De sus diecisiete años de experiencia en seguridad informática, dedicó seis a trabajar como “hacker ético”, oficio contradictorio cuyo ejercicio define así: “ciertas organizaciones me pagaban para que pusiera a prueba sus sistemas de información penetrando en ellos para identificar sus puntos débiles”. Y a modo de demo de sus habilidades, le gusta gastar una broma a sus interlocutores: una sencilla demo de cómo es capaz de “adivinar” el PIN de su teléfono móvil. Desde el 2006, Jason Hart dirige las actividades europeas de Cryptocard, empresa canadiense especializada en sistemas de autenticación que el mes pasado abrió su oficina en España.
Al parecer, la situación de seguridad de las empresas ha empeorado en los últimos meses.
Es cierto que se han publicado más incidentes, pero el problema es básicamente el mismo, y estrictamente no es nuevo; todas las empresas y organizaciones dependen vitalmente de internet para funcionar, y sus sistemas tienen que satisfacer una demanda de información que es insaciable, instantánea e imperativa. La generan millones de individuos, en cada uno de los cuales hay potencialmente una vía para lanzar un ataque.
Pero eso no lo ignoran las empresas…
[…] Se esfuerzan por acotar el riesgo, por cumplir con la normativa y con los criterios marcados por sus auditores: instalan cortafuegos y programas antivirus y antispam. Las más concienzudas diseñan políticas preventivas y planes de respuesta rápida para casos de crisis. Pero el hacker también evoluciona y tiene recursos a su alcance. El camino más fácil sigue siendo la captura de contraseñas, que son el punto más vulnerable de las redes.
Se supone que las contraseñas están para proteger; ¿cuál es el fallo?
Por lo general, el acceso a la red en las empresas sigue un patrón sistemático: un nombre de usuario asignado conforme a un formato estándar y válido para todos los empleados, y una contraseña que se configura con carácter permanente y se procura que sea fácil de recordar. Descubrir la primera parte es sencillísimo, y un hacker experimentado podría obtener la segunda en pocos minutos. Hace diez o quince años, era más difícil, pero Google y las redes sociales han facilitado mucho las cosas a los hackers.
¿En qué sentido?
Para robar un banco no hacen falta butrones ni reventar una caja fuerte, basta conseguir la contraseña de un cierto número de usuarios que no siguen las normas elementales de seguridad. Gracias a la cantidad de información disponible sobre usted en Google o la que usted mismo haga pública en Facebook, yo podría inventarme una identidad para hacerme pasar por amigo suyo, y seguir la pista que me lleve a donde yo quiera llegar… a su contraseña. No sé usted, pero la mayoría de las personas son de una ingenuidad increíble en la elección y manejo de sus contraseñas: emplean la misma para todas sus cuentas de acceso, o usan variantes con la fecha de su cumpleaños, el nombre de sus hijos o de sus mascotas… cosas así. Cambiar periódicamente de contraseña puede ser muy aburrido.
Ya veo. ¿Qué solución propone?
La solución que propone Cryptocard para proteger las identidades digitales se basa en el principio de la autenticación dual, con contraseñas de un solo uso. En nuestra industria, se conocen como tokens, y suelen ser una combinación de hardware y software, que puede incorporarse a cualquier dispositivo, particularmente a los móviles de empresa. O bien puede contratarse como servicio de una plataforma cloud.
¿Es suficiente garantía de seguridad?
La tecnología resuelve sólo el 20 o el 30 por ciento del problema. El resto depende de la gestión del riesgo, proactiva o reactivamente. Y, sobre todo, depende de que sea entendido como un problema corporativo, no sólo tecnológico. Conozco muchas grandes compañias europeas, pero ninguna cuyo consejo haya discutido alguna vez sobre la seguridad online. No es que sean desaprensivos, sino que lo dejan en manos del departamento de TI, que no puede con todo lo que tiene entre manos. O nombran un responsable de seguridad que puede ser un excelente policía retirado pero no tiene ni idea del asunto.