Redacción
10 min read
Las opiniones expresadas por los colaboradores de Entrepreneur son personales.
La pandemia de coronavirus ha generado muchos cambios, un ejemplo son las startups, que modificaron la manera tradicional de trabajar y adoptaron el home office, dirigiéndose hacia los canales digitales, de este modo se han creado nuevas oportunidades para los emprendedores. No obstante, esto conlleva algunas responsabilidades, una de ellas es la de priorizar la seguridad.
Durante estos últimos meses se ha presentado un incremento en la cantidad de negocios dirigidos hacia la virtualidad, como los son las fintech, telemedicina, y en realidad todo lo que tiene que ver con comercio electrónico, servicios de educación, fitness y entrenamiento.
En ese contexto, Fluid Attacks es una compañía especializada en realizar pruebas de seguridad desde el ciclo de desarrollo del software, al momento de que las empresas requieren hacer planes de seguridad lo realizan cuando el desarrollo ha finalizado, aunque ya estén próximos salir a producción. Fluid Attacks se dedica a mover toda esa fase de pruebas de seguridad a etapas más tempranas de desarrollo, de manera que los equipos de desarrollo puedan liberar tecnología segura y desde fases anticipadas identifiquen que tipos de vulnerabilidades están inyectando los clientes.
Felipe Gómez, LATAM Manager de Fluid Attacks explica en entrevista, “somos una empresa proactiva, es decir, que nosotros estamos antes de que el ataque suceda, por ende, lo que estamos haciendo es procurar que el software salga lo más seguro posible. En el mundo de la seguridad existen dos factores que inciden en un ataque, la amenaza es algo que siempre está, pero que no puedes controlar, lo que sí es posible controlar es como está tu exposición internamente y cual es la cantidad de vulnerabilidades”.
Para Fluid Attacks, una compañía enfocada en el desarrollo de la ciberseguridad es importante que la implementación del home office se vincule a la protección de datos propios y de los usuarios. Entonces, ellos se encuentran en la parte preventiva, en donde su objetivo es ayudar a que el software al estar expuesto a una amenaza, esté lo suficientemente fuerte y bien construido para que las pueda resistir.
De todas formas, dentro del proceso de hackeo utilizan Machine Learning, mismo que usan para hacer el triage, esta herramienta lee todo el código fuente, el desarrollo que se está realizando de manera en la que el lo lee y prioriza al hacker donde debe atacar primero para encontrar la cantidad de vulnerabilidades, es decir, que ayuda a priorizar el ataque.
“Nosotros lo que le recomendamos a las startups es que el software que se está construyendo tenga una cobertura aproximadamente del 80% como mínimo para poder liberar su tecnología. Hay un falso mito que dice que la seguridad es costosa, por eso nos ven como un lujo, pero en realidad es más costoso remediar una vulnerabilidad cuando el software ya está totalmente construido y puesto en producción que hacerlo en fases tempranas”, menciona Gómez.
Debemos recordar que un ataque no tiene categoría, en realidad es igual para todos y lo que se pone en mayor riesgo es la información que se busca. Independientemente a lo que se dedique una startup, el atacante siempre tendrá como objetivo comprometer la data que considere valiosa para él. Por esta razón, Fluid Attacks reconoce la importancia de evitar los riesgos y ocuparse de la ciberseguridad.
Las startups han enfrentado varios retos, el primero es que han tenido que salir demasiado rápido con software que no ha sido probado y en otro ámbito es con todas las personas trabajando desde sus hogares, ya hay un nuevo vector de ataque para los hackers, y es el de la gente trabajando desde casa. Evidentemente, estos escenarios son controlados por las compañías. No obstante, las personas se han visto expuestas a ataques dada la situación.
Cuando las compañías no tienen establecido un plan de prueba de seguridad robusto en el cual se les permita que esa tecnología sea liberada de forma certera salen con bastantes brechas de seguridad.
“Todas nuestras pruebas de seguridad están enfocadas a realizarse de forma temprana dentro del ciclo de desarrollo, pero siempre teniendo la perspectiva de un atacante humano. Normalmente, nuestro costo va de la mano con la cantidad de desarrolladores que estén generando valor a la compañía. De forma que la inversión que pueden tener en seguridad es entre el 10% y el 12% de lo que puede llegar a costar la totalidad del software, aproximadamente en esos rangos te puedes mover”, expone Gómez.
