MARKETING
COMUNICACIÓN
INTERNET
FORMACIÓN
RRHH
PUBLISHING & EVENTS
DIRECTORIO
Noticias de Despachos
Operaciones
LP emprende
Fue cuestión de segundos pero aquel ataque informático llego al mismo sistema operativo de la página web de aquella reputada empresa y la paralizó. Incluso el hacker tuvo el detalle de dejar su firma en la home. Situaciones como la descrita son cada vez más habituales. Da la sensación que cuanto más importante eres más posibilidades tienes de ser hackeado o recibir un ciberataque. En esta oportunidad, hemos querido conocer las opiniones de varios expertos juristas como Carlos Saiz, vicepresidente ISMS Forum y socio director de Ecixgroup; Pablo Burgueño, socio director de Abanlex Abogados e Ignacio Martínez San Macario, socio director de Martínez SanMacario Abogados, para conocer más de cerca el hackeo, su origen y la forma de prevenirlo . Estos letrados coinciden en que el hackeo es prácticamente imposible de evitar “siempre hay un agujero de seguridad en tu web” y que la tendencia actual a no denunciar el hecho por miedo a que esa noticia dañe tu reputación cambiará con la nueva directiva sobre seguridad, ahora en periodo de trasvase en nuestro país: “en ese nuevo contexto normativo habrá que denunciar lo que ha sucedido”, comentan. En opinión de Carlos Saiz hay que diferenciar dos tipos de hacking, el hacker blanco que entra en las webs de las empresas y a cambio de una cantidad detectan problemas de seguridad de esas empresas, del hacker convencional que entra en tu sistema operativo sin consentimiento “con el ánimo de capturar, borrar o modificar esa información sensible de esa empresa.” Para este reputado experto que te destruyan tu base de datos tiene consecuencias jurídicas y económicas visibles. “la repercusión es diferente si acceden a tu sistema operativo y copian esa información,” aclara. Desde su visión estos ataques han dejado de ser aleatorios y cada vez están mejor organizados “hay que darse cuenta que el desarrollo de Internet genera riesgos y que las empresas deben actuar de forma preventiva para, en la medida de lo posible, evitar el hackeo de su web”, comenta. A su juicio, la seguridad máxima no existe y hay que procurar “minimizar los riesgos de nuestra web”. Cuando se realiza un ataque de este tipo Saiz diferencia los agujeros tecnológicos del sistema de comportamientos sociales peligrosos “no puedes meter un pendrive en tu ordenador que acaban de darte sin antes revisarlo; dar tu contraseña a tu compañero de trabajo o a tu mujer tiene también un riesgo, también subir información sensible a p2p o a redes compartidas”, aclara. De manera preventiva aconseja a empresas y clientes que hagan de forma periódica análisis de vulnerabilidades en código para ver si ese desarrollo web está implementado sobre criterios de seguridad. “Uno de los ataques más conocidos es el llamado Fql injection que es contra la base de datos de la web, con estos criterios que comentamos es predecible”, afirma. La tendencia de las empresas hackeadas es a tapar la situación y a no denunciar este asunto ni a nivel externo e incluso muchas veces a nivel interno de la propia empresa. “Ahora con la normativa, ya aprobada desde Europa, mediante directiva va a obligar a denunciar estas situaciones a una autoridad de control al generarse una brecha de seguridad con datos sensibles expuestos. Las empresas de telecomunicaciones tienen que cumplir esa normativa, el resto será a medio plazo su cumplimiento.”. Ahora, las empresas no denuncian con lo cual ni la recién creada Fiscalía contra el Cibercrimen ni las fuerzas de seguridad pueden hacer su trabajo. “Es necesario encontrar un protocolo que ayude a las denuncias y que preserve la reputación de las empresas de cualquier daño.” En este contexto los CERT, colaboran entre ellos para compartir información sobre ataques, como pasa en el sector bancario donde se intercambia esa información sobre estas cuestiones. El reto en estos momentos para la Estrategia Española en Ciberseguridad, ahora en diseño es “tener una normativa que cree canales que sirvan de protección también previa a las empresas, al igual para una reacción rápida ante el posible delito. Además es fundamental desde los CERTS o INTECO y de las propias Fuerzas de