Slack y la ciberseguridad: cuando los compromisos de tu empresa están en manos de una 'startup'

A la hora de implantar una nueva plataforma en nuestra empresa, ni las prisas ni las modas son recomendables. Los CIOs han de estudiar con detenimiento cada servicio para asegurarse no solo de que la información corporativa se va a gestionar mejor, sino que además se va a preservar la seguridad de los datos confidenciales.

Algunas de las empresas tecnológicas más importantes del mundo no han seguido este consejo con toda la prudencia debida, y el reciente ciberataque a la plataforma de comunicación Slack es un buen ejemplo de cómo las facilidades que nos ofrece una 'startup' pueden acabar comprometiendo nuestros secretos empresariales.

La 'startup' que ha convencido a las tecnológicas de medio mundo

Stewart Butterfield, cofundador del gran almacén virtual de fotografías Flickr, creó un novedoso servicio el año pasado, Slack, que suponía una vuelta de tuerca al tradicional correo electrónico, tan criticado por el masivo 'spam' con el que nos acosa cada día.

Slack inaugura un nuevo concepto de gestión corporativa: permite que los miembros de la empresa puedan organizarse virtualmente en equipos de trabajo, gestionar proyectos, comunicarse a través de salas de chat, adjuntar documentos o buscar cualquier información rápidamente. Además, ofrece integración con Dropbox o Google Apps, proporcionando un servicio que aúna información organizada y comunicación instantánea.

“Sea lo que sea lo que hagan - ventas, desarrollo de tecnología, servicio editorial o incluso fabricación de dispositivos médicos -, cada equipo tiene que comunicarse con otras personas y los mensajes están volando por todas partes”, explicaba Butterfield hace unos meses, en una entrevista que The Verge ya titulaba con un “Slack está acabando con el correo electrónico”.

Las ventajas que ofrece el 'software' de la compañía con sede en San Francisco han convencido a las empresas de Silicon Valley y a las de medio mundo: AOL, Paypal y Quora ya figuraban entre las primeras en utilizar este servicio. Sony, eBay, Yelp, NBC Universal, MyFitnessPal, Airbnb, Adobe, Foursquare, WordPress, Tumblr o Salesforce también decidieron subirse al carro y contratar los servicios de esta potente plataforma. Ningún CIO quería desaprovechar la oportunidad.

La 'startup' comenzó a sumar entre un 5 y un 10% de usuarios a la semana sin hacer publicidad, casi exclusivamente a través del boca a oreja. En octubre, recaudó 120 millones de dólares (más de 110 millones de euros) en una sola ronda de financiación. Google Ventures figura entre los inversores de esta compañía, que en febrero alcanzó los 500.000 usuarios únicos y que, según el Wall Street Journal, ya está valorada en más de 2.800 millones de dólares (más de 2.500 millones de euros).

A los ciberdelincuentes también les gusta Slack

El problema es que los ciberdelincuentes también se dieron cuenta de la poderosa información que las empresas podían estar compartiendo en esta plataforma. Hace unos días, la compañía anunció que había sufrido un ciberataque en el mes de febrero. Durante cuatro días, los ciberdelincuentes accedieron a su base de datos central, comprometiendo la seguridad de nombres de usuario, correos electrónicos, contraseñas cifradas y en algunos casos, números de teléfono o perfiles de Skype.

Slack reconoció en su blog haber detectado “actividad sospechosa” en un pequeño número de cuentas, un hecho que habrían notificado a los usuarios afectados pero que no han querido detallar públicamente. “Ganarnos vuestra confianza, a través de la gestión de un servicio seguro, será siempre nuestra máxima prioridad”, explicaba Anne Toth, vicepresidenta de política y cumplimiento estratégico de Slack.

La firma ha asegurado que la información financiera o de pago no se ha visto comprometida, y ha añadido que no tiene indicio alguno de que los atacantes hubieran sido capaces de descifrar las contraseñas almacenadas, por lo que supuestamente no habrían accedido a los mensajes y archivos personales. Eso sí, se han negado repetidamente a dar más datos sobre este caso a los medios de comunicación.

Además, Slack ha decidido tomar medidas y acaba de incluir la famosa verificación en dos pasos (los usuarios tienen que confirmar su identidad a través de un mensaje que les llega a su teléfono móvil), además de una nueva función que permite a los creadores de cada equipo forzar a todos sus miembros a cerrar sesión y cambiar la contraseña.

¿Debería haber incluido Slack la verificación en dos pasos antes, como Google, Microsoft y tantas otras compañías ya hacen para reforzar la seguridad de nuestras cuentas? ¿No deberían haber mostrado una mayor preocupación por la seguridad dado el crecimiento exponencial de su plataforma?

En realidad, no es la primera vez que una 'startup' se tropieza con la misma piedra. En febrero, Hipchat, una plataforma competidora de Slack (también se basa en salas de chat corporativas), anunció que había sido atacada y que algunos de sus nombres de usuario o cuentas de correo estaban comprometidos, por lo que también decidió incluir la verificación en dos pasos. Twitch, la plataforma de videojuegos en 'streaming' que compró Amazon, también sufrió un ataque la semana pasada, y Uber también admite haber sufrido un ciberataque similar hace unos meses que afectaría a los datos de 50.000 conductores.

Aunque la firma de San Francisco no sea la única que sufre los golpes del cibercrimen, es cierto que sus agujeros de seguridad ponen de manifiesto que Slack no tenía todo tan bien atado como pensaba. Todavía es una pequeña empresa entre gigantes. Una plataforma idónea para la gestión empresarial no es solamente aquella que mejora la eficiencia, la productividad y la comunicación, sino también la que sabe conservar bajo llave nuestra información corporativa. Eso sí, en los tiempos que corren, cumplir esta misión es cada vez más difícil.

-----------------

Las imágenes son propiedad, por orden de aparición, de Pixabay y DaveBleasdale.