“La inversión en seguridad informática de las empresas menos comprometidas no supera el 1% de sus utilidades”
La masificación y el avance de las comunicaciones, la informática y el uso de Internet, junto con entregar un sinnúmero de beneficios, dan cabida a un nuevo tipo de delitos cada vez más numeroso y sofisticado que se engloban bajo el concepto de “cibercrimen”. Así lo demuestran las cifras, que constatan un incremento de 1.200 a 14 mil ataques diarios a nivel nacional en el período 2002-2004. Si a esto sumamos que para el año 2010, de acuerdo a proyecciones de Forrester Research, existirán 14.000 millones de dispositivos de Internet en el mundo, las probabilidades de ataques crecen de manera alarmante.
¿Cómo han evolucionado los ataques en cuánto a sofisticación?
Su evolución se ha producido tanto desde un punto de vista técnico, en el sentido de las herramientas automati-zadas que emplean, como de la capacitación y nuevas habilidades de los delincuentes informáticos. Actualmente, éstos tienen más conocimientos y tecnología de apoyo para llevar a cabo sus actividades, a lo que se suma la masificación de Internet, que permite que cada vez más personas y organizaciones estén conectadas, pudiendo explotar sus vulnerabilidades. También observamos una transición desde ataques de tipo general a particular, es decir, desde abordar las vulnerabilidades integrales de una empresa a explotar principalmente aquéllas particulares, entrando a la red por un determinado puerto o servicio.
¿Qué tipos de delitos son los más comunes hoy?
Los ataques de negación de servicio, DoS, que apuntan a colapsar sitios, correos electrónicos o servicios de empresas; el spyware y el “robo” de información. Sin embargo, el principal riesgo lo constituye el factor humano al interior de las organizaciones. Una estadística decidora es que el 80% de los ataques y fraudes son internos, mientras sólo el 20% restante proviene del exterior, siendo la interacción humana un aspecto crítico en relación a este tipo de amenazas, donde impera el abuso de confianza.
Muchos usuarios, al no tener conciencia respecto a la importancia de los datos o al carecer de capacitación, pueden ocasionar, por ejemplo, la pérdida o filtración de información, siendo por esto tan relevante la educación. Además, para aquellos empleados que actúan intencio-nalmente es más fácil, porque conocen el flujo de datos y el valor de éstos en manos de terceros y se sienten protegidos respecto a la estrategia de seguridad, orientada generalmente sólo a ataques externos.
Finalmente, no se puede descartar el consumo excesivo de pornografía vía Internet y la distribución de pornografía infantil, figura tipificada en la Ley 19.927 de Enero del 2004, que sanciona severamente dichas conductas, que realizan estos criminales desde cualquier lugar con un alto nivel de crecimiento desde el interior de las empresas, desde donde hace uso de recursos comprometiendo la organización.
¿El phishing no figura entre las principales amenazas?
En Chile el phishing principalmente ha operado instalando servidores que simulan bancos extranjeros y otros que envían correos falsos con links que simulan sitios legítimos de entidades comerciales nacionales e internacionales. Aquí existe una dificultad legal, ya que por lo general no afectan a clientes chilenos, por lo que nuestro trabajo sólo puede llegar a una fase investigativa primaria. En tanto, a nivel de las amenazas y simulaciones locales, estamos en proceso de investigación.
¿Cuáles son los sectores empresariales más ‘atacados’?
El target depende de distintos factores propios de quien realiza el ataque, como nivel de conocimiento, edad y si actúa solo o es parte de una asociación ilícita. También hay que distinguir cuál es su finalidad y, en el caso de delincuentes que buscan el lucro, evidentemente su foco de ataque son las entidades financieras, sector donde tratan de explotar sistemas informáticos o medios de pago, entre otros aspectos.
¿Estamos dotados de una legislación acorde a esta nueva criminalidad?
A nivel regional, somos uno de los países pioneros en contar con una legislación en el área. Por una parte, existe la Ley 19.223 que tipifica y sanciona los delitos informáticos, además de otras normativas que protegen la privacidad de la información y garantizan la inviolabilidad de las comunicaciones. Asimismo, está la Ley de Firma Digital, que valida los documentos electrónicos y establece la responsabilidad legal de quienes la usan. Entonces, desde un punto de vista normativo y también tecnológico, se puede decir que estamos avanzados.
¿Qué carencias se observan en las políticas corporativas de seguridad?
Pese al exponencial incremento de los ataques de hackers registrado en el país desde el 2002, las empresas están recién tomando conciencia, capacitándose e incorporando tecnologías en el ámbito, siendo su inversión en seguridad informática no superior al 1% de sus utilidades.
Ahora, para contar con un sistema sólido no debe fallar ningún componente o subsistema de éste, por eso cuando se evalúa una estrategia de seguridad ésta debe ser integral. Un aporte, en este sentido, es incorporar sistemas de gestión en el área basados en estándares reconocidos a nivel mundial, como ISO/IEC 17799, entrenamiento y Certificaciones CISSP y CSIRT y diplomados en Seguridad en universidades. Otro aspecto importante es considerar las metodologías usadas, por ejemplo, en Estados Unidos, donde se potencia mucho la certificación de empresas, el uso de políticas y donde ya se ha concretado el concepto de “oficial de seguridad”.
Y a nivel de WLAN, ¿la des-protección es mayor?
Como brigada hemos realizado estudios respecto a las tecnología 802.11x, 802.13 y 802.16, constatando que más de un 65% de las redes ina-lámbricas que se instalan son implementadas por defecto, es decir, con un bajo nivel de seguridad, siendo muy débiles en cuanto a la autentificación de los usuarios y protocolos.
Dada la ubicuidad de Internet y la masificación del e-mail y los dispositivos móviles, es previsible que los crímenes informáticos apuntarán a explotar las vulnerabilidades de estos sistemas de comunicaciones, por lo que la preparación en metodologías de seguridad es fundamental.
Mayo de 2005
