alonso es uno de los hackers más reconocidos del mundo y, sin duda, una de las personas que mejor puede aconsejar a las empresas sobre las vulnerabilidades […]](http://www.contunegocio.es/wp-content/uploads/2014/12/DSC_7692-240x180.jpg "Chema Alonso: ‘Los hackers han ayudado al progreso de la sociedad’")
No necesita presentación, Chema Alonso es uno de los hackers más reconocidos del mundo y, sin duda, una de las personas que mejor puede aconsejar a las empresas sobre las vulnerabilidades a las que se exponen en la Red, especialmente sobre los riesgos a los que se enfrentan en el ámbito de los ataques informáticos.
Un hacker ilustre con un currículum extenso y brillante: CEO de Eleven Paths, doctor en Seguridad Informática, director del Máster de Seguridad de la Universidad Europea de Madrid, ponente habitual en conferencias de seguridad de renombre internacional y autor del influyente blog “Un Informático en el lado del mal”.
P.- “Hay dos tipos de empresas: aquellas que han sido hackeadas y las que lo van a ser”, una afirmación tajante de Robert Mueller, director del FBI, ¿estás de acuerdo?
Es difícil no estar de acuerdo con ella cuando sabemos que alcanzar el 100% de seguridad hoy en día es imposible. Siempre quedan vectores de ataque, aunque sea el de los seres humanos que utilizan los sistemas informáticos. El objetivo de los responsables de seguridad es mantener la empresa en unos niveles de seguridad aceptables y tener una buena gestión de los riesgos y las amenazas para poder garantizar la continuidad del negocio.
P.- El 79% de los internautas españoles está preocupado por su privacidad en Internet, pero ¿estamos poniendo los medios adecuados para protegernos?
La gente dice estar preocupada por la privacidad, pero la mayoría se lanza rápidamente a probar una nueva aplicación o un nuevo servicio en la web al que va a dar sus datos personales. Después, ya se preocupa de ver cuál es la política de seguridad cuando en los medios de comunicación algún hacker alerta de la inseguridad. Ahora Facebook ha endurecido las atribuciones que se da a los datos en su plataforma… ¿veremos al 79% de los usuarios dejando de usar Facebook? Lo dudo.
P.- El tráfico malicioso y los ataques web se incrementan cada día a un ritmo vertiginoso, ¿qué estamos haciendo mal?
Se ha creado una plataforma que permite socializar globalmente, comprar entradas para el cine desde el teléfono, enterarnos en tiempo real de lo que sucede en el otro lado del planeta o jugar en mundos virtuales con personas de cualquier rincón del globo terráqueo. Pensar que no hemos globalizado a “los malos” es no querer ver la realidad. Igual que desde tu equipo te puedes conectar a cualquier servidor del mundo para comprar algo en una tienda, cualquier “ciberdelincuente” del mundo puede conectarse a tu tienda e intentar robarte o conseguir tus claves para robar tu identidad. Hay que asumir el nuevo escenario y plantear cualquier nuevo servicio o uso que le demos a la red pensando en “los malos”. Seguridad desde el diseño y auditoría constante son los mejores ingredientes para una empresa.
P.- El “cibercrimen” cuesta ya más de 320.000 millones de euros anuales en todo el mundo, ¿nos lo estamos tomando en serio en España?
Los departamentos de seguridad de grandes empresas sí, pero esto aún no ha calado masivamente en las pymes y en muchos organismos conectados a la Red. Nos queda mucho por acelerar para llegar a unos niveles de seguridad aceptables en el nuevo escenario global.
P.- Cada vez atacan más a las pymes en lugar de a las grandes corporaciones , ¿cuál es el motivo?
La inversión en seguridad. Muchas de estas empresas no han invertido o no pueden invertir lo necesario para tener medidas de seguridad. Muchas pueden costearse hacer una aplicación web que es parte de su negocio, pero no se costean sistemas de seguridad continuos. Por eso nosotros en Eleven Paths intentamos dar servicios de seguridad fáciles de implantar y costear, como el caso de nuestro sistema de auditoría constante Faast o nuestra plataforma de protección de identidades Latch.
P.- La complejidad en los ataques va en aumento. ¿Es cierto que se puede atacar a una empresa incluso por su sistema de calefacción?
