Empleo
El clima de inseguridad que se respira en los últimos meses a raíz de la proliferación de virus informáticos, el acceso a sistemas de información por personas no autorizadas, los fallos de seguridad de algunas de las aplicaciones de software más conocidas y los atentados del 11 de septiembre pasado, que ahora cumplen un año, han disparado la alarma respecto a la fragilidad de los datos personales y empresariales. Tomar conciencia y crear una política de seguridad preventiva de acuerdo con las normas son las dos grandes recomendaciones para evitar ataques y pérdidas.
El nivel de seguridad informática en las empresas españolas no es demasiado alentador. Así lo muestra el estudio de la Asociación Española para la Dirección Informática (AEDI) elaborado durante el pasado mes de marzo sobre un universo de 283 empresas españolas de distinto tamaño; desde pymes hasta grandes corporaciones.
Pese a que el 74% de las compañías son conscientes de que no podrían sobrevivir más de cuatro días sin sus ordenadores, apenas el 19% difunde su política de seguridad de la información entre todos los niveles de la organización (una medida imprescindible); el 66% carece de metodologías para el control de alertas de seguridad; y el 60% no dispone de procedimientos de seguridad en sus sistemas tanto de hardware como de software. Además, el 69% de las empresas no contempla ninguna cláusula relativa a la seguridad de la información en los contratos laborales, un 20% no aplica o no conoce el nivel de seguridad que tiene que implantar según la Ley Orgánica de Regulación de Tratamiento de Automatizado Datos de Carácter Personal (LORTAD) y el 57% no tiene repartidas las responsabilidades personales derivadas de esta ley.
El estudio también afirma que la gran parte de estas empresas se preocupa por los aspectos más tradicionales de la seguridad informática, como el control de acceso, tener los antivirus a punto y efectuar backups (copias de seguridad) regularmente, prestando mucha menos atención a otro tipo de medidas como las auditorías o la detección de intrusos. Asimismo, los altos directivos de las empresas no parecen muy concienciados en este aspecto. Aunque el 86% de los responsables informáticos se muestra muy preocupado por la seguridad de sus sistemas, esta cifra desciende hasta el 41% cuando se inquiere a la dirección general. No obstante, el 76% de todos ellos duerme tranquilo al creer contar con personal suficientemente cualificado.
La realidad es que los ataques e incidentes relacionados con la seguridad de la información han seguido una tendencia alcista imparable en los últimos años. Para prevenirlos o para recuperarse de ellos las entidades europeas invertirán cerca de 4.000 millones de dólares en 2004, según datos de la consultora IDC.
Las cuestiones relativas a este tema empezaron a despertar interés en la década de los ochenta, aunque de una forma bastante básica. Sólo se tenían en cuenta las vulnerabilidades físicas de los sistemas y, por tanto, trataban de salvarse exclusivamente los datos corporativos. En los noventa se da un paso más al empezar a distinguirse las amenazas internas y externas, pero la seguridad sigue tratándose como un aspecto a abordar de forma reactiva, donde las empresas y particulares esperan a que se produzca el problema para después paliar sus efectos. Con el nuevo siglo se ha producido un cambio en la sensibilidad de esta problemática, introduciéndose el análisis de riesgos y vulnerabilidades, la monitorización de las redes y la recuperación de incidencias.
Blindaje de puertas abiertas
Los responsables de tecnología y, cada vez más, la alta dirección de empresas, organizaciones e instituciones públicas, se preguntan: ¿existe una tecnología que proteja totalmente los sistemas de información?, ¿hasta dónde debe invertir una empresa en seguridad? y ¿qué sistemas proporcionan confianza a los clientes? Quizás, la cuestión que resume las anteriores es: ¿qué sistema de seguridad requiere mi empresa?, se interroga José Manuel Cea, director general para España y Portugal de la compañía israelí Check Point, uno de los pesos pesados de la industria de la seguridad informática.
Según José Manuel Cea, se escribe mucho sobre protección de datos y todavía se sigue sin prestar atención a tres premisas fundamentales que son la piedra angular del concepto: la seguridad ha de ser proporcional al valor de lo que se quiere proteger; el nivel de seguridad de un sistema se mide siempre por su flanco más débil; y, por último, la protección no ha de implicar un menor rendimiento.
