“Las auditorías de seguridad hay que hacerlas todos los días, los 365 días del año”. El experto en seguridad informática Chema Alonso ha alertado en la Universidad de Castilla-La Mancha (UCLM) del alto nivel de exposición de las organizaciones públicas y privadas a las ciberagresiones como consecuencia de sus deficientes estrategias de protección.
Alonso, responsable de la empresa Eleven Paths y de la seguridad informática de Telefónica, ha ofrecido la conferencia de apertura del Día de Internet en Castilla-La Mancha en la Escuela Superior de Informática de Ciudad Real. Su intervención, titulada ¡El pentesting está muerto, larga vida al pentesting!, ha girado en torno a la efectividad de las denominadas “pruebas de penetración” (pentesting), que consisten básicamente en atacar a un sistema informático con la intención de detectar sus vulnerabilidades en materia de seguridad.
Desde su empresa, Alonso ha encontrado “puertas” o fallos de seguridad en todo tipo de empresas, desde las más modestas, a otras que no lo son tanto, como Microsoft, Apple u Oracle. A su juicio, es prácticamente imposible garantizar la seguridad total de un sistema informático, pero las organizaciones podrían esforzarse mucho más en mejorar sus niveles de protección y evitar los ciberataques. “Cuando nos encargan una auditoría de seguridad, nosotros, igual que los malos –los ciberdelincuentes- buscamos la gacela herida, el punto débil. En una empresa tienes muchos servidores; a algunos, los que contienen la información económica, por ejemplo, les prestas mucho interés. Sin embargo, hay otros, como los que controlan las impresoras, que son más accesibles. Esa es la gacela herida”.
En virtud de su experiencia como auditor de las principales organizaciones españolas, Alonso lamenta la escasa concienciación en materia de seguridad informática, lo que favorece la libertad de acción de los criminales. “La mayoría de las empresas encargan pentestings con periodicidad anual y, o ya saben cuáles son sus debilidades, por lo que poco les puede aportar la auditoría, o la solicitan sólo por requerimientos legales o administrativos”.
Según Chema Alonso, esa escasa concienciación se traduce en circunstancias como el hecho de que algunas organizaciones soliciten la realización de las auditorías a horas de poco tráfico web con el objetivo de no molestar a los usuarios. “Si un pentester no puede hacer una prueba cuando lo necesita ya estás perdido, porque los malos sí van a intervenir cuando quieran”, subraya.
Día de Internet
Tras la intervención de Chema Alonso, se ha procedido a la inauguración oficial del Día de Internet en Castilla-La Mancha, promovido por las escuelas Superior de Informática de Ciudad Real, Politécnica de Cuenca, y de Ingeniería Informática de Albacete, junto con la Junta de Comunidades de Castilla-La Mancha y los colegios oficiales de ingenieros de Informática, ingenieros técnicos de Informática, ingenieros de Telecomunicación e ingenieros técnicos de Telecomunicación.
El director de la Escuela Superior de Informática de Ciudad Real, Eduardo Fernández-Medina, se ha referido en su intervención al desarrollo de las tecnologías de la información y las comunicaciones, especialmente de internet, como “el mayor avance de la historia” y ha defendido el modelo de la “triple hélice”, que consiste en la colaboración entre la universidad, las empresas y las administraciones “para que el valor del conocimiento, la investigación y la transferencia se traduzcan en un mayor desarrollo social y económico”.
También han aludido a este papel dinamizador de las tecnologías tanto la vicerrectora de Transferencia e Innovación de la UCLM, Ángela González; el director de Telecomunicaciones y Sociedad de la Información de la Junta de Comunidades de Castilla-La Mancha, Alipio García Rodríguez; y el decano del Colegio Oficial de Ingenieros Técnicos en Informática de Castilla-La Mancha, Carlos de Manuel Clemente.