“Las empresas precisan pensar en la seguridad como un proceso – no sólo en la implantación de productos”. Esto sostuvo el analista Roberto Martínez, investigador de seguridad para América Latina, en el 3er Encuentro de Analistas Latinoamericanos en Cancún. Y, para él, eso tiene como elemento central el proceso de actualización de los softwares (pacthes).
En su exposición, citó una frase del experto Bruce Schneier: “el mantra de todo buen ingeniero de seguridad es: la seguridad no es un producto, sino un proceso. Significa más que implementar una criptografía fuerte de un sistema – es, más bien, el diseño de todo el sistema de forma que todas las medidas de seguridad, inclusive la criptografía, trabajen juntas”.
Explica, también, que los cibercriminales latinos están atacando inclusive plataformas consideradas muy seguras, como Linux, OSX y Unix. “Aún son pocos los virus dedicados a ellas, pero existen y crecen en número”, alerta.
Fuera de eso, las aplicaciones omnipresentes en las empresas -como Java, MS Office, Adobe Reader e Internet Explorer- también pueden ser explotadas – sin pasar por el mito de que el gran problema es Windows. “Java es frágil y se convirtió en el principal blanco del cibercrimen”, explica.
El submundo de los llamados exploits – códigos que explotan bugs de seguridad en apps- mueve grandes sumas. Un exploit para Adobe Reader, por ejemplo, cuesta entre US$ 5 mil y US$ 30 mil. Para MS Word, entre US$ 50 mil y US$ 100 mil. Los más caros son los que atacan el sistema iOS, adoptado por los iPhones – que pueden llegar hasta unos US$ 250 mil. Los valores cambian conforme al su originalidad y el grado de eficacia que tenga el código malicioso.
Para Martinez, es importante que las empresas tengan en mente que los criminales utilizan la demora en la entrega de los updates para explotar los bugs en los softwares (exploits). Por eso, “implementar un buen proceso de gestión de patches es la clave del éxito”, afirma. “Adopte una solución de gestión que mejor se ajuste a las necesidades de la compañía”.