O por el proyector de vídeo que tiene en la sala de reuniones. Los vectores de ataque son muchos. En la última conferencia de seguridad “NoConName” que se ha hecho en noviembre en Barcelona, un par de investigadores de Eleven Paths demostraban cómo un empleado navegando por una web podría permitir que un atacante situado en el otro rincón del mundo pudiera conectarse y explotar vulnerabilidades en servidores no publicados a Internet. Así de simple y fácil.
P.- La “ciberdelicuencia” evoluciona constantemente. ¿Cuáles son ahora mismo las técnicas más utilizadas por los hackers?
Todas, hasta los detalles más sutiles. Una de las cosas que están empezando a solicitarnos las empresas es que apliquemos nuestro sistema de pentesting persistente Faast, para auditar a los proveedores que ganan contratos, ya que pueden ser susceptibles de ser usados como plataforma de ataque. Esto lo vimos en el caso de la RSA Conference, donde se consiguió atacar la web por medio del sistema de estadísticas de terceros que utilizaban. Los vectores son muchos hoy en día para atacar a una compañía.
P.- ¿Y las amenazas más habituales a las que se enfrentan las pymes? ¿Están preparadas para afrontar la situación?
Las pymes están más expuestas a ataques menos sofisticados, basados en robo de credenciales para hacerse con la información de la base de datos, a ataques por medio de exploits que se publican y que no son parcheados a tiempo por falta de un equipo de seguridad que vigile constantemente las nuevas vulnerabilidades o los riesgos de continuidad de negocio por medio de ataques D.O.S. Hoy en día es preferible tener un sistema más sencillo, pero más seguro.
P.- ¿Cuál es la información más valiosa que un “ciberdelincuente” puede obtener de una empresa?
De una empresa puede ser valioso todo. Hemos visto que algunos “ciberdelincuentes” siguen las cuentas de correo para robar las órdenes de pago, robos de información confidencial, pero también datos para extorsionar a directivos y conseguir el control de la compañía por medio de chantajes. Son muchos y variados.
P.- ¿Qué ocurre si no gestionamos bien nuestras identidades digitales?
El otro día, comprando en la frutería, la dependienta me preguntó
cómo podría ayudarla. Le habían robado su identidad y le habían pedido
créditos, además de contratar servicios a su nombre que luego no
pagaron. Ahora no sabía cómo librarse de todo ello… El robo de
identidad.
P.- Uno de los grandes avances en seguridad es que ya
podemos protegernos “echando el pestillo” a nuestra identidad digital,
¿en qué consiste exactamente este sistema?
A través de Latch podemos implementar de forma virtual cerrojos o pestillos físicos. Asumimos que nos pueden copiar las contraseñas, por ello creamos esta tecnología que permite poner pestillos digitales a nuestras identidades desde una aplicación en el móvil que dice cuándo la cuenta se puede utilizar y cuándo no (incluso cuando se use la contraseña correcta). Este sistema es 100% anónimo, porque no guarda ninguna información de usuarios, contraseñas o nombres de las personas y es muy sencillo de manejar. Basta con abrir o cerrar el pestillo.
En este artículo explico cómo funciona Latch y si alguien lo quiere probar, puede hacerlo siguiendo este tutorial.
P.- ¿Es una solución adecuada para una pyme?
Sí, claro. De hecho lo puede poner en sus sistemas Windows, Linux, en los frameworks
de Internet que utilice en sus webs como WordPress, Joomla, PrestaShop,
etc. De hecho, gracias a un acuerdo con INCIBE, pueden solicitar una
“Licencia Silver” gratis hasta 100 usuarios poniéndose en contacto con Eleven Paths.
P.- Seguimos teniendo un concepto muy equivocado del hacker,
tú por ejemplo, luchas en el “lado de los buenos”. ¿Crees que es un
trabajo infravalorado o empezamos a darle la importancia que merece?
Los hackers son buenos siempre, aunque por desgracia muchos medios de comunicación han influido negativamente en la percepción que la gente tiene de ellos. La RAE ha definido al hacker como un pirata informático y nosotros hemos abierto una campaña de firmas para conseguir que cambien su definición.
Os recomendamos este vídeo en el que Chema Alonso explica en qué consiste realmente el mundo del hacking.
