Distintos estudios y reportes en Latinoamérica muestran que, en materia de prevención de cibercrimen, la concientización y la inversión es aún insuficiente y las acciones implementadas en ocasiones son precarias. Si tenemos en cuenta que la detección de un problema de robo de datos demora algunos meses en ser detectado, es probable que cuando se decida hacer algo, ya sea tarde y en vez de prevenir haya que reaccionar al problema. La información que puede robar un hacker es muy variada y tiene diferente valor en el mercado negro. Contenidos financieros son los más útiles, ya que son fácilmente comercializables, pero no son los únicos.
Información financiera
Aspectos referidos a las tarjetas de crédito son los datos que con más frecuencia se roban. Esta información puede ser obtenida porque está almacenada en una base de datos sin encriptar o en listados y planillas en una red de computadoras. Si la información no está debidamente gestionada, podría ser robada, causando un gran perjuicio. Dependiendo de la calidad y cantidad de datos que se hayan sustraído, es su valor en el mercado. Cuanto más completa es la información, si tiene los dígitos de verificación o los datos del banco, es más apetecida en el mercado negro.
Información de acceso al sistema
Información como usuario y contraseña para el acceso a un sistema es otro dato que un hacker quiere robar. Dependiendo de la naturaleza del negocio y de los privilegios del usuario, el daño que puede causar es mayor o menor. Por ejemplo, en un sistema de comercio electrónico, con el usuario y contraseña podría el delincuente cambiar las direcciones de envío o generar una nueva y hacer compras. También podría comprar Gift Cards y luego realizar la compra dificultando el seguimiento. Si el sistema es de e-banking, podría derivar en transferencias indeseadas, como ocurrió recientemente a los clientes de en un banco en Uruguay, quienes fueron engañados por los hackers para obtener el usuario y contraseña. Hay que tener en cuenta que los sistemas corporativos o hacia el consumidor final, tienen valiosa información, así como la capacidad de comprar, vender, reservar, etc. por lo que un uso abusivo podría generar importantes pérdidas a la empresa.
Información de negocio
La información del negocio es uno de los botines más importantes que buscan los hackers para robar. Entre los datos más buscados están aquellos que contengan datos de clientes, proveedores, transacciones, operaciones, documentos con datos financieros, listas de precios, balances, planes de negocio, estrategias de precio, etc. El perjuicio que podría causar esta información es grande si cae en manos de competidores, personas que busquen entrar en el negocio. En la mayoría de los casos las empresas no perciben el robo de la información y cuando se dan cuenta, suele ser muy tarde.
Protegiendo la información
Las aplicaciones desarrolladas a medida son un importante activo para el negocio ya que además de contener información clave, contienen la lógica de los procesos de negocio. Si al desarrollarla no se tuvieron en cuenta prácticas de seguridad, es probable que pueda ser vulnerable a ataques. Para diagnosticar cómo está la aplicación en seguridad, se debe verificar que al menos no contenga las vulnerabilidades indicadas en el OWASP Top 10 para aplicaciones web u la versión Mobile. Además, se pueden hacer test de validación de seguridad que implica una revisión completa del estado de la aplicación, lo que le permitirá conocer la situación y las vulnerabilidades que exponen sus aplicaciones.
Software Testing Bureau ha trabajado con clientes de diferentes industrias promoviendo la cultura de seguridad y ayudando que sus aplicaciones no sean vulneradas. Basados en nuestra experiencia sugerimos cambios en la arquitectura, gestión de datos y permisos al interior de las aplicaciones para asegurar la interacción de actores internos y externos. Detectamos vulnerabilidades y promovemos políticas para asegurar la privacidad de datos y una buena gestión de los mismos a efectos de prevenir fraudes y una manipulación indebida derivada del abuso y el mal uso de las aplicaciones.
Si no estás seguro de cuál es la situación de seguridad de tus aplicaciones puedes contactarnos para conocer cómo es posible hacer una evaluación y conocer los riesgos a los que está expuesto tu negocio.
¿Te gustaría saber más acerca de nuestros servicios? Solicita más información aquí
Conecta