Seguridad del Estado y de la Fiscalia que las empresas puedan denunciar sin que su reputación se vea menoscabada “Sobre el reproche penal del hackeo, con las últimas modificaciones, está cubierto de forma correcta el ataque y los hackeos. “La asignatura pendiente es la colaboración internacional, el hacker siempre forma parte de una red internacional, lo cual genera problemas en el desarrollo de las investigaciones”, comenta. En estos momentos ISMS Forum y Enatic ultiman la realización de un estudio que se ha centrado, en esta ocasión, en un hipotético ataque telemático a una empresa española. Es la primera vez que se acomete esta investigación desde esta perspectiva” Se trata de ver las responsabilidades legales existentes, obligación de notificación a autoridades de control, el papel de la empresa y el trabajo de las fuerzas de seguridad del Estado. “, subraya el propio Carlos Saiz. Al final la idea es profundizar en todas las variables que tienen que ver con el ciberataque desde diferentes perspectivas. Este informe es bastante factible que se conozca su contenido antes de que acabe este año. El hackeo es inevitable Pablo Burgueño recuerda que actividades como el hackeo aparecen reguladas en el artículo 197.3 del Código Penal donde se habla de una posible pena privativa de libertad, entre seis meses y tres años. “Creo que el reproche penal está bien pensado pero compleja para la gente que se dedica a la informática. Ahora con la nueva normativa, un informático que investigue a otras empresas para ver cuáles son sus puntos débiles y después comentárselo, ahora también puede ser sancionado. ” También advierte, como sus otros colegas, “que el hackeo es inevitable, todas las páginas tienen un punto débil”, comenta. Para este letrado estamos ante un problema cultural y de mentalización de las propias empresas que deben invertir más y mejor en seguridad para que sus sistemas no sean vulnerables. Y recuerda que en el propio Código Penal “si el hacker ha tenido que superar las barreras de la empresa es una actividad delictiva, sino ha puesto esas medidas para impedir el acceso de terceros para cometer ese ilícito no se podría hablar de delito”, aclara. Además las empresas no denuncian esta infracción, “quieren arreglar cuanto antes el estropicio que les haya causado el hacker al generar muy mala imagen. De esa forma se eliminan todas las pruebas del hackeo”. Otro motivo por el que no denuncian es porque es un proceso complejo, “no se puede denunciar por Internet y se necesita la firma hológrafa, que hace surco en el papel, para que la denuncie se presente.” Y, por último, no hay una forma válida para captar todas esas pruebas “no basta con imprimir en papel lo que sale en la pantalla hackeada, los jueces lo toman como indicio y no como prueba válida “En esta oportunidad lo mejor es acudir a un tercero de confianza, como puede ser un notario o alguien que dé buena fe para que haga las pertinentes capturas de pantalla. “Así recuerda que existen empresas como egarante.com quien hace este tipo de servicios con firma electrónica y sello de tiempo lo que garantiza la situación de esa web en ese momento. En opinión de Burgueño, lo primero que se debe hacer es denunciar el ciberataque que recibamos.” hay que darse cuenta que no se debe tocar nada. A continuación hay que hacer lo posible para encontrar las evidencias que señalan que hemos sufrido ese hackeo y que guarden el estado original de la página. Esas evidencias las conseguimos por un tercero de confianza como ya comentamos. Hecho todo esto, podemos recuperar la página a su estado anterior. En casos de gravedad debemos ir a la policía o guardia civil que tienen cuerpos especializados en delitos telemáticos”. Sobre los juicios con hackeo por medio, nuestro entrevistado comenta que es un proceso complejo “los jueces reclaman un peritaje, a veces inusual y erróneo, ya que piden a estos profesionales que aporten conclusiones, cuestión que no deben hacer, lo que hace que el caso se alargue demasiado.”