Ante la pregunta de cuánto debe invertir una empresa en seguridad, Cea manifiesta que no hay una respuesta única, ni siquiera un mínimo o un máximo. El importe depende siempre del valor de lo que se esté asegurando y del compromiso que la empresa haya adquirido con sus clientes. Está claro que una pyme que utiliza Internet para comunicarse con sus clientes y proveedores e, incluso, para hacer o recibir pedidos, no puede implementar un sistema similar al de un banco on-line, pero esto mismo sucede en el mundo off-line, explica Cea. Por otra parte, según su opinión, la seguridad de las tecnologías de la información es un área en el que la política general ha de venir marcada por la alta dirección, al igual que sucede con el servicio de seguridad física. Si, normalmente, es la cúpula directiva de una empresa quien decide si el equipo de vigilantes físicos se integra en plantilla o se subcontrata, lo mismo ha de suceder con la seguridad de los sistemas, detalla.
El núcleo de los negocios pasa por la tecnología y ésta debe estar a salvo de filtraciones y manipulaciones de cualquier tipo. Las noticias sobre vulnerabilidades generalmente se restringen al ámbito de la divulgación de datos no autorizada. A lo que Cea añade: Sin embargo, la seguridad es mucho más que confidencialidad; también es control, integridad, autenticidad, disponibilidad, rendimiento y, en definitiva, un factor crítico que debe estar presente en la estrategia de marketing de cualquier negocio. Virus, gusanos y demás pesadillas
En marzo pasado se cumplió el tercer aniversario de la propagación del virus Melissa, cuya aparición marcó un antes y un después en la historia de estos códigos maliciosos. Hasta entonces pocos virus o gusanos se habían reproducido con tanta rapidez y afectado a tantas corporaciones y usuarios. A la gran repercusión obtenida por Melissa se suma el hecho de haber sido el iniciador de una tendencia continuada por virus como I Love You, Sircam o Nimda, a los que cada día se suman nuevos ejemplares que, al igual que su antecesor, tienen como principal objetivo difundirse al mayor número de equipos.
Melissa era un virus para Word con características de gusano gracias a su habilidad para autoenviarse, adjunto a un mensaje de correo electrónico, a los 50 primeros contactos de la libreta de direcciones de Outlook del ordenador al que afecta. Esta técnica, que desgraciadamente hoy es muy habitual, tiene su origen en este virus que, en apenas unos días, protagonizó uno de los casos de infección masiva más importantes de la historia de los virus informáticos. De hecho, compañías de la talla de Microsoft, Intel o Lucent Technologies tuvieron que bloquear sus conexiones a Internet debido a la acción de Melissa, comentan desde la dirección de comunicación de Panda Software, una de las principales creadoras de antivirus del mercado.
Pero hasta la fecha ningún virus ha superado el daño económico causado por I love you. Según la consultora Computer Economics, la infección difundida en mayo de 2000 se tradujo en pérdidas por valor de 10.000 millones de euros. Ni siquiera Red Code y Sircam que el pasado año tuvieron un impacto de 2.970 y 1.304 millones de euros, respectivamente han logrado superar a este gusano que, sin duda, ocupa un lugar destacado en la historia de las infecciones informáticas.
En tan sólo unas horas, I love you, también conocido como VBS/LoveLetter, y sus variantes se propagaron como la pólvora y consiguieron infectar más de tres millones de ordenadores. Entre las razones que explican su gran difusión destaca su éxito en la aplicación de lo que se llama ingeniería social. Con el objetivo de que el usuario abriese el mensaje que lo contiene, I love you se servía de ganchos vinculados a las relaciones amorosas que consiguieron engañar a miles de personas. Hoy, dos años después de su aparición, siguen proliferando nuevos virus. A las artimañas empleadas por el famoso gusano (ingeniería social, capacidad de propagación) se suman el aprovechamiento de vulnerabilidades en los programas de uso habitual, y todo apunta a que en el futuro evolucionarán, en cuanto a la búsqueda de nuevas vías de infección se refiere. Por ello, es necesario no bajar la guardia ante esta amenaza y proteger los equipos mediante la adopción de medidas de seguridad.
