Hace poco tras una conferencia me hicieron una pregunta que a mí también me asaltó en el pasado, cuando aún era menos consciente de cómo funcionan las cosas en las empresas:
"¿Por qué muchas empresas no arreglan los fallos de seguridad?"
Al principio me asaltó un poco del sentido común pasado en el que compartía esa confusión inexplicable con el inquisitor, y que me llevaba a no comprender cómo un SQLi podía perdurar 2 años en una web de la ONU sin solucionar, pero lo cierto es que tras años de ver muchas empresas, de hablar con muchos CEO, CIO, CSOs, - y de verlos rotar en las empresas - la respuesta a esa pregunta me salió fluida, desde el interior, con una tranquilidad que incluso a mí me sorprendió:
"Porque es lo más rentable."
Aunque pueda sonar extraño a priori, los especialistas en SGSI y los directivos saben que, las empresas como ente, premian a los individuos más rentables de la organización, y si alguien es un problema para obtener esa rentabilidad, la organización lo fagocitará para escupirlo a posteriori fuera de su estructura. Y si no sólo hay que ver la salida de Steve Jobs de Apple en 1985.
Rentabilidad económica es la base del sistema capitalista, éste que hemos montado, y es la que hace que sólo los modelos sostenibles sobre esa premisa perduren - con raras excepciones empujadas con el esfuerzo de individuos o pequeños colectivos; no crean que caí en la desesperanza -. Y por supuesto, en todas las facetas de la seguridad informática, a una escala macroeconómica, acaba por ser la Piedra Rosetta de todo hecho.
En el mundo del malware, lejos han quedado los esquemas en los que se creaba por notoriedad o ego como Elk Cloner, por mero arte conceptual como LoseLose o por simple diversión maligna, aglutinando hoy en día porcentajes de mercado dentro de este negocio inferiores a nada. No son modelos sostenibles, no son rentables económicamente, no son perdurables en esta sociedad.
Por otro lado, esquemas como el del robo de dinero de cuentas bancarias tiene tal éxito, que con el número de ofertas de muleros que se emiten diariamente por medio de campañas de Spam se podría acabar con el paro de mundial... y hasta con el de España. Las mafias hacen su dinero y campan en tiendas online, como iTunes o Amazon, donde los robos van desde lo más profesional a lo más amateur, comprando sus propios discos con tarjetas robadas.
En el mundo del malware, botnets como la de los elegantes Mac OS X infectados con FlashBlack Trojan arrojan cálculos en los que se estima que han podido haber generado hasta 10.000 USD diarios sólo con el robo de clics en la publicidad en Internet. Tras una campaña de más de seis meses, la cantidad de dinero que se puede generar justifica la rentabilidad económica de otras especialidades. Es un negocio en auge.
Con la cantidad de dinero que genera el malware, aparecen los trabajos especializados como la de los creadores de kits de exploits profesionales, al estilo de Black Hole o Eleonore II, el hackeo de miles y miles de servidores con WordPress - siento poner a este de ejemplo por haber sido el último masacrado - o páginas webs con vulnerabilidades SQLi que llevan a grandes empresas como la propia Apple y webs legítimas a ser parte cómplice en la distribución del malware.
También justifican la creación de un modelo de partners, en el cual los miembros cobran dinero por cada instalación que se realiza el malware, ya sea un rogue AV, un bot al uso o un simple crapware o adware que se encargue de generar dinero con publicidad, robo de clics o venta de placebos ilusorios en forma de falsas vacunas para virus inexistentes.
Es un negocio rentable, y crea un modelo sostenible en esta sociedad capitalista, que lleva años instaurado en el mundo de Windows, y desde hace poco en otros jardines de flores, como en Mac OS X o Android, pero que mientras genere dinero, los entes llamados empresas - ya sean legítimas o criminales - seguirán premiando a los individuos que más las hagan conseguir su objetivo de lucro.
Saludos Malignos!
PD: De todo esto y mucho más, con mucho más detalles técnicos, organizativos y ejemplos reales, Mikel Gastesi y Daniel Creus, expertos en e-crime, hablan en su libro Fraude Online: Abierto 24 horas.
