Las cifras son desalentadoras. Se estima que en 2015 se robaron 700 millones de registros de datos. Sin embargo, y a pesar de los miles de millones que se invierten en seguridad informática, los fallos que permiten estos ataques se arreglan demasiado despacio. Un informe del pasado junio reveló que las compañías financieras, por ejemplo, tardan una media de cinco meses en solucionar las vulnerabilidades de seguridad en línea conocidas.

"La industria de la seguridad obtiene 75.000 millones de dólares (unos 67.300 millones de euros) al año a cambio de intentar proteger cosas y lo que conseguimos es que todo el mundo sufra un hackeo continuo", declaró el jefe de estrategia de seguridad de SentinelOne, Jeremiah Grossman, durante la conferencia sobre ciberseguridad Black Hat del miércoles pasado en Las Vegas (EEUU).

A pesar de esto, Grossman y otros veteranos del sector se han vuelto más optimistas. Han visto una oportunidad para que dentro de poco las empresas tengan mayores incentivos financieros para invertir en seguridad y mantenimiento de software.

Una nueva organización sin ánimo de lucro, llamada Cyber Independent Testing Laboratory (CITL), ha desarrollado formas de evaluar y comparar la seguridad de los diferentes programas de software, como navegadores de internet y sistemas operativos. El objetivo es ayudar a los consumidores y empresas a elegir los productos más seguros, y dejar en evidencia aquellos que ponen nuestros datos en peligro para que se esfuercen por mejorar.

Este esfuerzo llega en el momento en el que las compañías de seguros empiezan a interesarse por comprender los riesgos de las brechas de seguridad, algo que podría generar nuevos incentivos financieros para las empresas, que deberían prestar más atención a la seguridad. Las aseguradoras podrían presionar a las compañías de modo parecido a cómo hicieron para mejorar la seguridad de los vehículos y la electricidad. El año pasado, la consultora PwC informó que las empresas se han visto forzadas a confiar más en la ciberseguridad debido a que el coste de las brechas de seguridad en datos empresariales crece rápidamente.

Foto: Peiter Zatko, el hacker de alto nivel conocido como Mudge, durante su charla en la conferencia Black Hat sobre seguridad informática. Crédito: Imágenes cedidas por Black Hat.

El CITL fue creado por el hacker de alto nivel Peiter Zatko, alias Mudge, y su mujer, Sarah Zatko, quien es investigadora de seguridad. La pareja presentó sus resultados preliminares el pasado miércoles en la conferencia Black Hat, mostrando cómo los métodos de análisis que han desarrollado son capaces de asignar una valoración de seguridad a diferentes programas de software.

El CITL se basa en la revista Consumer Reports, que recopila valoraciones y pruebas de productos, y publica informes dirigidos tanto a legos en la materia como expertos del sector. "Hemos estado intentando que la gente tenga más cuidado con la seguridad desde hace años, y si alguien dice 'Vale ¿y ahora qué hago?', no somos demasiado precisos a la hora de dar el siguiente paso", afirma Sarah Zatko. "Podemos aconsejar sobre qué navegador es mejor utilizar, aunque no contamos con muchas pruebas para respaldarlo".

La pareja Zatko presentó datos preliminares comparando la vulnerabilidad de diferentes programas en ordenadores diseñados por Apple. El navegador Google Chrome se clasificó en el 75º percentil de todos los programas analizados para ese sistema operativo, mientras que Safari se quedó en el 59º puesto. Microsoft Office y el navegador Mozilla Firefox resultaron ser más vulnerables en los puestos 37º y 35º respectivamente. El análisis del CITL sobre el sistema Windows 10 de Microsoft sugiere que la empresa emplea métodos más actualizados en su propio sistema operativo. Aunque análisis más detallados del CITL revelaron que Microsoft y Mozilla habían desestimado los métodos estándar para prevenir los ataques a sus programas en los ordenadores de Apple.

El CITL recibe financiación del departamento de investigación del Pentágono, del Laboratorio de Investigación de la Fuerza Aérea de los Estados Unidos y de la Fundación Ford. Planea publicar su primer gran conjunto de datos a principios del año próximo, y ya está hablando con compañías de seguros interesadas en usar sus datos.

Grossman espera que los análisis del CITL promuevan que las compañías tomen más responsabilidad sobre sus fallos de seguridad. Los estudios sugieren que los incidentes de seguridad no repercuten significativamente en el valor de las acciones de las empresas, y las peticiones de responsabilidad no suelen prosperar. Por su parte, las empresas que comercializan software y productos de seguridad tampoco ofrecen nada similar a la garantía que incluyen los bienes y servicios tradicionales.

Grossman predice que los datos del CITL y de otras start-ups que trabajan en maneras de evaluar y comparar la resiliencia de las empresas frente a amenazas de seguridad también otorgarán poder a las aseguradoras, de forma que estas puedan forzar un cambio de actitud importante en materia de seguridad.

El experto calcula que actualmente las empresas gastan cerca de 3.500 millones de dólares al año (unos 3.150 millones de euros) en un seguro que pague las consecuencias económicas de posibles brechas de seguridad empresarial, un gasto que aumenta un 50% o más cada año. Ahora las aseguradoras se centran en expandir el mercado, y no en basar las primas o las indemnizaciones en las revisiones exhaustivas del estado tecnológico de una empresa. Sin embargo, están trabajando en reunir los datos actuariales necesarios para llevarlo a cabo. Según Grossman, "Creo que solo hace falta tiempo para que cambien los principales líderes del sector de la seguridad de la información".