Entrevista a Amador Aparicio, experto en Seguridad Informática

Entrevistamos a Amador Aparicio, especialista en Seguridad informática que nos habla de peligros, backups y otros temas de interés dentro del Comercio Electrónico.

En primer lugar, preséntate para quien no te conozca

Desde hace 10 años me dedico a la docencia en Formación Profesional. Actualmente, imparto clases en el Ciclo de Grado Superior de Administración de Sistemas Informáticos en Red y en el Ciclo de Grado Medio de Telecomunicaciones del Centro de Formación Profesional Don Bosco de Villamuriel de Cerrato y paralelamente realizo pentesting o test de intrusión a sistemas. Escribo artículos relacionados con Seguridad Informática en securitybydefault.com, elladodelmal.com, Gizmodo.com, Cadena Ser y colaboro con la Cadena SER de Palencia. http://twitter.com/amadapa

Ingeniero superior en Informática por la Universidad de Valladolid y postgraduado en Seguridad de las Tecnologías de la Información y Comunicación por la Universidad Oberta de Cataluña y la Universidad Autónoma de Barcelona, también es seleccionador/mentor del programa de becas Talentum de Telefónica.

En general, ¿en qué estado se encuentra la seguridad de las webs y los comercios electrónicos en España?

Las empresas y administraciones públicas cada vez van siendo más conscientes de la importancia de que sus sistemas y aplicaciones sean seguras, por toda la información de la empresa y clientes que puede ser expuesta y robada, pero sobre todo por el impacto negativo traducido en falta de confianza por parte de los clientes si una web de comercio electrónico es vulnerada y los clientes detectan fallos de seguridad en la web.

La realidad me dice que, aunque las organizaciones son conscientes de que la seguridad informática es importante cuando se tiene presencia en Internet por el impacto que éstas pueden sufrir, aún hay un largo camino por recorrer en este sentido. A día de hoy aún son muchas las empresas y administraciones públicas que adolecen vulnerabilidades en sus sistemas en forma de fugas de información, servidores web mal securizados, errores en la programación de sus aplicaciones web lo que en muchas ocasiones permite acceder directamente a su base de datos, nombres de usuarios por defecto como Admin, etc…

Desgraciadamente esto es extensible fuera de España.

¿Cuales son las características que tienen en común lo comercios inseguros Españoles? ¿Es la situación peor que en otros países?

En este sentido no se puede generalizar, hay plataformas de comercio electrónico en España que gozan de buena salud en materia de Seguridad Informática, pero hay otros tantos que no.

Considero que hay plataforma de comercio electrónico en España (y en otros países) que no son seguras por diversas razones:

• Los desarrolladores de esas plataformas de comercio electrónico no tienen conocimiento en materia de Seguridad Informática.
• El servidor que aloja esas plataformas de comercio electrónico, muchas veces sobre la modalidad de hosting, tiene vulnerabilidades que pueden afectar a la plataforma de comercio que alojan.
• Los sistemas de correo electrónico de estas plataformas de comercio electrónico no están protegidos lo que abre la puerta a los ataques de phissing, pharming, etc.
• Se utilizan demasiados plugins abriendo un montón de puertas a los atacantes por las vulnerabilidades que presentan estos plugins.
• Las plataformas de comercio electrónico no pasan auditorías de seguridad, cuando esto debiera ser un proceso constante y contínuo durante todo el proceso de desarrollo de la plataforma de comercio electrónico.
• La plataforma de comercio electrónico se ha programado desde cero por programadores que no son expertos en materia de Seguridad Informática y no se han hecho bien las pruebas antes de poner estos sistemas en producción.

Estos son sólo algunos ejemplos.

¿Qué dificultades se encuentran los vendedores?

Considero que la principal dificultad como vendedor es que en la mayoría de las ocasiones un vendedor que quiere trasladar su negocio a Internet no es un experto en Informática ni en Seguridad Informática y, es más, no tiene por qué serlo.

Contrata los servicios de desarrolladoras y estos no le ofrecen las medidas de seguridad apropiadas por diversas razones: no tienen formación en materia de seguridad, desconocen cuáles tienen que ser esas medidas o directamente por ofrecer servicios más baratos se pasan por alto todas las pruebas que un sistema de comercio electrónico debiera de pasar antes de pasar a producción.

ejemplo de documento accesible sin securizar

¿Cuáles son los mayores peligros de los compradores?

Los peligros para los usuarios que utilizan estas plataformas de comercio electrónico pueden ser diversos. Por citar algunos de ellos, pueden estar exponiendo sus datos personales como el DNI, número de teléfono, dirección, nombre, apellidos a todo Internet porque la plataforma tiene fugas de información o porque no funciona bajo HTTPS. Pueden sufrir ataques de phishing (suplantación) si la plataforma no goza de un certificado digital con buena salud o si no se han tomado las medidas oportunas en el correo electrónico de la plataforma de comercio.