No se si es porque lo he leido muy rapido, pero sigo sin relacionar tu respuesta fluida e interna con todo el resto de la publicacion: "Porque es lo mas rentable" dices, y al mismo tiempo hablas de lo bien que les va a las "empresas" fraudulentas. ¿Esa es la escusa de que las empresas legales no cierren agujeros de seguridad? No lo pillo.
ResponderEliminarPor cierto, parece que se te "olvidó" poner agujeros criticos de MS que tambien ayudan, y mucho, a la expansion del malware, ¿eso es por descuido o es que a los de seguridad apple les faltan visitas?
La cita del caso de Jobs (no se a cuento de qué, dudo mucho que lo que pasó fué porque él no era rentable...), lo del "jardin de flores", etc... se echa de menos el rigor y la seriedad en estos temas (que no esta reñida con el humor) y sobra mucho la publicidad subliminal...
Sin buscar mucho, lo primero que he pillado
ResponderEliminarhttp://unaaldia.hispasec.com/2012/04/nuevos-troyanos-spyeye-orientados.html
@Anónimo, la primera pregunta, y el malware tienen en común la misma respuesta.: El dinero.
ResponderEliminarNo se me olvidó poner agujeros críticos de nadie, hablo de malware, no de agujeros de seguridad en ningún sitio.
Lo de Jobs fue porque la empresa iba mal con él,y las inversiones no eran rentables. Está en todas partes.
Lo de usar a Apple, es porque han dado las cifras económicas de un malware de Apple que ha marcado un antes y un después: FlashBack Trojan.
Y lo del jardin de flores, es porque se dice de Apple que es un walled garden. Era una metáfora para no usar ese nombre.
El artículo quiere decir algo que es: La respuesta es el dinero. Se hará lo que sea más rentable, tanto en el caso de parchar un fallo de seguridad como de crear un malware.
Saludos!
La verdad es que la seguridad no importa a nadie y no se ve nada de rentabilidad en el negocio. Supongo que en esta época debe estar jodido hacer dinero sobre este tema y sobre los 27K y 20K y esas burocracias.
ResponderEliminarLos de seguridad siempre hablando de lo malísimo que puede ser que... pero realmente las probabilidades que te pasen a ti son bajas y pocas veces pasa.
Es verdad que cuando pasa es una putada y la gente se pone las pilas, pero el agujero no siempre es importante, un SQLi o un XSS chorra con el que no se consigue nada o casi nada, pero mientras... no has gastado una peseta en ello y al final es rentable.
Y sólo si hay leyes que lo obliguen, pero aquí la LOPD es de coña, ¿qué presupuesto tiene la AEPD?
Como no seas Telefónica, Iberia o el Santander no se van a parar contigo, así que... el negocio en España sobre seguridad es muy limitado, no es sostenible :), habiendo cagadas importantes por ahí fuera.
La seguridad informática atravez de los años ha evoluconado, Al igual que la inseguridad muchos agujeros de programacion han llevado a que algunos delicuentes cyberneticos se salgan con la suya, En los años que llevo de informatica he visto que la Windows, siempre ha sido blanco de ataques continuos, pero la verdad ha estado a la altura siempre han parchado, pero por los demás siempre han tenido problemas, sobre todo los de codio libre, es un tema amplio, besos
ResponderEliminarhttp://eldiario.deljuego.com.ar/submenunoticiaenvideo/3291-jj.html
ResponderEliminarmirar ese video de la reportera italiana y DEJAR DE JUGAR EN SALAS ONLINE QUE SON UNOS ESTAFADORES, SOBRE TODO 888 POKER, ES EL MAS EXAGERADO EN SOFTWARE TRUCADO
eso 888 es un timo ponen gente suya ke saben tus càrtas y te desploman en un momento,ejemplo me meten subida de 50euros con 4 10 yo veo yo ak y adivinen river le da trio de 4 esta claro ya sabia las cartas ke ivan a salir en fin un robo
Eliminarlo bueno es ke flo dio 6 k 4 y el subia ke subia con su 4 yo con la k veia asin infinidad de jugadas y en las mesas mas altas
Eliminar