Las empresas dedican solo entre un 4 y un 10% de su presupuesto de TI a seguridad mientras que las amenazas se multiplican y suponen un coste de 45.000 millones, el 1,4% del PIB. La inversión necesaria para conseguir una alerta de amenazas razonable oscila entre los 500 euros anuales de un blog y los 10.000 euros mínimos de los sites más complejos. Julio Gómez, Product Manager & Security Consultant en Telefónica y profesor de ISDI, explica las principales amenazas y soluciones a las que deben hacer frente las webs en función de su grado de exposición.
Las cifras de la seguridad digital en España
La empresa española tiene una asignatura pendiente con la seguridad digital, en la que invierte entre un 4 y un 10% de su presupuesto total de TI; es decir, según los cálculos más optimistas, de los 86.000 millones de euros facturados por el sector en 2014 (las cifras de 2015 de la patronal Ametic no estarán disponibles hasta septiembre) se han dedicado a seguridad un máximo de 8.600 millones de euros.
Como cifra parece muy elocuente pero la cuestión es cuánta inversión necesita un site para lograr un nivel óptimo de seguridad. Este informe está realizado bajo la premisa de que no existe ninguna web segura, sino empresas y organismos conscientes del peligro al que se enfrentan por su exposición digital y, por ello, activas en la protección de sus sites.
Julio Gómez, experto en seguridad informática, Product Manager & Security Consultant en Telefónica y profesor de ISDI, certifica que “la tecnología evoluciona y, con ella, llegan siempre nuevos riesgos y ataques. En los últimos años ya se ha hablado de gente que es capaz de manipular marcapasos o que son capaces de controlar trenes. Los coches autónomos ya han tenido también algún que otro percance y cuanto más evolucionemos hacia el Internet de las cosas más sencillo será encontrar este tipo de noticias“.
Esto implica que la seguridad es siempre una situación de vigilancia, control y análisis que persigue pero nunca alcanza la perfección. Aun así, las cifras que ofrecen los diversos estudios y estimaciones apuntan a un crecimiento acelerado de los ataques que no se corresponde con el mismo cuidado por parte de las empresas:
· Sobre el nivel de inversión: casi el 60 por ciento de las empresas españolas invierten más de 1.000 euros al año en seguridad;
· Sobre los ataques: diariamente se identifican 160.000 webs que tienen puntos débiles de seguridad; más de 320.000 direcciones IP registran actividad maliciosa;
· Sobre los costes:
– Un informe de Kaspersky, especialista en antivirus, calcula que las pérdidas provocadas por una brecha de seguridad pueden ir desde los 33.000 euros de una pyme hasta el medio millón de euros de una gran empresa;
– España recibió 45.000 amenazas en 2015 con un coste de 45.000 millones, el 1,4% del PIB;
– La Policía registró en 2014 hasta 70.000 ataques en España;
– Ahora se producen un 44% más de ataques informáticos en el mundo que los que sucedían en 2008 (McAfee y CSIS). Los delitos informáticos provocan unas pérdidas por valor de 326.677 millones de euros para la economía global.
Quien invierte y quién debería invertir
Partiendo de la premisa de que nadie está a salvo, Julio Gómez se basa en su experiencia para reconocer que “ninguna empresa (no importa su tamaño), le da importancia a la seguridad hasta que no tiene un incidente: ya sea un ataque, una fuga de información o un problema con un virus (malware). Y no es una cuestión de tamaño porque he visto a empresas del Ibex35 con fallos de seguridad de pymes e incluso a pure players que tienen graves deficiencias de seguridad y han tenido muchos problemas a pesar de ser compañías cien por cien digitales. Todas las empresas pueden y deben mejorar”.
No obstante, es obvio que no todos los sites necesitan el mismo nivel de protección ni están expuestos a los mismos riesgos: “depende del tipo de contenido que haya en la web y el porcentaje que se genera a partir de acciones del usuario – comenta Gómez-. Es decir, en un blog, el contenido lo publica una empresa (o el propietario) y el lector no interactúa con él más allá de añadir algún comentario o algún botón social, pero no puede hacer nada más. Por otro lado, hay sites que viven del contenido que generan los usuarios y es mucho más probable que se encuentre un fallo grave de seguridad en ellos”.
¿Cuál debería ser la inversión de uno y otro? Solo para tener una buena detección de amenazas los sites pequeños como páginas corporativas, blogs, etc., deberían tener una inversión de entre 500 y 2.000 euros anuales; páginas más grandes requieren desde 5.000 hasta 10.000 euros; y algunos ecommerce o páginas más sensibles, necesitan un plan de seguridad ad hoc y constante.
Con una media de inversión necesaria de 6.250 euros al año tirando por lo bajo (trabajar en un sistema de seguridad requiere aún más inversión), la Internet española debería estar invirtiendo unos 21.875 millones, casi tres veces más que los aproximados 8.600 que se dedican en la actualidad. Y es una estimación conservadora. El análisis por sectores arroja los siguientes datos:
· la banca es el sector que más invierte en seguridad, seguido por las empresas que se consideran de infraestructuras críticas: energía (incluyendo centrales nucleares), proveedores de servicios de telecomunicaciones (Telefónica, Telvent, etc.) y aguas;
· entre los organismos públicos invierten bastante los ministerios y grandes instituciones como la DGT. Sin embargo, en los ayuntamientos existe un enorme déficit de inversión y tienen grandes problemas de seguridad;
· las empresas del sector retail invierten, pero no en exceso, a excepción de Inditex y El Corte Inglés;
· las aseguradoras son las siguientes en volumen de inversión, pero en menor medida.
