< Volver

La importancia de la seguridad para Pukkas

La presencia en internet se ha convertido en un caramelo para los hackers, ya sean profesionales o aficionados, que incluso en algunos casos son los más peligrosos. Si bien hasta hace años los objetivos de todos los ataques malintencionados eran las empresas y los centros de datos, ahora han visto en la presencia en internet una puerta de entrada a muchos datos con los que pueden hacer negocio y daños a través de sus intrusiones.

Por un lado hay que tener en cuenta que los hackers se mueven por diferentes motivaciones, y no siempre es por dinero. En muchos casos es simplemente por conseguir retos y añadir “medallas” para colgarse. Cuando hay objetivo económico suelen ser hackers profesionales que buscan datos para llegar a efectuar transacciones bancarias, ventas infructuosas, estafas … . Ahora bien, cuando es por retos y “medallas”, se trata más de hackers “aficionados”, y buscan simplemente la satisfacción que tienen por el hecho de entrar en lugares cerrados, webs, cuentas de correo, portales, servidores, con la satisfacción de lograr un reto y poner ese logro en su “vitrina virtual”.

Y por otro lado hay que tener también en cuenta que los ataques profesionales han evolucionado tanto que a fecha de hoy es casi imparable si no tomamos precauciones también profesionales. Así pues, los remedios caseros no sirven antes los ataques bien organizados. Un claro ejemplo es el famoso Cryptolocker, que se ha convertido en el mayor enemigo de los datos. Su entrada provoca una encriptación inteligente que sólo puede ser descifrada con un pago de una cantidad alta de bitcoins.

El reciente al SEPE, producido por el citado Cryptoloker, es un ejemplo de ataque por negocio.

Los ataques por retos, habitualmente hechos por aficionados, son los que simplemente destruyen, borran, manipulan, sin pedir nada a cambio, más que “dañar por dañar”. El problema es que el daño recibido puede ser tan grave como el realizado por una organización profesional. Por ejemplo, el daño recibido en una web infectada puede ser perder todo el posicionamiento que la empresa haya trabajado durante años, además de la desconfianza del usuario, que ya no volverá a visitarnos.

La vigilancia activa en seguridad es obligada en toda presencia en internet. Si bien hace unos años podíamos crear una web y olvidarnos de ella hasta su obsolescencia, ahora no podemos dejarla sin vigilancia ni una semana.

En PUKKAS nos preocupamos desde hace años por esta seguridad, por vigilar profesionalmente todos nuestros proyectos desde el primer minuto del inicio del análisis del proyecto a realizar hasta su publicación, y no dejamos que ningún proyecto pueda estar expuesto a ataques malintencionados.

¿Dónde empieza la seguridad?

Consideramos que la seguridad en un proyecto informático debe ser considerada desde el principio para poder asegurar al máximo que en el momento de la puesta en productivo del proyecto este vea la luz con solidez.

Para conseguirlo, aplicamos diferentes procedimientos durante cada una de las siguientes fases del proyecto. Este modus operandi, como muchos otros aspectos de la seguridad informática, los adoptamos de las recomendaciones al respecto que indica la fundación OWASP. Esta fundación se dedica desde hace algo más de 20 años a la seguridad informática. Empezó como algo pequeño que paulatinamente ha ido creciendo hasta convertirse desde hace muchos años en uno de los principales referentes en lo que a recomendaciones de seguridad informática se refiere. En sus orígenes eran programadores, administradores de sistemas y aprendices de hacker quienes la consultaban principalmente. Hoy en día la amplitud y profundidad de sus contenidos han hecho que sea un referente a todos los niveles, desde el programador al responsable de IT.

La paulatina aceptación de sus trabajos por parte de la comunidad informática y de la indústria de software han hecho que a día de hoy empresas como Acunetix, Adobe, Atlassian, GitLab, Oracle, Salesforce o Symantec apoyen esta fundación.

Así pues, incorporando ese know-how, establecemos diferentes acciones a la seguridad de un proyecto en función de la fase en que se encuentra el proyecto:

1. Durante la fase de definición.

2.Toma de requerimientos y análisis.

3. Durante la fase de desarrollo.

4. Durante la puesta en producción.

5. Durante la fase de mantenimiento.

Durante la fase de definición, toma de requerimientos y análisis

Cuando se establecen los requerimientos nos aseguramos que queden definidos aspectos fundamentales que muchas veces se tiende a obviar cuando se definen proyectos. La seguridad es algo que “se le supone” a un desarrollo informático. Nosotros hacemos hincapié en esto y concretamos los aspectos relacionados con la gestión de usuarios, autenticación, autorización, confidencialidad de los datos, integridad de la información y el registro de actividad.

Después, cuando se revisan organigramas, wireframes y modelos de workflow, revisamos qué se espera que suceda respecto a lo antes mencionado: ¿se requiere autenticación?, ¿cómo transportaremos esa información? ¿cómo se guarda? ¿qué se hace con ella después? ¿debe quedar constancia de su uso?

Durante la fase de desarrollo

Durante el desarrollo del proyecto se valida el código a nivel general, revisando que no se estén dando patrones que pueden desencadenar problemas de seguridad. También se contrastan los requerimientos de seguridad establecidos previamente.

Adicionalmente, cuando el desarrollo va teniendo forma, realizamos análisis y pruebas de seguridad, ya sea mediante herramientas de terceros (Acunetix y Qualys principalmente) o siguiendo checklists de aplicación manual para validar que diferentes tipos de ataques no se pueden realizar. El uso de unas herramientas u otras varía en función del contexto tecnológico del proyecto.

Durante la puesta en producción

Aunque las pruebas anteriores hayan sido un éxito, (o aunque se haya detectado algún problema y se haya corregido), el entorno productivo y abierto es un contexto que es ligeramente diferente, y es por ello que, con las precauciones oportunas, realizamos una auditoría de seguridad sobre el proyecto una vez puesto en productivo. Para ello hacemos uso de herramientas de terceros de Acunetix y Qualys principalmente.

También revisamos la configuración final del proyecto, en busca de flecos o puntos débiles que deban ser reforzados.

Durante la fase de mantenimiento

Nos aseguramos que, con las periodicidad que se ajuste a cada proyecto, mantenemos últimas versiones estables de cualquier librería/plugin/módulo utilizado, siempre que sea posible.

Adicionalmente, cuando se desarrollan ampliaciones o mejoras al proyecto, realizamos auditorías de seguridad sobre el proyecto mejorado. Estas auditorías también se realizan con cierta periodicidad, cuando así se acuerda con el cliente, para garantizar que en todo momento estamos protegidos.

Abril 2021
Jorge Martín y Jose Maria Serra / Desarrollo y programación

Ver más publicaciones