Además, si un atacante pudiera acceder a la plataforma de comercio explotando alguna vulnerabilidad como por ejemplo el SQL injection, podría modificar la dirección de entrega de un producto para que le llegase a él y no a la víctima que pago por ello.

¿Cómo podemos dar mayor seguridad y confianza a los clientes?

Para empezar, haciendo que la seguridad informática sea un proceso que esté presente a lo largo de todo el desarrollo de la plataforma de venta online y hacer todo tipo de pruebas (XSS, SQLi, listing de carpetas, fuzzing, RFI, LFI, etc…) antes de ponerla en producción. Una vez que se encuentre en producción, hacer pruebas para ver si por ejemplo hay fugas de información y no se están protegiendo los datos de los clientes como marca la LOPD 15/99.

Contar con sistemas de backup y de recuperación por si la plataforma de comercio electrónico tiene algún tipo de problema. La disponibilidad en estos entornos es muy importante, ya que la sensación que daría en caso contrario sería la de muy poca confianza y la imagen de esa tienda en Internet no gozaría de buena popularidad.

Una cosa que importa mucho a los clientes son los pagos por Internet. Para ofrecer confianza en este sentido trabajar con compañías como PayPal que garantizan que en caso de no entregarse en producto el cliente no pierde el dinero que ha desembolsado, trabajar con protocolos seguros como HTTPS para que toda la información entre el y usuario que realiza la compra y el servidor viaje cifrada por Internet, trabajar con certificados digitales para demostrar la autenticidad del portal web de compras…

¿Es seguro el pago online en España?

Un aspecto muy importante es el papel que juega la banca electrónica en todo esto. Afortunadamente, a día de hoy, los especialistas en materia de seguridad informática en España que están velando por su seguridad en nuestros bancos, son equipos con muy buenos de profesionales.

En relación a la seguridad, ¿qué recomendarías hacer primero cuando planeamos montar un comercio electrónico? Prioridades.

A modo de decálogo, algunas de las cosas en las que yo me fijaría como usuario de una plataforma de comercio electrónico son las siguientes:

• Tener en cuenta el país en el que se encuentra el servidor que almacena la plataforma de comercio electrónico. No ofrece la misma sensación de seguridad una máquina que se encuentra en Rusia o China que una que se encuentra en España. La legislación relacionada con los datos de los usuarios cambia en cada uno de los países.
• Sistema de gestión de contenido (CMS) utilizado: es importante estar al día de cuáles son los mejores CMS relacionados con el comercio electrónico y los que menos vulnerabilidades y ataques con éxito han sufrido.
• Relacionado con lo anterior, es importante que quiénes se dedican a montar portales de comercio electrónico estén al tanto de las nuevas vulnerabilidades que se van descubriendo para que sus portales no se ven afectados.
• Tener actualizado el CMS con las nuevas versiones que van sacando y tener actualizados todos los plugins que se utilicen en la plataforma de comercio electrónico, ya que muchas veces son puertas abiertas que se dejan a los cibercriminales.
• Realizar un test de intrusión o una auditoría web al sistema para ver cuál es el grado de seguridad que tiene antes de ponerlo en producción.
• No programar una plataforma de comercio electrónico desde cero, ya que seguramente el sistema que se desarrolle tenga agujeros de seguridad que puedan ser explotados ya que los programadores muchas veces no son especialistas en seguridad informática.
• Utilizar HTTPS (HTTP-S) y un certificado digital reconocido por una autoridad certificadora para generar confianza en el cliente y hacer que las transferencias electrónicas de éste se realicen mediante un canal cifrado.
• Utilizar en el portal de comercio electrónico un segundo factor de autenticación como Latch (https://latch.elevenpaths.com/) para proporcionar un mecanismo extra de seguridad. Así, si la clave de un usuario ha sido comprometida con este tipo de servicio el usuario afectado será avisado para que cambie la clave de acceso a la plataforma.
• Tener un buen sistema de backups y de restauración. Un portal de comercio electrónico caído no genera confianza en los clientes.
• No dejar los datos de acceso a la administración del portal colgados en Internet. Hay gente que lo hace.

 datos de acceso al alcance de cualquier internauta

Algún ejemplo llamativo de inseguridad

Relacionado con el último punto de la pregunta anterior, en las siguientes imágenes podemos ver un documento con todos los datos de acceso al backend del portal de comercio electrónico, a sus cuentas de correo, a su dominio. Es posible, básicamente por dos cosas: el servidor web apache no está bien securizado y el responsable de la plataforma de correo electrónico ha cometido la negligendia de dejar esta información “pública”. No he entrado de manera ilegal en ningún sistema para hacerme con estos datos. Desgraciadamente no es el único ejemplo.