Cuando las compañías no tienen establecido un plan de prueba de seguridad robusto en el cual se les permita que esa tecnología sea liberada de forma certera salen con bastantes brechas de seguridad / Imagen: Misha Feshchak vía Unsplash
Una mayor protección
Es bueno tener una aplicación que te permita administrar todas tus contraseñas. Generalmente, los ataques se generan por algún descuido por parte de los humanos, cuando un software es seguro, la forma que te logran atacar es por medio de tu usuario. Por eso se recomienda como medida de protección usar un sistema que permita la gestión adecuada de tus contraseñas.
Evidentemente, el usuario debe tener un pensamiento crítico frente a la información que les llega, analizarla y no brindar datos como cuentas bancarias, contraseñas, datos de tarjetas de crédito por teléfono o mensaje de texto, una entidad financiera o startup fintech que se dedique a eso nunca te pedirá información a través de esos canales, siempre se comunicaran directamente contigo. Una herramienta que recomienda el experto es “1 Password”, es una bóveda donde los administradores pueden gestionar contraseñas.
“Ser crítico ante la información que nos piden, lo que nos ofrecen y una gestión adecuada de nuestras contraseñas. Obviamente, el usuario siempre debe de tener un pensamiento crítico frente a la información que está recibiendo no simplemente pensar que se gana un premio, nadie se gana un premio por el cual no participó, a nadie les llegan regalos del cielo”, resalta Gómez.
Cuando nacen las startups, normalmente tienen el gran inconveniente de enfocarse solamente en pensar como brindar la funcionalidad y lograr mostrar valor hacia sus clientes de forma que puedan ser adquiridas, pero el problema que se observa cuando se construye un software es que simplemente se piensa en la idea y que esta funcione, dejan la seguridad en un segundo plano, cuando debería ser una prioridad.
Hace poco tiempo salió un estudio realizado por Comparative Tech y en este se puede observar un listado de las organizaciones más seguras. Entre ellos se encuentra la cantidad de infecciones a nivel malware en dispositivos móviles, todo lo que tenga que ver con programas malignos enfocado en entidades financiares o hacia equipos de cómputo, quienes están más preparados para repeler ciberataques o quienes tienen inclusive legislaciones.
Cuando nacen las startups, normalmente tienen el gran inconveniente de enfocarse solamente en pensar como brindar la funcionalidad y la seguridad pasa a segundo plano / Imagen: Jefferson Santos vía Unsplash
México a nivel LATAM quedó por debajo de países como Colombia, Chile, Argentina, Brasil, en la calificación obtenida y básicamente lo que se ha visto es que se han estado exponiendo fuertemente a ataques de malware que el software o que el usuario posiblemente confía más en aplicaciones que no han sido revisadas o que no han podido ser bien verificadas a nivel de seguridad, por ende también se vuelven un factor de ataque, en Latinoamérica están más o menos posicionados entre la sexta o séptima posición. Colombia es el país que es categorizado por este estudio como el más seguro de la región, en este aspecto, seguido por Argentina y Chile.
Fluid Attacks es una compañía que presta servicios de seguridad a cualquier tipo de compañía tienen clientes de empresas desarrolladoras de software, startups, compañías de telemedicina, conglomerados de medicina, aerolíneas e incluso del sector financiero. El dicho sector es el más regulado por ser más propenso a ataques, por ende, es el que más invierte en seguridad.
“Uno como compañía es responsable de cuidar la data que tus usuarios te dan, independientemente de que compañía tengas y pensar en como puede afectar a una persona que es expuesta su data al público general. Entonces como empresas, ya sea pequeña, mediana o startup, debe ser consciente de la responsabilidad que tiene el trato de los datos de sus clientes, por ende, debe actuar conforme a esa responsabilidad”, expresa Gómez.
Es preciso recordar que cuando se habla de una brecha de seguridad es la cantidad de vulnerabilidades a las que está expuesto un software. La vulnerabilidad es por medio de la cual el atacante puede materializar algún riesgo en una tecnología. Como consecuencia, entre mayor cantidad de brechas de seguridad o vulnerabilidades tenga un software abierto a un atacante, mayores oportunidades tendrá de realizar un fraude. Por eso, Fluid Attacks recomienda que desde la fase de construcción de software se comience una revisión de las brechas, intentar minimizarlas y dar atención a todas, de forma que tú liberes tecnología con la menor cantidad e inclusive libre de vulnerabilidades.
“Al atacante solamente le interesará si tú tienes algo de valor para él. Recordemos que un atacante solamente necesita una vulnerabilidad para podernos hacer daño, entonces intentemos por lo menos cuidarnos y hacer evaluaciones proactivas de forma que podamos tener software seguro”, concluye Gómez.
