*Por: Gabriela Quevedo

“Me dedico al hacking ético”, acota Guerra León, quien trabaja para la corporación El Golf desde el Hotel Los Delfines, antes de iniciar la entrevista. Para el usuario un hacker es una persona que comete delitos informáticos. Falso, quien realiza acciones maliciosas son los crackers. Partamos de esa frontera y veamos qué hacer para implementar mínimas medidas de seguridad informática en el despacho.

Los sitios web de las firmas locales pueden ser un target apetitoso para crackers que quieran vulnerar su imagen. ¿Qué hacer para evitar estos episodios? ¿Cómo proteger el sitio web del estudio?

Suelo ver que empresas, como los despachos, que siempre buscan ahorrar en capital cuando desarrollan un sitio web, eligen las opciones más cómodas que normalmente suponen un portal hecho en WordPress o uno en Joomla o Drupal. Y en apariencia ese sitio quedará bien, pero solo en apariencia, porque habrán aplicaciones dentro de estos software que el administrador que se encargue del sitio web no mantendrá actualizadas y es entonces cuando uno es vulnerable frente a las fallas de seguridad, que además aparecen todos los días. Este es uno de los problemas de los software que son masivos, porque justamente al ser masivos son más interesantes de atacar. Si encuentras una falla en ellos, esa falla estará en millones de sitios.

¿Entonces recomiendas dejar administradores como WordPress?

No, con esto no quiero decir que WordPress sea inseguro, sino que para correr poco riesgos, el administrador tendrá que estar atento las 24 horas del día o utilizar un programa que le arroje alertas en caso de que encuentre fallas. En la práctica un ataque a una web podría hacerse desde la intervención de un plugin (extensión o componente) del administrador de WordPress del sitio web, cambiando los niveles de acceso del usuario hasta convertirlo en administrador, con el n de poder ingresar una imagen que se muestre en la página principal.

Veamos el tema de seguridad desde la perspectiva de los documentos que el cliente le comparte al socio. ¿Qué medidas debemos pedir que siga el cliente a la hora de enviarnos información?

Bueno debería armarse una suerte de manual o guía que le indique los pasos seguros para compartir información vía Internet al cliente. Además de eso, se debe tener también un libro de reportes para dejar todo registrado. Y esto porque la seguridad debe ser de punto a punto para cuidar que no se ltre información. En el caso de los correos electrónicos, por ejemplo, se le podría explicar al cliente cómo cifrar información sensible o vital que necesite compartir por correo, lo que implica activar en las dos cuentas un plugin que transforme a código lo que se envía. Hay un plugin que uno puede instalarse al gmail por ejemplo, que hacen que tu correo pueda enviar información y esta se envíe cifrada. Esto permite que la persona que tiene el mismo componente activo pueda ver la información, si no lo tiene no entenderá nada y solo verá puros códigos.

¿Qué contingencias deben tomar los despachos al utilizar los medios sociales?

La única seguridad parte por cifrar las contraseñas, guardarlas en un lugar seguro y que cada cuenta tenga una contraseña distina. Yo, por ejemplo, tengo cifradas mis claves. Las abro cuando me conecto y luego las vuelvo a cerrar. Nunca me conecto del celular. Aunque ahora los communities (gestores de las redes sociales de alguna marca, empresa, organización, etc.) suelen administrar las cuentas desde el móvil y ese es un espacio de ataque muy común. Entonces si se te pierde el celular o te conectas a una wi te pueden interceptar. En esos casos recomiendo configurar un programa al celular para un borrado a distancia y para que así puedas cerrar tus cuentas o rastrear su ubicación.

¿Cómo se vigilan los espacios tanto de intimidad como los correos personales?

Tomando en cuenta de que la manera más sencilla para llevarse información es a través de correo. Siempre existe un grado de confiabilidad hacia el trabajador y por ello deben existir ciertos protocolos o reglamentos en los que el trabajador ya esté advertido. Por ejemplo yo en la computadora del trabajo nunca accedo a ninguna cuenta personal y no porque me lo prohíban, sino porque yo soy un poco paranoico y no sé cómo será el administrador que está detrás. En ese caso preferiría y sugiero a las empresas que hagan campañas internas de ciberseguridad para generar conciencia en los empleados y ver que los servidores estén seguros. No es recomendable revisar lo que están compartiendo los empleados por el correo ya sea corporativo o personal porque eso cruza la línea de lo ético.

¿CÓMO CIFRAR?

No es necesario ser un hacker para enviar información sensible de manera segura. El cifrado convierte en código militar un máximo de 128 kb de información, para ello solo debe instalar un plugin (componente) como el Secure mail for Gmail en el navegador de Google identicado como Chrome. Una vez listo aparecerá un botón rojo al lado de “Redactar”. Luego de pulsarlo, escriba el correo. Cuando lo envíe Gmail pedirá una contraseña y una pista. Estos datos deben ser de conocimiento del receptor, quien tiene que haber activado la extensión en su servicio de correo. Así, cuando le llegue el mensaje, el usuario solo tendrá que introducir el password y listo.

BLOQUEO EN CASO DE ROBO

Que perder el celular no implique poner en riesgo la imagen del despacho o la información sensible que allí se maneje. Para que no le ocurra debe familiarizarte con el Administrador de dispositivos Android (sistema operativo desarrollado por Google) o emplear la conguración que IOS (sistema operativo desarrollado por Apple) ha creado para localizar un dispositivo perdido o robado. Ante una circunstancia como esta ambos entornos le permitirán: localizar el dispositivo, según sea el sistema operativo; restablecer el PIN de bloqueo de pantalla de los dispositivos y borrar todos los datos del teléfono, entre otras acciones.