Los riesgos y los enemigos
La seguridad informática o seguridad de tecnologías de la información es el área de la informática que se enfoca en la protección de la infraestructura de TI y todo lo relacionado con ésta, especialmente, la información contenida o circulante. Es importante resaltar que en Internet la presencia equivale ya a tener exposición y todas las empresas están expuestas a través de su página web, el correo electrónico, las redes sociales, los servicios online, el ecommerce…
¿Quiénes son los enemigos? Según Julio Gómez:
· Aunque las mafias controlan gran parte del crimen organizado en Internet y el móvil principal es el dinero, las técnicas de ataque han ido evolucionando: Antes se limitaban a fraudes (phishing) y malware orientado al usuario final (los consumidores) pero en el último año y medio han cambiado de objetivo con la evolución de un tipo de virus conocido como Cryptolocker, que lo que hace es cifrar la información del disco duro y luego pide un rescate para recuperarla. Este tipo de malware está afectando a muchas empresas que están teniendo serios problemas y que en muchos casos acaban pagando el rescate.
· Por otro lado, en los últimos cinco años se ha venido detectando un aumento considerable de los ataques por ciberespionaje, ciberguerra e incluso ciberterrorismo. Las empresas se atacan entre ellas aunque ninguna lo admita. Pero mucho más grave son los ataques de los gobiernos, que son players muy representativos del sector. Países como China, EEUU o UK están a la cabeza de ataques perpetrados contra otros gobiernos o contra empresas de otros países.
· En menor escala, también se encuentran los hacktivistas que son grupos de personas que atacan empresas y organismos públicos normalmente con una justificación moral o ideológica.
Ejemplos de empresas afectadas: Yahoo!, Flickr, Bitdefender, TalkTalk
– El Cross-site Scripting (OWASP Top-3): permite añadir código a una página web.
Riesgos:
• Robo de sesiones (robo de cookies)
• Modificar el contenido de la página web
• Acceso a información sensible (credenciales…)
Ejemplos de empresas afectadas: Yahoo!, Apple, Google, PayPal. Como ejemplo:
o Uso de software vulnerable / mal configurado (OWASP Top-5 y 9): el software es propenso a errores (bugs). Si un determinado error afecta a la seguridad, se considera una vulnerabilidad. Un fallo en la configuración también puede provocar una vulnerabilidad. El uso de software vulnerable/mal configurado es una de las principales causas de intrusiones en las empresas.
o Aplicaciones mal diseñadas (OWASP Top-2, 4, 6, 7 y 10): es habitual que durante el diseño y desarrollo del software, no se tenga en cuenta la seguridad como pilar fundamental. En estos casos, es habitual encontrar fallos de diseño que puedan afectar negativamente el negocio de las empresas.
• Contramedidas:
o Priorizar la seguridad durante el desarrollo: existen guías de buenas prácticas que deben ser seguidas durante el desarrollo para evitar fallos de seguridad que puedan afectar al sistema en el futuro.
o Configuración segura del software (hardening): previene vulnerabilidades que puedan ser debidas por una configuración indebida. Ejemplos:
• Usuario/Contraseña por defecto.
• Usar cifrado para proteger la información (http vs https).
o Instalar Hardware especializado de seguridad: Firewalls, IDS… para prevenir ataques genéricos y detectar cuando se está siendo atacado.
o Auditorías de seguridad (pentesting): se “ataca” el sistema a analizar en busca de vulnerabilidades, de la forma en que lo haría un atacante de verdad. Las auditorías sirven para identificar vulnerabilidades reales en los sistemas y ayudar a corregirlas.
o Añadir condiciones que cubran pruebas de seguridad: en el caso de que estemos contratando a un tercero para un desarrollo.
Nivel de madurez medio:
• Tipo de empresa:
o disponen de equipo especializado;
o son empresas grandes y/o con gran presencia en Internet;
o sufren ataques constantemente e incluso amenazas dirigidas.
Ejemplos en España:
o Mayoría de los bancos
o Aseguradoras
o Compañías de energía
• Amenazas: su principal preocupación son los ataques desde Internet que puedan comprometer el servicio o la información (todos los vistos en el nivel anterior).
o Demandas por no cumplir estándares (ej: PCI-DSS) o de agencias gubernamentales (AEPD).
o Ataques de Denegación de Servicio Distribuidos (DDoS). Miles / millones de ordenadores se conectan simultáneamente al servidor contra el que se realiza el ataque, saturando todos los recursos y evitando que los usuarios legítimos puedan conectarse.
Ejemplo de ataque DDoS: 31 de diciembre de 2015. Todas las webs de BBC fueron atacadas durante varias horas, convirtiéndose en el mayor ataque de DDoS de la historia.
• Contramedidas:
o Más y mejores servidores
o Bloqueos a nivel de CDN
o “Limpieza” de tráfico a nivel ISP
o SOC (Security Operation Center): equipo especializado para gestionar todas las amenazas y los incidentes de seguridad.
Nivel de madurez alto: su principal preocupación son los ataques dirigidos que tengan como objetivo la propia empresa. Invierten en I+D y servicios de inteligencia y han pasado a un modelo proactivo.
ISDI es una institución creada por directivos de referencia de las principales empresas comprometidas con el entorno digital del país (Google, Yahoo, Tuenti, DOCOMO Digital, Wink, Herraiz y Soto, AirBnB, Sónar…). Es la primera escuela de negocio del ámbito digital de nuestro país. Su misión es impulsar la transformación digital de España a través de la formación de profesionales, emprendedores y empresas para acelerar el cambio a un nuevo modelo económico más competitivo y eficiente.