Una tendencia que ha crecido bastante en el mundo corporativo es la aparición de startups, grupos de personas que buscan un modelo de negocio escalable y repetible y que trabajan en situaciones de extrema incertidumbre. Por ello, es sensato que las startups concentren la mayor parte de recursos y tiempo posible en el desarrollo de productos, divulgación de la marca, captación de clientes y otras actividades que cooperen directamente con el crecimiento del negocio.
Todo negocio posee algo que lo vuelve único y proteger su información es proteger su ventaja competitiva
Sin embargo, al comenzar las actividades, es probable que todos sientan que no hay nada que proteger: algo muy lejano a la verdad. Todo negocio posee algo que lo vuelve único, por ello, proteger su información es también proteger su know-how y su ventaja competitiva.
Para ello, es necesario agregar una mentalidad de seguridad a cada una de las actividades para conocer los riesgos potenciales y anticiparse a ellos. Esta actitud ayuda de gran manera al sólido crecimiento de la empresa, pues a fin de cuentas, toda startup debe enfrentar los diversos riesgos inherentes al propio negocio. Por eso, la gestión de riesgos es un factor clave para el éxito.
Este es el primero de una serie de artículos sobre la forma en que una startup debe abordar la Seguridad de la Información en sus actividades cotidianas. En este artículo vamos a abordar, a través de algunos casos, los riesgos de una mala gestión en la startup que deja expuesta información sensible.
Exposición de información confidencial
Entre los errores más comunes y que involucra un gran potencial de impacto en los negocios, se encuentra la exposición de información confidencial. Los impactos van desde daños a la reputación hasta la puesta en peligro de la propia continuidad del negocio.
No es nada raro encontrar códigos, tokens de acceso y credenciales publicadas por empresas en repositorios públicos, así como otros datos restringidos que simplemente no deberían exponerse. La complejidad para explorar este tipo de amenaza es muy reducida e incluso existen técnicas y herramientas para realizar búsquedas optimizadas de información (en un comienzo) restringida, pero que se encuentra expuesta públicamente.
Citamos aquí algunos ejemplos:
- GoogleDorks es una técnica de búsquedas optimizada en Google, utilizada para filtrar las búsquedas y que puede usarse para encontrar contraseñas de un dominio que fueron indexadas por Google.
- GitMiner es una herramienta que realiza la búsqueda de información confidencial contenida en GitHub. Uno de los posibles usos de esta herramienta es buscar contraseñas contenidas en archivos del gobierno brasileño.
Además de estos ejemplos, existen muchos otros y la amplitud de esta amenaza afecta incluso a compañías que se encuentran en etapas más avanzadas de sus negocios.
El equipo de Detectify realizó un experimento en el que buscaba tokens de acceso de Slack, en GitHub, y comprobó que diversas empresas, como proveedores de pagos y algunas que figuran en la lista Global 500 de Forbes, tenían expuestos sus tokens de acceso de Slack.
Pequeños descuidos con la información sensible pueden acarrear graves consecuencias para la continuidad del negocio, como sucedió con Code Spaces, un proveedor de repositorio de código y servicios de gestión de proyectos.
Al comienzo de 2014, Code Spaces se vio obligada a cerrar su negocio luego de un incidente de seguridad, gracias al cual cibercriminales obtuvieron acceso al panel de control de la empresa en AWS y borraron datos y backups de la startup.
Es posible extraer algunas lecciones de este caso:
- Proteger la información es vital para el negocio. Con seguridad, esta historia habría sido diferente si Code Spaces hubiera usado el doble factor de autenticación para acceder a su panel administrativo, o MFA en el caso de AWS.
- A pesar de la existencia de un plan de backup, no se tomó en cuenta el riesgo de un ataque como el que sucedió y tanto los datos de producción como sus backups se encontraban bajo la misma amenaza. Como lo advierte la gestión de riesgos en las inversiones, no se deben poner todos los huevos en la misma canasta.
- Code Spaces proveía repositorios de códigos y servicios de gestión de proyectos a diversas empresas, que con seguridad se vieron afectadas por el cierre repentino de sus actividades. ¿Cuántas de ellas no tuvieron también que cerrar sus puertas? Usar soluciones en la nube (Saas) no exime a la empresa de tener que gestionar riesgos.
Por lo tanto, es necesario restringir y monitorear a quien accede a activos importantes del negocio e intentar fortalecer siempre la forma en que se realiza este acceso.
Las amenazas de violación de esta información se extienden más allá de los ejemplos aquí citados, y van desde la pérdida de una laptop con información sin backup y sin la protección del cifrado, hasta fraudes y ransomware, entre otras.
En este artículo tratamos los riesgos de una mala gestión de seguridad de la información en las startups y presentamos algunos casos bastante conocidos debido a los medios de comunicación. No obstante, es importante permanecer atentos y reflexionar sobre los riesgos y contramedidas en cada actividad del negocio.
En los próximos artículos abordaremos la forma en que las startups pueden mejorar su gestión de Seguridad de la Información a través de sugerencias y buenas prácticas para hacer frente a estas amenazas.