" />
Alfonso-Franco-All4Sec
0 COMENTARIOS

Alfonso Franco, CEO de All4Sec

Hay un fallo de seguridad cuando pido a los empleados su usuario y contraseña y me lo dan

A principios de este año Waymo, la empresa responsable del coche autónomo de Google, anunció que sus vehículos no se mantendrán conectados a Internet, más que en situaciones específicas, para evitar hackeos. La noticia muestra hasta qué punto el riesgo de ataques informáticos es serio y lo difícil que es, todavía, para los fabricantes mantener la seguridad de sus productos. La noticia además tiene una segunda lectura: mientras en el mundo se habla de un futuro donde el IoT se integra idílicamente en las smart cities, Google, la gran compañía tecnológica, pionera en el desarrollo de lo smart, ha dado un paso atrás en la idea del mundo conectado porque, sencillamente, no es seguro.

Es la gran asignatura pendiente de la tecnología. La seguridad es una de esas cuestiones prioritarias, esenciales, a la que poca gente toma en serio, y una de las grandes interrogantes en los eventos mundiales de IoT. La razón, según apunta Alfonso Franco, CEO de la consultora de seguridad All4Sec (con quien estuvimos hablando tras la presentación del plan de ciberseguridad 360 de la compañía hace unos días), es que la ciberinseguridad se ha convertido en un negocio muy lucrativo, y mientras en las empresas hay unas pocas personas velando por hacer productos antihackeo y resolver las brechas de seguridad, en diversos lugares del planeta millones de personas se afanan por encontrar nuevas puertas traseras y violar la seguridad de los sistemas. Es una lucha desigual en la que una de las pocas maneras eficientes de luchar es mantener la prevención.

No es sólo luchar

All4Sec es una empresa relativamente joven, acaba de cumplir 3 años, pero sus integrantes cuentan con una experiencia en el campo IT que les ha llevado a realizar proyectos para el Banco de España o la Agencia Espacial Europea, por citar algunos. Son Alfonso Franco, Ingeniero Técnico en Informática de Sistemas por la UPM y Executive MBA por EAE Business School, y Juan José Galán, licenciado en Ciencias Físicas (Cálculo Automático) por la UCM, respectivamente CEO y Strategy Business Development de All4Sec.

La empresa nace con el objetivo de ser especialistas sólo en ciberseguridad, y dar servicio a cualquier tipo de compañía, desde las más grandes del mercado hasta las más pequeñas, pensando y asesorando de forma personalizada sobre lo que realmente conviene según el tipo de empresa y negocio. La cuestión es, como señala Franco, saber qué proteger, de quién y cómo. Ahora que ser hacker (de los buenos o de los otros) se ha convertido en una moda, los expertos en seguridad tienen que saber cómo defender un sistema, analizar el riesgo, entender el negocio del cliente y, finalmente, diseñar y poner soluciones de seguridad para cada uno de ellos. No es sólo luchar, hay que saber cómo hacerlo.

además de la tecnología hay que proteger el negocio y la reputación

Lo habitual ha sido, hasta ahora, tratar de proteger la tecnología, pero la realidad es que también hay que proteger otras muchas cosas como el propio negocio, la imagen corporativa, la reputación, a los inversores, y eso sólo se consigue si se mira de frente al riesgo que existe y se ponen las medidas necesarias para evitar que pase. Es una guerra sin cuartel en la que a veces las empresas son como los castillos asediados del medievo, que tenían que resistir los embates enemigos y estar pendientes para cerrar rápidamente cualquier brecha que lograra abrir el otro en los muros. En esta lucha de resistencia, la mejor forma de no agotarse es tener bien preparadas las defensas.

Cuando pensamos en ese “enemigo” hay que ser muy creativo. Están los clásicos hackers, los spammers, el malware, el ransomware, el phising y tantos otros nombres que queramos ponerle a las actividades delictivas en internet, pero también hay que protegerse “de la competencia, de los propios empleados y de uno mismo“, afirma Franco. “La seguridad es un negocio, y hay mucha gente dispuesta a ganar dinero con eso“, señala y recuerda que en su época de estudiante el objetivo era entrar a los sistemas sólo para saber que podías entrar, dejarle un mensaje al administrador del sistema diciendo que habían estado ahí y punto, ahora es una cuestión demasiado lucrativa como para mirar a otro lado pensando que a nosotros no nos puede pasar.

