Foros de la Industria

Inseguridad en tiempos de Internet

La seguridad requiere educación, acción y constante supervisión para reducir el riesgo de sufrir daños. La mercadotecnia de muchas empresas llega a sugerir una ilusión, es posible desaparecer el problema. Pero en el mejor de los casos, puede reducirse en forma importante el riesgo, pero no es posible eliminarlo por completo.

La desconfianza es madre de la seguridad.
Aristófanes (c.445-380 a. C.)
El congreso internacional de seguridad en TI para directivos de empresa, promovido como Hacker Halted 2005 México, buscó hacer comprender a los usuarios que es de vital importancia contar con una seguridad que integre a la informática.
Actualmente la información y la capacidad para transformarla en algo útil es lo que tiene un valor significativo. Por ello, los individuos, empresas y gobiernos deben trabajar juntos para lograr una seguridad que permita preservar la información disponible sólo para las personas, en el momento, lugar y dispositivos que han sido designados.
Internet ha llegado para quedarse en los negocios con todos los beneficios pero también con todos sus males. El acceso a miles de clientes potenciales en el mundo ha permitido que muchos criminales encuentren un nuevo medio para aprovecharse de sus semejantes, lo que ha hecho de Internet un medio donde el crimen parece apoderase de la red.
La verdadera Internet
Al principio, muchos vieron en Internet una propuesta para hacer mucho más con menos. Era una oportunidad para lograr ahorros de tiempo, esfuerzo y dinero con ingeniosas herramientas que permitieran crear nuevos modelos de negocio.
El cliente, siempre encontraría lo que buscaba en el tiempo y lugar que fueran requeridos pero con el valor agregado de lograrlo a una velocidad insospechada.
Esa es la promesa que muchas empresas persiguieron en una desenfrenada carrera por grandes inversiones en infraestructura para aprovechar esta ventaja competitiva.
Pero la realidad es diferente, Internet es una red, que permite el crecimiento de las empresas al mejorar sus capacidades y competir en cualquier rincón del planeta. Contar con presencia en Internet ya no representa ventaja competitiva alguna, se ha convertido en una herramienta indispensable para mantenerse en el mercado.
El principal obstáculo para su uso se encuentra en la incapacidad para desarrollar un entorno seguro, donde todos los usuarios puedan realizar sus operaciones teniendo la garantía de no sufrir daño alguno. En la actualidad, existe una clara percepción de inseguridad en la red mundial.
Internet es una red mundial, pensada para una libre comunicación, no está pensada con los requerimientos de seguridad que necesitan los negocios y organizaciones para realizar sus actividades. Todos los días podemos encontrar información de vulnerabilidades, estafas, robos de información, que dejan claro que usar Internet tiene sus riesgos.
¿Soluciones instantáneas?
Desafortunadamente, no existe una solución mágica que permita instalar una aplicación o contar con guaruras digitales que libren a usuarios y empresas de todo mal. A pesar de las buenas intenciones y constante bombardeo de mala mercadotecnia, sólo se puede reducir y administrar el riesgo, cualquier otra afirmación es cuestionable.
Es necesario salvaguardar la información en Internet y esto no es una tarea sencilla ni económica, pues existen formas sencillas y de fácil acceso que permiten que personas con un mínimo de conocimientos puedan realizar actos delictivos en contra de la infraestructura de información de una empresa.
Aun instalando las mejores y más caras aplicaciones en la infraestructura de seguridad es imposible tener 100% de seguridad, sin importar lo que declare cualquier fabricante de software o hardware en sus campañas de mercadotecnia.
Richard Neeb define siete amenazas y riesgos más comunes para las empresas:
1. Causas naturales: terremotos, tempestades, inundaciones, etcétera.
2. Accidentes industriales: incendio casual, explosión, derrumbe, presencia de gases tóxicos, etcétera.
3. Agresión externa: incendio intencional, explosión por bombas o amenazas de bombas y explosivos, daño intencional a estructuras o instalaciones, etcétera.
4. Acción interna: sabotaje, trabajo lento, hurto hormiga, filtración de información, etcétera.
5. Pérdida patrimonial: estafa o fraude (externo o interno), robo y asalto, espionaje industrial, etcétera.
