Suelo leer blogs de seguridad y de gente que trabaja en este campo ya que es uno de los que más me interesa dentro de la informática. Hace poco leía en El lado del mal un post referente a cómo avisar sobre bugs en una web, en el que presentan de forma muy acertada la forma en que suelen reaccionar los administradores de estos sitios cuando se les avisa de un problema en su sistema, a saber:
- No saben, no contestan.
- Contestan de forma cortante.
- Te envían un mail de agradecimiento.
- Encima, recibes amenazas.
Lo primero que habría que tener en cuenta es que "meter el dedo en la llaga" está penado en este país. Así que si por casualidad descubres que una web o un servidor tiene un problema de seguridad o tienes el menor indicio de que esto ocurra: ¡no investigues! Eso, o te arriesgas a terminar cometiendo un delito y si encima avisas (de bueno, tonto), que encima termines declarando ante un juez. Sin embargo, en ocasiones descubres este tipo de bugs sin ni siquiera buscarlos. Eso me ocurrió recientemente cuando, buscando en Google cierta información me encontré con una entrada en la caché del buscador en la que se mostraba código PHP con una consulta a una base de datos. Como resulta que el problema era de la web de una empresa en la que había trabajado en el pasado, y comprobé que seguían teniendo problemas en esa misma web, me dirigí al departamento de informática para avisar. La respuesta fue muy cercana a la segunda opción, por lo cual descarto cualquier aviso futuro si vuelvo a encontrar un problema similar.
Hace años se dio el caso opuesto. Yo aún estaba cursando la carrera por aquel entonces, pero trabajaba programando en una empresa (ya inexistente) de Granada. Aparte de otras barbaridades que prefiero no relatar, mantenían el servidor de producción y de bases de datos (un Windows NT) como proxy de conexión a Internet. Por aquel entonces ya me interesaban estos temas, así que tras hacer pasar al servidor por una serie de pruebas, la lista de puertos abiertos y fallas de seguridad era interminable. Avisé de este hecho a mis jefes, que no eran informáticos, y me dijeron que no había problema con eso O_o. Tiempo después de esto, uno de ellos vino una mañana muy preocupado a mi mesa, y me preguntó qué podríamos hacer para mejorar la seguridad del servidor. Según me contó, le había llamado un amigo que trabajaba en una empresa de seguridad, ya que "haciendo pruebas de intrusión" había entrado en el servidor, recuperado unas fotos y al verlas, se había dado cuenta de que era él, con su mujer e hija, el que aparecía en las mismas. Por eso le había avisado de la vulnerabilidad de su sistema. Yo le informé de que, aun habiendo actuado de forma ética lo que había hecho esta empresa estaba tipificado como delito, y me dejaron instalar mi primer firewall "profesional". Me imagino que mi entonces jefe le agradecería a su amigo el aviso.
A resultas de todo esto podríamos concluir que, en general, las empresas valoran escasamente sus productos, ya que apenas invierten en seguridad. Sin embargo, la carencia de las medidas adecuadas puede constituir, además de un suicidio electrónico y empresarial, un delito si no se protegen adecuadamente los datos de carácter personal que posea la empresa de sus clientes, proveedores y empleados.
No hay comentarios:
Publicar un comentario