Yo no tengo nada que les interese

El peligro de pensar así, además de ser una idea falsa, es que evita tomar medidas. No es el único riesgo, pero el robo de datos es uno de los objetivos de muchos de los ataques por la sencilla razón de que los datos valen. Según nos explica Franco existe un mercado que compra y vende prácticamente todo lo que puede robarse a través de Internet. Un registro lícito de una empresa, lo que sería la tarjeta de visita de sus empleados, tiene un valor que puede oscilar entre los 3 y 5 euros por registro. Cuando robas miles, son miles de euros.

hay mucha gente dispuesta a ganar dinero atacando la seguridad

Evidentemente, si se venden es porque alguien los compra. Entre los compradores hay desde empresas que quieren tener listas veraces de usuarios para prácticas de marketing, o la misma competencia, deseosa de hacerse con información de la corporación rival, ideas frescas de pequeñas startups o imágenes de personas anónimas para que sea su cara la que vean las posibles víctimas de los pedófilos en Internet. “El ataque industrial ahora es más fácil que nunca porque todo está conectado” señala Franco. Cualquier cosa que puedas imaginar estará bastante cerca de la realidad.

Hay empresas que, sencillamente, no son conscientes de los datos que tienen. Alfonso Franco nos hace imaginar un taller mecánico que tiene los datos de sus clientes en hojas de Excel. Se sienten seguros porque tienen antivirus, pero la realidad es que tanto ellos como sus clientes están expuesto: nombres, teléfonos, direcciones, datos bancarios, copias de nóminas, pero también acceso al pedido de mercancías a proveedores. ¿Quién querría pedir por ti miles de piezas a Alemania? Nadie y cualquiera, a veces con un motivo y a veces sin ninguno. “Si existe la posibilidad de que se haga, es cuestión de tiempo que alguien lo haga“, afirma Franco.

Dentro del servicio integral que quiere dar All4Sec está, precisamente, ese eterno caballo de batalla que es la toma de conciencia con el problema, lo cual implica también dar formación a los empleados para que sepan dónde están los riesgos, qué pueden y qué no pueden hacer, que detecten los problemas para que no caigan en ellos. Desde esta empresa se encarga también de otro tema delicado: la contratación de expertos en seguridad. Explica Franco que uno de los problemas con que a veces se encuentran lo departamentos de recursos humanos es que no saben cómo entrevistar a un candidato al puesto de técnico de seguridad para saber si realmente sabe o no. Desde All4Sec ayudan también a las empresas en esta tarea asesorándoles o buscando el perfil de experto que la empresa necesita.

Pymes, las grandes olvidadas

En la web de All4Sec hay una frase, recogida del director del FBI Robert Mueller que dice: “Hay dos tipos de empresas; aquellas que han sido hackeadas y aquellas que no saben que lo han sido“. En el mundo real a nadie se le ocurre salir de casa o del negocio y dejarse la puerta abierta. Todo el mundo que sale cierra la puerta, echa llave, conecta la alarma… pero muy pocos tienen en cuenta que tienen un cable a Internet que nadie vigila, y desde el cual se tiene acceso a todo lo que hay dentro de la empresa.

las empresas tardan unos 140 días en detectar que han tenido intrusos

Cuando alguien fuerza la puerta de tu casa y entra a robar ves todo patas arriba, las cosas desordenadas y rotas, la diferencia con el mundo digital es que es muy probable que no te enteres de que han entrado hasta que no es muy tarde. Básicamente, cuando logran entrar no quieren que nadie lo sepa porque quieren poder seguir entrando. No quieren instalar un virus que te rompa todo (salvo ataques personales), quieren espiar el mayor tiempo posible y robar todo lo que puedan sin que te enteres. La media es preocupante, porque una empresa suele tardar unos 140 días en detectar una intrusión, según cuenta Franco.

La conciencia es el gran problema o la gran ventaja, es tenerla o no tenerla. Cuenta Franco que a veces llegan a las empresas, cogen a uno de los empleados y le dicen: “Estoy haciendo una auditoría, dame tu usuario y contraseña“, y se la dan. “No me conocen de nada y me la dan“, señala. Lo mismo pasa cuando llega un correo “raro” con un enlace a Dropbox o con un link a un archivo que te llega desde una cuenta conocida. A veces la confianza en que no pasará nada, es la llave con la que entran al sistema los cibercriminales. No hay que volverse paranoico, pero sí prudente.