6. Problemas de personal: desafección, alcoholismo, drogadicción, adicción a los juegos de azar, ausentismo laboral, etcétera.
7. Acciones contra el personal: chantaje, amenazas anónimas, secuestros (de empleados o sus familiares), etcétera.
Las amenazas virtuales no modifican estas causas, pero Internet agrega un nuevo medio en la forma de dañar con nuevos sucesos virtuales que permiten que en forma involuntaria, deliberada o fortuita se presente un incidente que ponga en riesgo la valiosa información de la empresa.
Si se considera que la información carece de valor, piense qué podría hacer un competidor si conociera detalles de su negocio como: contactos, planes de trabajo, nuevos productos, agenda de empleados; pueden ser de sumo valor para sus competidores. Y todo ello puede encontrarse en sus cuentas de correo electrónico, servidores en Internet.
El cibercrimen
En su conferencia “El lado criminal del hackeo”, Brian Hoffstadt, que es asistente a la oficina del fiscal de Estados Unidos para la sección de cibrecrimen y delitos de propiedad intelectual, definió las amenazas que existen en Internet: ataques de negación de servicio, gusanos y virus, daños intencionales (eliminación de información, amenazas de daño a computadoras con intención de extorsionar).
Entre las acciones que persiguen se encuentra el robo de información, manipulación de información que en muchos casos es para cometer un fraude, secuestrar computadoras para hacer SPAM y otras actividades delictivas que pueden llegar a acciones terroristas, ataques a otros equipos y acciones fraudulentas como el robo de identidad, información financiera y de contactos, entre otros.
Fred Moore de Horison compartió con eSemanal, cifras de la verdadera magnitud del problema: 80% de los correos electrónicos son SPAM mientras que la Universidad de Maryland estima que en Estados Unidos el impacto en la productividad perdida por el spam costó en 2004 nada menos que $21,000 millones de dólares.
Mientras tanto, AOL expone que todos los días bloquea cerca de 12,000 millones de mensajes spam. Lo más sorprendente es que 40% de este spam proviene de computadoras secuestradas.
Una encuesta del FBI estima que los virus costaron en el 2004 un estimado de $17,500 millones de dólares. Pero a esto se debe también sumar que anualmente los consumidores norteamericanos pierden $5,000 millones de dólares y a los negocios $48,000 millones.
Lo peor es que hasta 80% de los casos no llegan a ser denunciados. Al respecto de estas pérdidas, Erik Laykin comentó: “este no es dinero que sale de una cuenta secreta del gobierno” y agregó “es pagado por todos, en tasas de interés más altas, primas de seguros más caras y alza en los precios de productos y servicios, lo que hace que estos daños sean muy tangibles”.
Los crímenes se extienden a la propiedad intelectual, donde Internet es usada como un medio para almacenar y/o transferir material protegido por derechos de autor (música, películas, fotografías y todo tipo de materiales).
¿Quién?
Con respecto al perfil de estos delincuentes, Hoffstadt compartió con los asistentes los perfiles de los que buscan información y cometen ataques dirigidos a dañar las computadoras: exempleados, activistas hackers, extorsionistas, hackers sofisticados y expertos que son empresarios y personas de negocio.
Con el fin de contar con los elementos para tomar una acción legal, explicó en entrevista con este semanario que lo más complicado en una investigación es encontrar a los infractores. Por lo que es necesario llevar registros de entrada y salida de los empleados, así como de los contratistas, almacenar registros del firewall, registros del sistema operativo y documentar la respuesta porque “desde nuestro ángulo, más cooperación es que tengamos mejor cooperación”.
¿Por qué a mí?
La primera pregunta que se realiza cualquier organización que es víctima de un delito en Internet, es por qué les sucede a ellos. Al respecto de esta importante respuesta Larry Detar, consultor senior de redes de seguridad de Clifton Gunderson Technologies Solutions, expuso en su conferencia “Riesgos de seguridad y prevención para finanzas, canal, e industrias del gobierno”, contundentes razones: en muchas ocasiones el éxito de estos ataques tiene que ver con serias fallas dentro de la misma organización.
Detar expuso cuatro elementos internos, fallas que los ciberciminales aprovechan para lograr sus objetivos: cultura organizacional; asesoría inadecuada; ausencia de documentación y políticas de seguridad; y falta de monitoreo.
