La industria de la seguridad y su necesidad de transparencia

Por Juan M. Tirado

Como industria, Ya aceptamos que no existe tal cosa como 100% seguro, y nos acostumbramos a vivir con el porcentaje que más se acerque a nuestra realidad y presupuesto.

Al mismo tiempo, estamos aprendiendo que, por toda la tecnología que podamos implementar, el eslabón más débil siempre serán los usuarios, y es aquí donde las herramientas dejan de ser relevantes y entran en juego la educación y las políticas corporativas, tanto es así, que según las diferentes firmas especializadas, las brechas internas abarcan más de un 60% de todos los incidentes de seguridad.

También entendemos que, la única forma de saber cual es la realidad de los delitos informáticos es si, a la hora de que suceden, la información se publica.

Este punto es particularmente complicado porque, por un lado, nadie quiere que sea su organización la afectada, ni ser el cliente cuyos datos se malversaron pero, por otra parte el poder compartir esta información es la que permite que tanto empresas como vendors logren trabajar en las vulnerabilidades y eventualmente cerrarlas.

Casi todos los proveedores de seguridad hacen énfasis en este punto e instan a sus clientes que sean más abiertos a la hora de sufrir brechas de seguridad. El problema radica en que estos mismos vendors no son transparentes cuando ellos son los vulnerados.

Demostraciones de esto lo podemos ver en caso como el de la firma Kaspserky cuyo código también fue comprometido a principios del año pasado, o el de McAfee que vio como su producto de software como servicio de Total Protection fue vulnerado y era usado para espiar los equipos y también debemos mencionar el incidente con RSA y como se comprometió toda su plataforma de tokens a nivel mundial.

Ahora bien, el ejemplo más reciente de esto es el caso de Symantec que, en los primeros días de enero, fue expuesta al robo del código fuente de sus productos y se encuentra a la espera que éste sea publicado por los autores del crimen.

Luego de que el hacker en cuestión hiciera público la obtención del código y sus intenciones de hacerlo público, la empresa minimizó la situación alegando que se refería a elementos de productos de cierta antigüedad (1999 hasta el 2006) y que el riesgo para sus clientes era mínimo.

Aunque la estrategia se mantuvo, no fue sino hasta hace unos días, y luego de la elaboración de un whitepaper de forma bastante discreta entre los miles de documentos en el sitio oficial de la firma, que finalmente se publicó que el producto pcAnywhere de Symantec si podía verse afectado por este brecha.

De acuerdo con este documento, los clientes que utilizan esta plataforma corren un riesgo potencial de verse vulnerados. Adicionalmente la empresa publicó un número de recomendaciones para contrarrestar la brecha, y para el día de hoy ya se han lanzado parches de seguridad para el producto en cuestión, y se esperan más actualizaciones.

Este caso puntual es solo uno de muchos, que no solo demuestran que ninguno, ni siquiera los vendors, son inmunes a ataques informáticos, pero también demuestra la postura general de una industria que necesita transparencia, no solo de empresas y organizaciones como bancos, hospitales, manufactureras, entre muchas otras, sino también de los mismos proveedores que ofrecen las soluciones que finalmente utilizaremos.