En el año 2001 se consolidó esta tendencia de los virus a aprovecharse de vulnerabilidades existentes en programas de uso habitual, siendo dos claros ejemplos Code Red y Nimda. El primero era capaz de propagarse a gran velocidad sin dejar ningún rastro en los medios de almacenamiento tradicionales. Por su parte, Nimda se transmitía por correo electrónico utilizando una vulnerabilidad en el navegador Internet Explorer 5 y en los clientes de correo Outlook y Outlook Express.
Seguridad biométrica: los rasgos no engañan
Cada individuo posee rasgos distintivos únicos como las huellas dactilares, el iris, la palma de la mano, el dibujo de los dedos, la forma de la cara, las características de la voz y otros rasgos genéticos. La biometría utiliza esas características para identificar a las personas. Su aplicación resulta de gran utilidad como medida de seguridad a fin de ofrecer o denegar el acceso a instalaciones o a sistemas de información. Así, solamente la persona autorizada podrá entrar en el ordenador correspondiente con totales garantías.
La biometría es una tecnología basada en el reconocimiento de un rasgo corporal que identifica a las personas en función de quiénes son y no de lo que traen consigo, ya sean tarjetas, llaves o credenciales, o de lo que pueden recordar, como claves personales de identificación. De este modo, determinadas partes del cuerpo se convierten en el equivalente a la clásica contraseña. Así, los sistemas biométricos analizan un rasgo determinado de la persona y lo comparan con los archivos digitales que previamente han sido grabados en su memoria para confirmar su identidad. Las aplicaciones más frecuentes se dan en medios de pago (tarjetas o transacciones), control de acceso físico a locales, sistemas antirrobo de automóviles, acceso a ordenadores, pruebas judiciales y documentos de identidad, entre otros.
Según la consultora IDC, el mercado de la tecnología biométrica superó los 118 millones de dólares en 2000 y crecerá a un ritmo del 50% en los próximos cinco años. Este boom está ligado a varios factores. En primer lugar, al aumento de las transacciones comerciales a través de Internet y al incremento del número de usuarios que requieren acceso a redes. La comodidad también es un aspecto a tener en cuenta: al utilizar sistemas biométricos, los usuarios evitan problemas como la duplicación, el robo, la pérdida o el olvido de contraseñas.
Pero el uso de estos procedimientos también ha crecido por motivos concretos. La demanda de técnicas de reconocimiento facial, por ejemplo, se disparó en Estados Unidos tras los atentados del pasado 11 de septiembre de 2001. Gracias a ellas la policía y el FBI escanearon las caras de miles de pasajeros para, posteriormente, compararlas con las fotos de posibles criminales en sus archivos. Tal demanda de las aplicaciones biométricas ha aumentado espectacularmente después de los ataques terroristas de Nueva York y Washington. Los países que no dispongan de estos medios en sus cuerpos de seguridad corren el riesgo de quedarse aislados en cuanto a intercambio de información, explican desde Advanced Software Technologies, una firma especializada en soluciones de procesamiento de imágenes dactilares que ha colaborado en diversos proyectos (DNI digital o fichas policiales) con los cuerpos de seguridad españoles y varios países de América Latina.
Otras iniciativas que van ganando terreno en el mercado son la implantación de sistemas biométricos en dispositivos personales. En este sentido, el fabricante de ordenadores Acer ha lanzado nuevos portátiles que incorporan un sensor dactilar en el propio teclado del equipo para impedir el acceso a usuarios no registrados. Estos sistemas son mucho más fiables que las contraseñas, ya que se basan en el reconocimiento del patrón humano de una parte del cuerpo con características únicas. No requieren recordar datos que pueden olvidarse o perderse, explica Cecilia Oxandabarat, directora de marketing de Acer.
El fabricante japonés OKI también ha desarrollado varios dispositivos biométricos para identificar a los usuarios con una unidad individual de verificación del iris que se puede conectar a cualquier ordenador. Igualmente, IBM España ha anunciado hace poco tiempo la creación de tres nuevas áreas de negocio entre las que se incluye la de seguridad de las personas. En ella desarrollan soluciones de identificación biométrica para, por ejemplo, el control de acceso a edificios.
