SECURITY FORUM Y, ¿por qué Titan? “Titan permite a la empresa el control total de la instalación, la prevención de riesgos, evitar paros e fabricación, transparencia de la información, ahorro de costes y facilita el tra- bajo diario”, concluyó Daniel Campos. ¿Son nuestras páginas web seguras? Daniel Sierra, analista de Ciberseguridad y Desarrollo de Techco Security, quiso hacer reflexionar a los presentes sobre la seguridad de las páginas web, y de cómo solucionar los fallos en ese aspecto. “Hay tres aspectos clave que comprometen la seguridad de una página web: la pérdida de autenticación, el uso de componentes con vulnerabilidades conocidas y la validación y gestión errónea de for- mularios”, empezó relatando Sierra. La pérdida de autenticación La autenticación es el proceso por el cual el usuario le dice a la página web quién es, mediante contraseña u otros medios. ¿Y qué problema tiene esto? Sierra comentó que “el problema es que en numerosas ocasiones existen fugas de información causadas, por ejemplo, por emplear siempre la misma contraseña para todas las páginas web en las que nos registramos. Otro problema grave de la pérdida de autenticación es permitir contraseñas débiles o mecanis- mos de recuperación frágiles”. Daniel Sierra expuso, entonces, cómo prevenir la pérdida de auten- ticación: “Hay 4 acciones básicas como, por ejemplo, el sistema de doble validación, el bloqueo automático de usuarios, la política de contraseñas seguras o el borrado de información tras el cierre de sesión o inactividad”. Uso de componentes con vulnerabilidades conocidas Hoy en día, el desarrollo web está basado en el uso de componen- tes de terceros para agilizar los tiempos y esto conlleva problemas de vulnerabilidades. “Somos vulnerables cuando, por ejemplo, no conocemos todas las versiones de los productos que tenemos ins- talados, cuando realizamos actualizaciones y parches o cuando no se analizan los componentes que tenemos, entre otros motivos”, expuso Sierra. Para prevenir las vulnerabilidades, Daniel Sierra expuso una serie de reglas: • Remover dependencias, funcionalidades, componentes, archivos y documentación innecesaria y no utilizada. • Utilizar una herramienta para mantener un inventario de versio- nes de componentes, tanto del cliente como del servidor. • Monitorizar continuamente en búsqueda de vulnerabilidades en los componentes utilizados y emplear herramientas de análisis automatizados. • Supervisar bibliotecas y componentes que no poseen mante- nimiento o no libera parches de seguridad para las versiones obsoletas o sin soporte. • Obtener componentes únicamente de orígenes oficiales utili- zando canales seguros. Validación y gestión errónea de formularios Una página web está basada en el sistema de formularios y una mala gestión puede causar una fuga de información. “El problema radica diferentes aspectos como la validación de datos solo en el cliente, no utilizar mecanismos antibots, ocultar fragmentos del Daniel Sierra, analista de Ciberseguridad y Desarrollo de Techco Security. Pablo Campos, director técnico de Hikvision. formulario mediante CSS o permitir introducir caracteres especiales”, comentó el analista de Ciberseguridad y Desarrollo de Techco Security. Daniel Sierra concluyó que “para una buena seguridad en la web son esenciales la formación, la actualización y la validación”. El IoT, cada vez más tendencia Pablo Campos, director técnico de Hikvision, habló sobre ‘La Ciberseguridad en la era del Internet of Security and Intelligent Things’. El futurp está en la conexión y el IoT es la tendencia. “Hace unos años, el concepto del CCTV era totalmente distinto, no tenía conectividad. Ahora, cada día vemos más sistemas intercomunica- dos entre sí”, comenzó apuntando Campos. Comentó también que los sistemas de información deben evolucionar de únicos y aislados a abiertos y conectados. De la misma forma, “los dispositivos tienen que afrontar los retos de la seguridad, manteniendo la sencillez de conexión para el usuario”. No obstante, no hay que olvidar que cualquier conexión a internet comporta riesgos. Los dispositivos de red desprotegidos están abier- tos a los ciberataques. La teoría está muy bien y se entiende, pero Campos habló de lo que sucede en la práctica: “Vemos dispositivos configurados con credenciales predeterminadas, débiles y con código de barras; los dispositivos no se mantienen o se mantienen de manera deficiente después de la instalación inicial”. En definitiva, enfatiza Campos, “no existe conciencia de seguridad adaptada a la IoT y CCTV". Pablo Campos hablo del papel de Hikvision en ese aspecto: “Realizamos todos los esfuerzos para ofrecer a nuestros clientes los mejores productos y soluciones de seguridad, y para educar a socios y usuarios finales en materia de seguridad cibernética”.• 29