Artículos

¿Por qué las grandes empresas no mantienen sus sistemas informáticos actualizados? #Hackeaelsistema

por Douglas C. Schmidt y Jules White

El hack de Equifax, que dejó al descubierto datos personales de 143 millones de personas a ciberdelincuentes desconocidos a partir de marzo, pero que no se hizo público hasta mediados de septiembre, fue totalmente evitable . La compañía estaba usando un software desactualizado con debilidades de seguridad conocidas. Pero parece que con Equifax, como con muchas organizaciones, éstas eran sólo el comienzo de los problemas.

Durante las últimas tres décadas hemos investigado, desarrollado y probado millones de líneas de software para muchos propósitos, incluyendo defensa y seguridad nacional, telecomunicaciones, servicios financieros, atención médica y juegos en línea. Con los años hemos observado que los medios técnicos por los cuales ocurre una violación a menudo revelan vulnerabilidades de software que necesitan arreglarse.

Pero cuando las debilidades digitales son conocidas públicamente antes de que ocurra un ataque -como con el caso de Equifax- el elemento más importante es por qué las empresas no se mueven más rápidamente para protegerse a sí mismas ya las personas cuyos datos almacenan. Tal como lo sugiere la salida repentina de tres de los principales líderes (incluido el CEO ) en Equifax, parte del problema es técnico, pero otra gran razón tiene que ver con la gestión y la estructura organizativa.

Complejidad interconectada

Equifax, al igual que la mayoría de las empresas Fortune 100 , estaba utilizando una plataforma de software de código abierto llamada Apache Struts para ejecutar partes de su sitio web. Cada pieza importante de software tiene vulnerabilidades, casi inevitablemente . Cuando se encuentran, normalmente la empresa u organización que escribe el software crea una corrección y la comparte con el mundo, junto con las notificaciones que los usuarios deben actualizar a la última versión. Para las personas habituales, a menudo es tan fácil como hacer clic en un botón para acordar la actualización de un sistema operativo o aplicación de software.

Para las empresas, el proceso puede ser mucho más difícil. En parte, esto se debe a que muchas compañías utilizan sistemas complejos de software interactivo para ejecutar sus sitios web. Cambiar un elemento puede afectar a las otras partes de maneras impredecibles. Este problema es especialmente cierto cuando las empresas utilizan el mismo hardware y software durante muchos años y no se mantienen al día con cada actualización a lo largo del camino. Sólo empeora las cosas cuando las empresas subcontratan su desarrollo de software y mantenimiento, negándose a sí mismos experiencia interna para usar cuando surgen problemas.

Las mejores prácticas de la higiene cibernética sugieren combinar el desarrollo y las operaciones (conocidas como “DevOps“) para simplificar el proceso de revisiones regulares y rápidas y actualizaciones. No practicar una buena higiene cibernética es como un médico que no se lava las manos, hacerlo puede tomar más tiempo y energía, pero protege a miles de pacientes de la infección.

Cuando la higiene cibernética funciona bien, es bastante eficaz. En abril de 2017, se dio la noticia de una falla importante en los sistemas iOS y Android que permitía a los piratas informáticos tomar remotamente los teléfonos inteligentes a través de Wi-Fi. Google y Apple abordaron inmediatamente el problema y distribuyeron parches para solucionarlo. Esta respuesta rápida indica que las empresas cuentan con procesos de desarrollo y operaciones que cumplen con los estándares de la industria para la escritura rápida, confiable y la implementación de actualizaciones de software.

Problemas en la parte superior

Más allá de los desafíos inherentes a la tecnología ya las prácticas empresariales actuales, la administración corporativa puede desempeñar un papel importante cuando los problemas se convierten en desastres.

Las empresas que tienen sistemas para la inversión regular en mantenimiento de software y reacción rápida a vulnerabilidades de seguridad pueden responder a problemas muy rápidamente, como lo hicieron Apple y Google. La lenta respuesta de Equifax sugiere que no estaba bien preparada de esa manera. Y la historia de la compañía de la subcontratació del desarrollo  a otras localizaciones sugiere que no pudo haber nadie en casa para que hubiese trabajado en el software que necesitaba la actualización.

Para empeorar las cosas, el jefe de seguridad, que se jubiló junto con el director de información de la compañía y el CEO tras la violación, parece no tener antecedentes técnicos. Eso podría ayudar a explicar por qué Equifax experimentó brechas consecutivas que requieren asistencia externa: la primera en marzo y otra en julio .

Las empresas bien administradas tienen altos ejecutivos que saben la importancia de contar con equipos de ciberseguridad listos para trabajar a toda hora cuando surjan vulnerabilidades. Y los líderes necesitan entender los riesgos de colocar información confidencial en línea, en lugar de la práctica de almacenarla en computadoras desconectadas – o “air-gapped” – de Internet. Desafortunadamente, cuando los altos ejecutivos de las empresas no son expertos en tecnología, a menudo carecen de comprensión de lo que está en juego y cómo proteger rápidamente la información valiosa.

Un largo camino por delante

Parece que los problemas de Equifax no están cerca de terminar. Después de que se revelara el incumplimiento mayor, las víctimas no tardaron en descubrir que incluso sus intentos de congelar su crédito serían frustrados por otro ejemplo de mala higiene cibernética de Equifax: El PIN creado por la empresa que un cliente utilizaría para descongelar el crédito estaba basado en la fecha y hora de la solicitud de congelación, y por lo tanto potencialmente adivinable por un atacante.

Más recientemente, la cuenta oficial de Twitter de la compañía repetidamente dirigió al público no a su propio sitio de seguridad, sino a un sitio de phishing que buscaba engañar a la gente para que divulgue su información personal.

Todos estos problemas, además de la lentitud de Equifax en la reparación de las principales vulnerabilidades de software, apuntan a la gestión corporativa como un elemento crucial para prevenir y recuperarse de las brechas de seguridad, o empeorándolas.