. Encontrar a un hacker a través de su dirección de IP no es sencillo. “Solo unos pocos casos de hackeo pueden ser considerados graves por nuestros jueces”. En opinión de Pablo Burgueño, de forma involuntaria este tipo de prácticas delictivas aparecen amparadas por la propia ley. Respecto a si puede dar algunos consejos a nuestros lectores, muchos de ellos empresarios o responsables de negocios de cara a lograr esa seguridad en su web, indica que “ Hay que auditar la página de forma periódica y aplicar medidas de seguridad reales como actualización de contraseñas o del propio sistema operativo. Además, si surge el hackeo no seamos tan rápidos y solucionemos las cosas con calma. Se trata de buscar evidencias. Y lo último, tras pasar por estos dos pasos, denunciar los hechos en la policia o guardia civil”. En su opinión, las contraseñas son de la empresa y hay un riesgo elevado el dejar ese material sensible en los informáticos, únicamente. “si se marchan o los despedimos pueden generarnos muchos problemas”. Soluciones en el anonimato Ignacio Martínez San Macario, abogado penalista, también ha llevado casos sobre hackeo desde su despacho. Reconoce que no es sencillo afrontar estos temas “los clientes que ven como su página es hackeada y el sistema vulnerado buscan soluciones jurídicas que no sean públicas. Quieren ver como paliar los efectos de ese ataque aunque no denunciaran”, explica . Para este jurista el reproche penal que se impone es escaso “aunque hacer una propuesta alternativa es bastante difícil, por no decir imposible.” Recuerda que el derecho penal y la tecnología son mundos antagónicos; el primero es garantista y más de corte local, mientras que la ciberdelincuencia siempre tiene un carácter internacional lo que favorece su impunidad”. En este contexto de ocultación, donde es muy complicado saber desde que dirección de IP nos están atacando este letrado recuerda que hay algunos objetivos para los hackers como son las empresas de seguridad informática y recuerda casos como los de Sony, con sus Playstation y Adobe más recientemente que tuvieron cierta repercusión mediática. “Se intenta ocultar todo lo posible; de hecho aunque hay obligación de denunciar tras la última directiva de seguridad que se está ahora trasponiendo, las empresas prefieren obviarlo porque piensan que es síntoma de debilidad y puede dañar a su reputación.”Clientes, proveedores y tu ámbito más cercano pueden sentirse violentados por ese problema de hackeo y preferir trabajar con otra empresa. Para este jurista el hacker está tranquilo, va muy por delante del Código Penal y de la propia investigación criminal. Nuestro experto jurista nos recuerda que el proceso penal se basa en pruebas o certezas probadas. “En un hackeo es muy complicado encontrar estas pruebas que identifiquen a determinadas personas concretas, lo máximo que puedes encontrar es una dirección IP si haces el camino inverso al propio pirata informático”, explica. Respecto a que consejos se puede dar a aquellas empresas susceptibles de ese hackeo Martínez San Macario, coincide con los otros dos expertos entrevistados por este medio en que “el hackeo es inevitable, siempre las empresas tienen algún agujero de seguridad. “Hay que trabajar bien la prevención para minimizar los riesgos, no basta con cambiar tus claves hay que invertir en seguridad, en la medida que tu empresa lo permita a nivel económico.”. Cuestiones como disponer de copias de seguridad o disponer de un doble servidor son algunas de las herramientas técnicas que pueden paliar o poner las cosas difíciles al hacker. “Es fundamental tener un buen asesoramiento en estos temas, los cibercriminales ya lo comentamos ya lo están y disponen de buenos y muchos medios a su alcance y tomar las máximas precauciones posibles,“ explica. Y recuerda como empresas de primera fila que reciben ataques informáticos de manera continuada los logran repeler gracias a la política de prevención que han diseñado a nivel interno. “Frente a este contexto, es evidente que el empresario, con menos recursos, lo tiene más complicado”. Y es que no todo el mundo tiene los recursos económicos para afrontar un desembolso en un sistema de seguridad con ciertas garantías de fiabilidad.
Buscar en lawyerpress.com
comparte ésta información
Tweet
copyright, 2013 - Strong Element, S.L. - Peña Sacra 18 - E-28260 Galapagar - Madrid - Spain - Tel.: + 34 91 858 75 55 - Fax: + 34 91 858 56 97 - info@lawyerpress.com - www.lawyerpress.com - Aviso legal
