Home Entrevistas Rafael Álvarez, de Fluid Attacks: “Los incidentes de ciberseguridad tienen consecuencias para...

Rafael Álvarez, de Fluid Attacks: “Los incidentes de ciberseguridad tienen consecuencias para las pequeñas y medianas empresas”

Por Jorge González.

El Chief Technology Officer de Fluid Attacks, Rafael Álvarez, dijo a Ciberseguridad LATAM que “los incidentes en ciberseguridad tienen consecuencias para las pequeñas y medianas empresas” y afirmó que en el contexto de la pandemia provocada por el COVID-19 “las empresas son más vulnerables en teletrabajo, ya que sus colaboradores trabajan en redes independientes que no cuentan con los mismos estándares de seguridad que los de las instalaciones de las compañías”.

Álvarez, ingeniero informático, fundador de Fluid Attacks -empresa que desarrolla soluciones en servicios de seguridad para sus clientes en industrias como la bancaria y la financiera, y de tecnología, salud, seguros, y aerolíneas, y tiene oficinas en Bogotá, Medellín y San Francisco- afirmó que “una compañía grande puede absorber multas de entes regulatorios y compensaciones a clientes por incidentes, así como daños reputacionales que podrían afectar la consecución de nuevos clientes o conducir a la pérdida de clientes actuales”.

En 2018 y 2019, un defecto de software causó 2 incidentes fatales en 2 aviones Boeing 737 MAX. El error afectó una alarma crucial para los capitanes, haciendo imposible maniobrar a tiempo. Por su parte, la empresa automotriz Toyota resolvió una demanda de USD 1.100 millones por un repentino problema de aceleración en uno de sus modelos, que causó fatalidades, y que también correspondía a un error de software. ¿De qué forma se puede detectar un error de software?

En Fluid Attacks creemos que existen tres pasos que pueden tomar las compañías para prevenir incidentes como los mencionados anteriormente. El primero es plantearse interrogantes simples como cuál es el porcentaje de vulnerabilidades remediadas en el sistema recientemente lanzado, o cuál es la densidad de vulnerabilidades de los diferentes productos. Este tipo de preguntas pueden hacer que una organización sea proactiva con la gestión de la seguridad del software. Como segundo paso, es importante que exista un sistema de control de remediación neutral, independiente y no manipulable, que contenga el estado real de las vulnerabilidades abiertas y cerradas de un sistema, y que permita detectar dónde están los defectos de un sistema. Finalmente, y como tercer paso, es necesario que los equipos de trabajo tengan la confianza de hacer explícito qué está o podría estar mal en relación con un software, para así evitar errores, o solucionarlos de manera diligente.

“Las empresas son más vulnerables en teletrabajo”.

También es importante que pocos meses después de lanzar un producto de software los ejecutivos soliciten el estado de defectos. Esto con la intención de prevenir incidentes que puedan tener graves consecuencias y dañar la reputación de la organización.

¿Por qué las empresas pueden perder millones de dólares si no se detecta a tiempo una falla en el soporte lógico de un sistema informático?

Los incidentes de ciberseguridad tienen consecuencias para las pequeñas y medianas empresas. Una compañía grande puede absorber multas de entes regulatorios y compensaciones a clientes por incidentes, así como daños reputacionales que podrían afectar la consecución de nuevos clientes o conducir a la pérdida de clientes actuales. En cambio, las pequeñas y medianas empresas cuentan con menor caja para solventar este tipo de situaciones.

Por otra parte, las compañías pueden perder millones por costos asociados a un hackeo a sus sistemas, donde ni siquiera dentro de la organización se tiene conocimiento de este hackeo. Es decir, ¡la empresa pierde dinero y ni siquiera lo sabe!

Finalmente, pueden presentarse grandes pérdidas de dinero por solucionar tarde los problemas de seguridad en un sistema que está mal construido. Cuando me refiero a solucionar tarde es cuando ya el sistema está en línea y es usado por sus clientes, empleados y demás grupos de interés. Por el contrario, es más barato solucionar los problemas de seguridad en el software antes de sacar un producto al mercado. Es como intentar cambiar las columnas a un edificio que ya fue construido. Es más barato reparar un sistema en construcción que cuando ya fue implementado.

