Crimen Cibernético
Hoy en elpais.com leo el siguiente artículo: "La policía se declara impotente contra los timos bancarios online", y no puedo decir mas que "no me extraña en absoluto".
Llevo muchos años en esto de la seguridad y siempre diciendo lo mismo, nadie se toma suficientemente en serio el tema, y los riesgos asociados. Por un lado la banca, asumiendo los "costes" de pequeños hurtos como un mal menor, por otro los usuarios, ignorando el grave riesgo que se asume, y la justicia y la policía, limitándose a contemplar de forma desalentadora el panorama. Y yo creo que de alguna manera todos jugando a la ruleta con este tema. O a la lotería. Por que siempre he creído que en esto de la seguridad de momento hemos tenido mucha suerte todos. Pero poco a poco, las mafias se han ido introduciendo, con mucho más dinero en juego que los demás por que el benefició es muchísimo más grande.
Hasta ahora todos los bancos han asumido políticas de pago a cambio de silencio. Seguros de 6, 10 0 12 mil euros, por pequeñas transferencias fraudulentas.
Pero a mí, independientemente de que las políticas de seguridad de todos son bastante "Lights", me preocupa mucho más el riesgo que se corre. Ya no es el control sobre las transferencias que hacen los bancos, es el riesgo de lo que desconocemos. Podemos tener nuestra cuenta bancaria bajo vigilancia sin tener ni idea. Más de la mitad de los ordenadores personales de nuestro país se suponen infectados con software espía. No hacen nada, aparentemente, pero graban todo lo que hacemos, ven todos nuestros recibos, saben dónde vivimos, a que colegio van nuestros hijos, nuestro consumo de luz, y por tanto cuando nos vamos de vacaciones,... la lista es interminable.
Y no es un problema tecnológico, soluciones hay, pero para reducir el riesgo, no para eliminarlo, tener antivirus no basta. Hay que gestionar el riesgo en el que incurrimos, bancos, usuarios, administraciones públicas.
Y algo, que desde Rosettasec pregonamos incansablemente, el carácter probatorio de las actuaciones en nuestros sistemas. Debemos prepararnos desde dos frentes: cubrir el riesgo y poder enjuiciar con pruebas irrefutables las acciones penales en nuestros sistemas. En este último caso estamos en la edad de piedra. Los recursos empleados en Seguridad no han de ser un gasto, como no lo han de ser nuestras pólizas de riesgos, han de ser una inversión, en horas de productividad, en mejoras de nuestros ratios de eficiencia, en prevención de riesgos y finalmente en recuperación del daño y de sus acciones legales derivadas. No lo olvidemos. Hay mucho que hacer aún...
