No puedo dejar pasar la ocasión para manifestar mi asombro ante la noticia del momento de ayer del hackeo de la empresa Hacking Team, una de las mejor posicionadas en el mercado Italiano, y sospecho que a nivel internacional.
"Un amigo" que conoce a otro amigo que sabe BUSCAR EN GOOGLE ha encontrado los 400gb de información PRIVADA y SENSIBLE de esta empresa.
Es increíble la información que aparece, me dice mi amigo. Desde mapas de red pre-post firewall, radius account, docs privados, pasaportes, conversaciones de correo con organismos públicos, licencias de software, exploits, zero-days, backups de sharepoint, etc etc etc.
Esta empresa es de las que vende software para el espionaje a gobiernos y cuerpos de seguridad del estado, de varios estados...
Como os podes imaginar, esta información no solo TUMBA la reputación y posiblemente el negocio de esta empresa, sino que TUMBA la seguridad de todos sus clientes, ya que en los documentos, ME CUENTAN que hay claves de root, claves de todo tipo de webservices, etc etc.
Imaginaros que aparecen los pentesting de empresas LIDERES en el mercado, de las bebidas, banca, automoción, seguros, etc.
En España se está regulando una ley de seguridad privada, que está dando mucho de que hablar, ya que no está muy claro como nos va a afectar a los auditores o apasionados de la seguridad que tenemos armas de destrucción masiva como NMAP en nuestros equipos, pero si que tiene algo bueno.
El marco regulador pretende establecer unas medidas de seguridad mínimas para las empresas que prestan servicios de seguridad. Esto ni mas allá soluciona el tema del hackeo de esta empresa, ya que por muchas medidas de seguridad que nos impongan, siempre habrá peligro, pero hay que reducir el impacto.
Imaginas una armería, vendiendo pistolas sin tener un armero con llave? te imaginas un banco que no tiene caja fuerte?
La industria de la banca, adelantada siempre en esto de las tecnologías, hace tiempo que se rige por standares de seguridad. Por ejemplo, PCI-DSS para el comercio electrónico con tarjetas bancarias.
No es la panacea, pero desde luego no tiene nada que ver con LOPD, ISO, FISMA o cualquiera de las docenas de siglas que hay en el mercado. PCI-DSS me parece un marco realmente bueno para garantizar seguridad a las empresas en todos los niveles.
A los alumnos de un curso que estoy impartiendo les explico que aunque ellos naveguen a la página de Telepizza legítimamente, y no se dediquen a bajar "gatitas" de Internet, NADIE te da garantía de que Telepizza no ha sufrido un ataque y está infectando con Malware.
Espero que os sirvan estas pequeñas reflexiones sobre la importancia de regular la seguridad informática y sobre todo las empresas que prestan servicios. El daño está siendo muy grande.
Espero que os guste, gracias por leerme.