Es por esto que las organizaciones pueden encontrar una ventaja competitiva al enfocar más su atención a la calidad, implementación, funcionalidad y seguridad del software. Asegurarse de que las pruebas se realicen con altos estándares debería ser más prominente en las discusiones respecto al desarrollo y la entrega de productos y servicios, sin importar el tamaño de la organización.

“La gestión de calidad de software, incluidas las vulnerabilidades confirmadas de seguridad, tienen actualmente una relevancia estratégica para las compañías”.

¿Cuál es la mecánica que se tiene desde Fluid Attacks para abordar los problemas de seguridad en todo el ciclo de vida de desarrollo del software?

Para abordar problemas de seguridad en todo el ciclo de vida de desarrollo del software, combinamos tecnología sólida, automatización y las mejores habilidades de nuestros hackers. Las técnicas de ataque en nuestra compañía abarcan desde análisis de código fuente e ingeniería inversa, hasta ataques sobre ambientes de prueba o de producción. Además, centralizamos cada hueco de seguridad en nuestro sistema de gestión de vulnerabilidades confirmadas, y tenemos reglas para clasificar y agrupar estas vulnerabilidades de manera simple. Con esto, permitimos a nuestros clientes decidir dónde comenzar a corregir los defectos.

En el actual contexto mundial, por la presencia del coronavirus, ¿cuán vulnerables a los ataques se han vuelto las empresas, dado que muchas compañías ordenan teletrabajo para sus empleados?

Las empresas son más vulnerables en teletrabajo ya que sus colaboradores trabajan en redes independientes que no cuentan con los mismos estándares de seguridad que los de las instalaciones de las empresas. El concepto de perímetro dentro de una empresa desaparece. Por lo tanto, lo que la seguridad protegía, ya no lo protege. Adicionalmente, la supervisión hacia los empleados es menor. Debido a esto, existe un riesgo de extracción de información confidencial o registros en bases de datos de las empresas, ya sea por atacantes externos o por personal vinculado a las compañías.

Hemos notado un aumento en las solicitudes de pruebas a infraestructura y pruebas de ingeniería social por parte de nuestros clientes. Las pruebas de infraestructura se presentan debido a que las empresas tuvieron que adaptarse rápidamente al teletrabajo, y deben asegurar que sus VPN (canales que dan acceso desde una red externa hasta una red privada) estén bien configuradas y sus sistemas no sean vulnerables. Esto se da por la falta de protocolos o procesos para trabajo remoto, o porque es común que las organizaciones no tengan todos sus sistemas en la nube.

“Una compañía grande puede absorber multas de entes regulatorios y compensaciones a clientes por incidentes. Las pequeñas y medianas empresas cuentan con menor caja para solventar este tipo de situaciones”.

En cuanto a las pruebas de ingeniería social, estas se basan en intentar que un usuario dentro de una compañía proporcione información que permita acceder a sistemas dentro de la empresa o a registros sensibles. Justo ahora, por la situación del coronavirus y los trabajadores desempeñando sus labores desde casa, las empresas se preocupan que por falta de soporte y por curiosidad, sus empleados terminen siendo víctimas de ataques de phishing, ya que pasan más tiempo en su cuenta de correo y no están rodeados de sus pares para confirmar la legitimidad de un correo.

¿Por qué dice que los CEO pueden hacer ahorrar millones a sus empresas con gestión de calidad en sus soluciones tecnológicas?

La gestión de calidad de software, incluidas las vulnerabilidades confirmadas de seguridad, tienen actualmente una relevancia estratégica para las compañías, ya que permiten evitar defectos o errores de software que pueden generar pérdidas millonarias para las organizaciones. Si en su estrategia empresarial los CEO establecen como prioridad corregir defectos de software, se lograrán prevenir incidentes que pueden tener importantes consecuencias económicas e impactar gravemente a la organización.



En off

¿Una ciudad que recomendaría conocer? Yerevan en Armenia. Es una joya difícil de acceder pero llena de cosas mágicas y alejada de la turba de turistas.

¿Un plato de comida que prefiere? Pizza de pepperoni al cuadrado. ¡Doble pepperoni, más doble pasta, más doble queso y aceite picante encima!

¿Un libro? Filosofía en el tocador.

¿Un lugar para ir de vacaciones? Cualquier ciudad del planeta que antes no hayas visitado.

¿Practica deportes? ¿Cuáles? 5KM de trote, ¡4 veces a la semana!