Peritaje informático de la seguridad de un portal web

Peritaje Informático

Peritaje informático de la seguridad de un portal web

En uno de los últimos juicios que tuve en Julio y donde aporte un Peritaje informático se planteo si la empresa que desarrollo una web para un cliente de un proyecto basado en un servidor en Cloud, había realizado malas practicas de seguridad de la información o ciberseguridad en el proyecto realizado, tras un ataque externo que dejo el portal web sin poder ser usado durante varios días.

¿Hasta donde llega la responsabilidad de la ciberseguridad? Peritaje informático

Cuando una empresa cliente contrata a otra empresa proveedor un proyecto de desarrollo web, generalmente le preocupa los requisitos funcionales, el aspecto, la adaptabilidad a todo tipo de dispositivos y navegadores, la usabilidad, el enlace con redes sociales, la capacidad de realizar pagos online y un sinfín de cuestiones, excepto algunas de las relacionadas con la seguridad informática y ciberseguridad.

Como perito informático judicial y master en ciberseguridad por Deloitte voy a clasificar los riesgos de seguridad a los que se ven  expuestos los proyectos web en varias categorías para que el profano en esta materia pueda entenderlo fácilmente.

En primer lugar tenemos los que denominaría intrínsecos a la tecnologia de desarrollo. Muchos lenguajes de programación o Frameworks de desarrollo tienen conocidos fallos o bugs de seguridad que, dependiendo de la versión, son conocidos y vulnerables a ataques por parte de hackers y software mal intencionado.

En segundo lugar estarían los fallos de seguridad que se pueden resolver mediante componentes o plugins que las tecnologías permiten. Por ejemplo, WordPress dispone de multiples componentes y plugins que permiten reducir el spam, ataques de SQL Injection y otros tipos con la incorporación e instalación de estos componentes.

En tercer lugar existe los riesgos de seguridad derivados del servidor de aplicaciones web donde funciona esta web. Una web, perse, no funciona sola, existe otra, digamos, super aplicación que hace que la web funcione, generalmente denominada servidor de aplicaciones web. Los mas conocidos suelen ser Apache y IIS de Microsoft. En este sentido también incomproraria la existencia o no de la navegación SSL que cada dia mas es clave para evitar riesgos de transmisión insegura de la información a través de internet. Esta capa de servidor de aplicaciones también tiene vulnerabilidades, según version, conocida por hackers y pueden ser igualmente explotadas en pro de acciones maliciosas.

En cuarto lugar tendríamos todas aquellas aplicaciones e infraestructura que se instala delante y alrededor de la aplicación web y que esta destinada específicamente a la ciberseguridad. Estariamos hablando de DMZ, Firewalls, antivirus, IPS, etc Componentes que permiten aislar al máximo la web, avisar de intrusos o de ataques, prevenir ataques, etc

Entonces si una empresa cliente ha contratado el desarrollo de una web a una empresa proveedora que lo realiza, pero piensa en instalarlo en un servidor propio, ¿hasta donde llega la responsabilidad de seguridad del proveedor de desarrollo? Por ejemplo, si soy una empresa sin conocimientos de informática que encargo una web para vender mis productos pero le encargo el hosting a una segunda, ¿como podré demostrar que un ataque o virus ha sido generado por una vulnerabilidad o problema que el proveedor de desarrollo web genero? Es más, ¿puedo exigir al proveedor de desarrollo web que me informe de todos los riesgos anteriormente comentados aunque escapen mas alla de lo que le he contratado?

Conclusiones

Como ha podido ver el lector, en el juicio que tratamos este problema surgieron muchas discrepancias entre la parte demandada y demandante, entendamos que la línea que separa las responsabilidades, donde esta cierto problema y si el proveedor web debe informar de la seguridad de una web es, en ocasiones, complicado de definir.

Es por ello que si tiene un problema de seguridad web la ayuda de un perito es clave para intentar definir, con la máxima objetividad, donde están las responsabilidades que le aplica a cada uno de los proveedores y cliente involucrados. Solo asi, con una explicación adecuada al juez se podrán extraer o llegar a conclusiones que definan el resultado del juicio en una dirección u en otra.

Luis Vilanova Blanco. Perito judicial informático. Master en Ciberseguridad por Deloitte.

606954593