Realmente no nos preocupa la seguridad

By:
Hiscox España
Hiscox España

¡Bienvenidos, queridos lectores! Espero que hayáis podido aprovechar y disfrutar del verano. El artículo de hoy será algo diferente, más enfocado a compartir la reflexión personal que varios eventos me han generado durante este verano y es la de que, llegado el momento de la verdad, a las empresas no les importa la ciberseguridad tanto como quieren creer. Veamos por qué digo esto.

Lo primero que quiero clarificar es que es innegable que la ciberseguridad ha pasado a ser un tema de importancia y, por eso, cada vez se destina más presupuesto a este tema y se trata en más comités y niveles directivos. Sin embargo, llegado el momento de elegir entre seguridad o negocio, siempre gana este último.

Dos eventos significativos que han sucedido este verano y que respaldan esta apreciación que hoy os expongo son por un lado, el caso de Microsoft con las macros y, por otro, el caso recientemente conocido de los directivos de Twitter.

Sobre las macros de Microsoft, os aporto un poco de contexto: las “macros” son funciones de código programado que se ejecutan en algunos documentos ofimáticos de Microsoft (Excel, Word, PowerPoint, etc.). Su funcionalidad es muy variada, pudiendo servir para recorrer un Excel con numerosos datos y generar un reporte automático, mandar el documento por correo o, incluso, interactuar desde el documento con otras aplicaciones del sistema. Sin embargo, tan variada puede ser su funcionalidad, y tan potente su ejecución, que llevan años siendo empleadas por los cibercriminales para extender malware o cualquier otro virus, aprovechando la familiaridad que tenemos, en general la sociedad, con este tipo de documentos y, especialmente, los trabajadores. Pues bien, después de haber luchado durante años contra este vector de ataque, Microsoft nos sorprendió este año anunciando que bloquearía por defecto estas funciones para, sólo unos pocos meses después, anunciar que revertía esta decisión. Aunque pueda parecer un simple cambio de criterio de una empresa, que está en todo su derecho de hacer, considero que no lo es.

Las macros no son un vector más de ataque, como un servidor mal configurado, sino que son un firme aliado de los cibercriminales y, al mismo tiempo, una funcionalidad poco explotada o necesaria para las empresas; por lo tanto, el equilibrio está totalmente descompensado. Si el que algunas empresas vayan a experimentar molestias (recordemos que Microsoft no elimina las macros, solamente obliga a tener que activarlas de manera activa) consigue que una decisión tan importante en seguridad, para tantos otros, se vea comprometida, creo razonable llegar a la misma conclusión que hoy os traigo. Afortunadamente, el mismo ruido que hace actuar a las empresas, en ocasiones puede actuar en nuestro beneficio y, finalmente, Microsoft volvió a anunciar este cambio en las versiones más nuevas de su suite de Office.

Junto a este caso, tenemos también la reciente acusación que Peiter Zatko, ex-directivo encargado de la seguridad de Twitter, hizo llegar ante el Congreso de los Estados Unidos en un documento compuesto de 200 páginas con evidencias y detalle de todas las faltas observadas, y en el que acusa a los directivos de la red social de hacer caso omiso de sus avisos de seguridad ante eventos graves como: retrasar la aplicación de cambios impuestos por reguladores para frenar incumplimientos y maximizar, así, el beneficio obtenido; engañar a los reguladores respecto a la gravedad de vulnerabilidades presentes en la entidad y al nivel de cumplimiento regulatorio de la red social; no realizar un borrado adecuado de la información de los usuarios que se dan de baja; conocer qué código fuente de la aplicación de Twitter era mantenido por los empleados de manera poco segura e, incluso, tener conocimiento de haber contratado agentes gubernamentales, infiltrados entre sus empleados, encargados de actuar en nombre de diversos gobiernos.

Zatko incluso alega que, cuando alertó que ciudadanos chinos podían verse en peligro si aceptaban que empresas chinas pudiesen invertir en publicidad en la plataforma, la respuesta fue que la inversión china ya suponía un capital demasiado importante como para hacer otra cosa que no fuese potenciarlo. El futuro nos dirá en qué queda este caso, pero parece un ejemplo más de anteponer empresa y beneficios antes que seguridad.

Finalizo esta reflexión de manera quizás inesperada para muchos de vosotros: sí, las empresas, llegado el momento de elegir entre negocio o seguridad, eligen negocio. Pero esto no es malo per se. Sé que parece absurdo, más viniendo de alguien tan apasionado de la ciberseguridad, pero, si la ciberseguridad llega a inmiscuirse en el negocio, esa es la decisión correcta a tomar. Pues, sin ese negocio que proteger, la ciberseguridad no tiene razón de existir siquiera. Otra cuestión ya resulta (pero éste es tema para otro día) si los casos que hoy os he traído son ejemplos claros de obstaculización o son solamente malas decisiones de negocio. Creo firmemente que está en nuestra mano entender cada situación para mantener ese equilibrio entre seguridad y negocio.

Espero que os haya gustado esta reflexión, ¡os espero en el próximo artículo!