En lo que respecta a la cultura organizacional, en la parte administrativa un pensamiento de “enséñame el dinero”, cambios constantes de la administración y la competitividad por ser el líder obligan a un entorno poco estable.
Mientras que los empleados cuentan con una postura que tampoco favorece la seguridad al tratar de preservar el empleo: evitan hacer cualquier crítica u observación que no sea su trabajo y manteniendo una postura “política” con sus superiores, donde el jefe siempre está en lo correcto –y jefes que lo fomentan– para mantener una postura de compañerismo donde se esconden los errores y fallas. Todo ello, expuso Detar, obliga a que primero sean el dinero y las apariencias, y la seguridad es la que se sacrifica.
Otro problema serio es el uso del personal de sistemas y que asesora a la empresa. En muchos casos el trabajo de estos departamentos es cambiar equipos, preparar impresoras, ayudar en una presentación a la secretaria de un director, dejando poco o ningún tiempo para dedicarlo a mantener la seguridad de la información de la empresa. Todos los días se informa de nuevas vulnerabilidades, virus y herramientas de hackeo y este personal nio se entera.
En lo que respecta a la documentación y políticas de seguridad, se debe empezar por cuestionar cuántas empresas realmente tienen alguna y, lo más importante, la mantienen actualizada cuando todos los días el entorno cambia. Es necesario actualizarla en forma constante,
Mantener una vigilancia permanente es una necesidad pero en muchas ocasiones el miedo a la molestia de clientes o sanciones por desconocimiento, hacen que sea sencillo evitarla. Pero en el momento de buscar a un criminal, ésta es precisamente una de las herramientas necesarias para localizarlo y demostrar sin dejar lugar a duda razonable que cometió un delito.
Todo esto hace que cualquiera encuentre fácilmente una falla que puede explotar en su beneficio; la existencia de estos problemas de seguridad son responsabilidad de la empresa.
Empresas que son lentas en adoptar tecnologías más seguras y nuevas, lentas en reaccionar a las amenazas con instalaciones físicas y de sistemas inseguras con una inadecuada seguridad virtual y física de su información, son víctimas fáciles para los delincuentes. Es como dejar abiertas puertas y ventanas y un letrero que diga “se regala dinero”. Siempre existirán quienes a cualquier costo buscarán obtener la información, “pero se debe hacer lo posible por hacerlo imposible”.
Prevención
Para alcanzar la seguridad se requiere de la suma de los esfuerzos de todos los integrantes de una organización, porque uno a uno somos vulnerables, pero juntos somos invencibles.
Entre las medidas preventivas que Hoffstadt recomendó se encuentra: mantener actualizados el sistema operativo y todo el software, firewalls, restringir el acceso inalámbrico y remoto, instalar filtros para correos, gusanos, virus (antivirus, antispam), así como revisar los antecedentes de los empleados, darles entrenamiento, monitorearlos y advertirles que están siendo monitoreados, restringir el acceso a la información y proporcionar sólo lo que se necesita saber, implementar medidas de seguridad física (como cámaras de video) y controles de acceso, así como tener un procedimiento para cuando se termina una relación laboral con un empleado.
En una conversación, Erik Laykin, director de la División Infragard del FBI, explicó que “muchas empresas instalan un firewall y con esto ya se sienten protegidas, pero la metodología apropiada es un acercamiento integral de procesos de negocio, políticas, componentes humanos y de educación”.
Por su parte, Detar expuso un programa de prevención de tres pasos ACT (actúa) que es acrónimo de Awareness (conciencia), Comprehension (conciencia) y Training/Testing (entrenamiento y prueba). Y enfatizó que para tener una empresa que previene problemas de seguridad, uno debe actuar no reaccionar a las amenazas. Comentó: “para un hacker cualquier reto, es una invitación para destacar por lo que no tengo ningún mensaje para ellos”.
Laykin: “el sheriff está en la ciudad, la policía está formada y vamos a atraparlos. Los días de la libertad radical y criminal están contados, con el tiempo será más difícil para ellos operar libremente y mi palabra es que vamos a atraparlos”.

Publicaciones relacionadas

Mira también
Cerrar
Botón volver arriba
Share via
Copy link
Powered by Social Snap