Hasta ahora, los fallos de seguridad, normalmente, se sufrían de forma aislada, en algunas páginas webs, servidores o páginas on line de empresas presentes en Internet. Pero últimamente hemos sido testigos de una peligrosa enfermedad que está padeciendo la red, conocida como “Heartbleed”, que afecta a su seguridad en general dejando al descubierto, y sin que nos demos cuenta, información cifrada albergada en los servidores.
Desgraciadamente, cada vez son más frecuentes la aparición de agujeros de seguridad (Bugs) en los distintos servicios de Internet, que se convierten en “ciberminas” de oro para los “ciberdelincuentes”, ya que aprovechan estas vulnerabilidades para sacar buen provecho económico. Estos “fallos” graves de seguridad pueden poner en peligro los datos relativos a contraseñas, datos personales, confidenciales y privados de los usuarios del servicio afectado.
El Heartbleed es mucho más que un agujero de seguridad en un servicio aislado. Se trata de un grave fallo de seguridad que convierte en vulnerable cualquier información protegida mediante los métodos de cifrado, que se utilizan habitualmente en gran parte de Internet para no hacer visibles nuestros datos confidenciales, mediante OpenSSL -un conjunto de herramientas que permiten ocultar, mediante cifrado “encriptado”-, como son nuestras credenciales bancarias, usuario y contraseñas en redes sociales y servicios de correo electrónico, acceso a plataformas online (telefonía, seguridad social, servidores empresas, …) y así un larguísimo etc.
Lógicamente, los servicios y plataformas que se vieron afectados por “Heartbleed” han reparado, en la medida de lo posible el agujero de seguridad. Pero mientras duró, la “enfermedad cardíaca” de la Red, todos esos datos personales han estado expuestos a los ojos de cualquier “avispado ciberdelincuente”, y se puede haber tenido los datos de acceso privados a diferentes webs de forma comprometida, puesto que el agujero de seguridad afectó a millones de servidores en todo el mundo, incluidos los mas importantes.
Lamentablemente si eres de los que piensas que tienes el mejor antivirus del cibermundo y cualquier otra solución antivirus más, instalada en tu dispositivo, y que estás exento de sufrir las consecuencias de “Heartbleed”, decirte que estás totalmente equivocado y que podrías verte en serios problemas.
Actualmente, las páginas corporativas están siendo el punto de mira preferido de los ciberdelincuentes, por lo que hay que aumentar al máximo la seguridad de las cuentas de las empresas. Por ello, en varias ocasiones, siempre recuerdo la importancia de tener un sistema de seguridad alto para poder protegerse de los hackers, para evitar este tipo de ataques que pueden llegar a costar a las compañías pérdidas billonarias, ya que podemos decir que son pérdidas incalculables, debido al gran valor que tiene la información robada a las diferentes compañías.
Así desde la Asociación que presido hemos elaborado una serie de consejos que son necesarios recordar, para evitar los ataques a las páginas webs y blogs, como es no utilizar la misma contraseña para todas las cuentas. Es una costumbre que tienen las empresas con muchos perfiles en las redes, por lo que es mejor apuntarlas en un lugar seguro y consultar antes que repetir la misma todo el tiempo.
Por otro lado, los códigos para los documentos importantes deben estar cifrados. De esta forma será más complicado que puedan acceder a ellos. También es aconsejable cambiar de contraseña cada cierto tiempo; así hará que si los hackers llevan tiempo intentando descifrarla, tengan que empezar su trabajo de nuevo.
En ocasiones, muchas veces los ataques provienen de personas que han trabajado en la empresa anteriormente, por eso también es recomendable elegir nuevas contraseñas cuando hay cambios en la compañía. Pero lo más conveniente es que las contraseñas las sepan solo las personas necesarias.
Otro de los consejos que consideramos de máximo interés es que es necesario implementar las medidas de seguridad en las empresas tanto físicas como lógicas, con el objeto de no tener vulnerabilidades y poder establecer un protocolo de actuación ante un ciberataque.
«Muchas veces los ataques provienen de personas que han trabajado en la empresa anteriormente, por eso también es recomendable elegir nuevas contraseñas cuando hay cambios en la compañía. Pero lo más conveniente es que las contraseñas las sepan solo las personas necesarias» |
Además, la LOPD es de obligado cumplimiento en el momento que manejamos datos sensibles, y no sólo consiste en subir los archivos a la agencia, sino establecer el protocolo de seguridad de cambio de claves cada cierto tiempo en todos los equipos, monitorizar la red, la actividad de los operarios y formarlos en el manejo de datos sensibles.
En la ANTPJI tenemos como nuestro principal objetivo divulgar el conocimiento en todo lo relacionado con delitos cibernéticos, así como la importancia de la Informática Forense y Peritaje Informático, como una herramienta indispensable para todos los ciudadanos y organizaciones que deseen aportar información digital, como medio de prueba en un proceso judicial.