Seguridad informática y legislación
En España, el derecho a la protección de datos está reconocido como un derecho fundamental independiente por el Tribunal Constitucional desde 2000 (hasta entonces era un apéndice del derecho a la intimidad) y, como tal, está legislado por una de las normas más protectoras del mundo (Ley Orgánica de Regulación de Tratamiento Automatizado de Datos de Carácter Personal o LORTAD). Las empresas han tenido que hacer un esfuerzo para cumplir con la normativa, puesto que el pasado 26 de junio venció el plazo para adoptar las medidas de seguridad destinadas a proteger los datos personales más delicados: ideología, religión, etnia... Esta información entra en el apartado de datos especialmente protegidos, por lo que todas las empresas deben asegurarse de que tal información se cifre siempre que se haga una transferencia o envío. Al mismo tiempo, se debe mantener una copia de seguridad de todo ello fuera de los locales donde se almacenan los originales. Con esta medida se completan todas las normas de seguridad para el almacenamiento de datos, cuyas categorías inferiores para archivos con información menos delicada están reguladas desde hace más de dos años. La cuestión es que veinte días antes de que se cumpliese el plazo para adoptar dichas medidas de seguridad, el Consejo Superior de Cámaras de Comercio advertía que el 95% de las pymes españolas aún no había dado de alta sus ficheros en la Agencia de Protección de Datos (APD), como exige la LORTAD. Según datos de las Cámaras, tan sólo 167.147 empresas con actividad privada cumplen esta normativa, que obliga a registrar en la APD todas aquellas bases de datos que contengan información de carácter personal como ficheros de clientes o, incluso, las nóminas de los empleados. A la luz de estos porcentajes, esta entidad alertaba a principios de junio a las pymes españolas, ya que el incumplimiento de la normativa puede acarrear graves sanciones que oscilan entre los 60.000 y los 600.000 euros.
Por otra parte, el año pasado 14 países (España entre ellos) acordaron unos criterios comunes para normalizar lo que se entendía por seguridad informática. Se trata de sugerencias que ayudan a desarrollar las pautas de evaluación para obtener los distintos sellos de calidad y las variantes de ISO para la seguridad informática. Desde AENOR aseguran que todavía no se están aplicando, pero estos criterios comunes han sido recomendados oficialmente por el Consejo de la Unión Europea para que se adopten en la realización de evaluaciones en toda la UE.
En Estados Unidos, a raíz del 11 de septiembre pasado, la Administración Bush ha ido aprobando una serie de medidas para que las compañías no descuiden sus sistemas. La posición del Gobierno se ha visto rápidamente reflejada en medidas adoptadas por otros organismos. El más llamativo ha sido el Nasdaq, que está obligando a las empresas que en él cotizan a que tengan a disposición de sus accionistas un informe de auditoría de sus sistemas de forma regular. La Bolsa de Londres ha imitado la medida, mientras que en España la Comisión Nacional del Mercado de Valores asegura que todavía no ha incluido una condición de este tipo para estar en cualquiera de los parqués españoles.
Consejos para mantener los sistemas limpios de virus
- Utilice un buen antivirus y actualícelo frecuentemente.
- Compruebe que su antivirus incluye soporte técnico, resolución urgente de nuevos virus y servicios de alerta.
- Asegúrese de que su antivirus esté siempre activo.
- Verifique, antes de abrir, cada nuevo mensaje de correo electrónico recibido.
- Evite la descarga de programas de lugares no seguros en Internet.
- Rechace archivos que no haya solicitado cuando esté en chats o grupos de noticias.
- Analice siempre con un buen antivirus los disquetes que vaya a usar en su ordenador.
- Retire los disquetes de las disqueteras al apagar o reiniciar su ordenador.
- Analice el contenido de los archivos comprimidos.
- Manténgase alerta ante acciones sospechosas de posibles virus.
- Añada las opciones de seguridad, de las aplicaciones que usa normalmente, a su política de protección antivirus.
- Realice periódicamente copias de seguridad.
- Manténgase informado.
- Utilice siempre software legal.
- Exija a los fabricantes de software, proveedores de acceso a Internet y editores de publicaciones que se impliquen en la lucha contra los virus.
Fuente: Panda Software, 2002.