Es la falta de prudencia la que nos hace creer que todo lo que nos bajamos de una tienda oficial está libre de malware. Eso es falso, según explica Franco, ahí también se pueden colar (y se cuelan) aplicaciones con intenciones aviesas. Ahí es donde tiene que entrar en juego el último filtro, el del usuario. Si descargamos una app de linterna para el móvil que sólo tiene que encender la luz de la cámara y vemos que nos pide acceso a los contactos, a la ubicación, a las redes sociales y a las fotos, ¿no sospechamos que hay algo que no está bien? No. Incluso si el antivirus nos alerta que existe riesgo con esa aplicación pensaremos que el antivirus se equivoca, y le daremos una y otra vez a descargar, descargar y descargar.

En breve, con el nuevo reglamento de seguridad de la UE, nuestra LOPD tendrá que adaptarse y ponerse muy seria con las sanciones. Hasta ahora lo habitual es que las multas llegaran a las empresas sólo cuando los casos saltaban a los medios, y nos por auditorías de la propia LOPD. Con el nuevo reglamento las obligaciones de las empresas en cuanto a informar de los ataques y, sobre todo, en contar con personal especializado, serán mucho más tajantes.

La seguridad es algo, explica Franco, que debe acompañar a las nuevas tecnologías que se desarrollan. Cuando hace años comenzaron a crecer las tiendas online “había problemas de seguridad todos los días“, explica Franco, pero “no por eso la gente dejó de comprar por Internet“. Ahora es la nevera o la tele, son nuevos escenarios digitales “y la seguridad tiene que acompañar eso“, insiste.

El fabricante tiene la responsabilidad de poner las medidas de seguridad posibles

De cara a la nueva normativa la responsabilidad también tendrá un papel importante. De entrada los fabricantes tienen la obligación de poner en el mercado dispositivos seguros, y teniendo en cuenta que la seguridad total, la seguridad al 100% es imposible, hacen todo lo posible para que las cosas sean seguras desde el origen. Si ha seguido todas las prescripciones y aún así le atacan, no es lo mismo que si lo hacen no habiendo tomado ninguna medida, “el fabricante es responsable de lo que hace y de lo que no hace“, apunta Franco.

A veces las empresas no se meten en proteger adecuadamente sus equipos y datos porque creen que las soluciones son complicadas o caras. En el caso de All4Sec pueden dar servicio a grandes corporaciones, pero también a despachos de abogados con sólo 3 o 4 personas. Pensando especialmente en las pymes, esas grandes olvidadas, han diseñado servicios mucho más sencillos y accesibles, con asesoría de expertos de la compañía y posibilidades de financiación que no les impidan disponer de las soluciones más adecuadas para sus características.

En los colegios

Los centros educativos son uno de los sectores en los que All4Sec tiene especial interés. En su oferta de servicios cuentan con consultoría específica para colegios. Es importante que se den cuenta de que tienen un problema de seguridad y que tienen que cambiar el chip, cuenta Franco. En un colegio se usan muchos dispositivos desde los que se pueden hacer muchas cosas, y la política que adopte la dirección del centro sobre esos dispositivos puede marcar la diferencia en muchas cosas. Hablamos, en la mayoría de las ocasiones, de menores, por lo que la seguridad es algo fundamental. Cierto que el centro no puede tener el control absoluto sobre los dispositivos que puedan introducir los alumnos a pesar las las prohibiciones de muchos de ellos. Es importante entonces poner el mismo peso en la seguridad de los dispositivos oficiales del centro como en la formación de los alumnos y profesores.

En los centros educativos hay que combinar las soluciones de gestión con la formación de los alumnos

Las recomendaciones en estos casos pasan por meter soluciones de gestión y políticas de uso en los dispositivos que usan los alumnos, que no se pueda usar la cámara o grabar más que cuando el profesor lo permita. Hablamos de posibles ataques externos a la intimidad de los chicos y chicas, pero también a los riesgos de bullyng por parte de los compañeros, tomar imágenes y usarlas para humillar a otros alumnos.

Es un asunto muy delicado porque hay mucho espionaje a través de dispositivos móviles. Franco explica que un móvil que arranca una aplicación como Facebook es una puerta de entrada para que alguien pueda controlar el teléfono y todo lo que hay dentro. A veces ni siquiera es necesario darle a instalar porque el hackeo viene de fábrica, “como los televisores de Samsung que encendían la cámara o el micro sin que te dieras cuenta y mandaban los datos a otro lugar“, recuerda Franco, igual que aquellos juguetes que grababan las conversaciones de los padres con los hijos. ¿Para qué podrían querer eso? Da igual, puede que algún día sea útil, y ese día lo venderán. Es cuestión de tiempo.

No comments yet.

Deja un comentario