¡Alerta!: Información en peligro

Parecía una simple noticia de farándula holliwoodense: a comienzos del 2005 se empezaron a difundir fotografías y videos ¿algunos de ellos comprometedores¿ de la ¿cantante¿ Paris Hilton, tomados con un celular Sidekick II, así como la información de contacto de sus amigos de la farándula. Pero no se trataba de un ex novio que con deseos de venganza buscaba avergonzar a la millonaria, ni tampoco de un ladrón de teléfonos que hubiera logrado su cometido.

Se logró establecer que un hackers habían vulnerado la seguridad del operador móvil T-Mobile para acceder a la información que su clienta almacenaba en sus servidores por medio de un servicio de sincronización de datos. Nunca se supo cómo obtuvieron la contraseña de la afectada. Del hecho farandulero se pasó al temor de que la información de miles de usuarios de T-Mobile y otros operadores estuviera al alcance de ciberdelincuentes.

Al final no pasó nada con la ¿actriz¿, quien probablemente se benefició al recibir más publicidad en los medios. Pero no siempre las consecuencias de una pérdida de información son tan inocentes. En Brasil, la petrolera estatal Petrobras estaba de fiesta en febrero cuando anunció que había hecho dos grandes descubrimientos cerca de Rio de Janeiro, que convertirían al país en uno de los principales exportadores de petróleo y gas natural del mundo. Pero la fiesta se convirtió en pesadilla cuando la propia empresa reconoció públicamente que le habían robado dos portátiles y un disco duro con importante información confidencial.
Lo más grave vino después, cuando se pudo establecer que el robo lo realizó gente de Halliburton, la mayor empresa de transporte y servicios petroleros del mundo y que trabajaba para Petrobras. Un trabajador violó los cerrojos que protegían equipos con información reservada, y robó justo la información relacionada con los nuevos yacimientos.

El presidente Luiz Inácio Lula da Silva calificó la información perdida como  ¿un secreto de estado¿, y ordenó acelerar la investigación a partir de varias hipótesis: que se trataba de un simple robo de los equipos (muy improbable), que se trataba de un ¿trabajo¿ de un servicio secreto extranjero, y que fue un caso de espionaje industrial por parte de una gran petrolera rival de Petrobras.

Aunque la compañía brasileña tenía copias de respaldo de la información y no perdió ningún dato, el daño ya estaba hecho: enemigos tienen, en algún lugar del mundo, información que podrían utilizar para atacar sus intereses o para tomar medidas competitivas para vencerlo en algunos negocios.

En Colombia también hay casos documentados de pérdida o robo de información ¿aunque la mayoría no se reporta ni se denuncia a las autoridades, por temor a las consecuencias de hacer públicos estos hechos¿. Un caso que sorprendió al país fue el de investigación de la Fiscalía al ex director del DAS, Jorge Noguera, a quien acusa, con base en declaraciones del ex jefe de informática de la entidad, Rafael García, de haber favorecido a algunos paramilitares hacia el  2005, entre otras cosas dándoles discos duros con información reservada sobre personas con antecedentes judiciales vinculadas a las Farc. Además, también lo investiga por el borrado intencional de archivos de órdenes de extradición de paramilitares.

Al otro lado del charco, en Inglaterra, la Navidad pasada fue un poco angustiosa para 25 millones de ciudadanos: dos discos duros, en los que se almacenaban datos bancarios y personales de gran parte de la población, se perdieron en extrañas circunstancias.

Se culpó de la pérdida ¿que no se consideró un robo¿ a la compañía de transportes que trasladaba estos discos entre diferentes entidades públicas. Ante la alarma social, el ministro de Economía salió al paso a decir que la información estaba protegida por contraseñas y que no había caído en manos de delincuentes. Esto calmó las cosas un poco, pero los ciudadanos y las autoridades debieron reforzar todas las medidas preventivas ante posibles fraudes electrónicos y otros riesgos.

Todos estos casos parecen muy lejanos, pero los riesgos para la información personal o empresarial están más cerca de lo que se cree. Basta con recordar la ola de fraudes electrónicos iniciada a finales del 2006, cuando delincuentes, aprovechando la fusión entre Bancolombia y Conavi, inundaron las cuentas de correo de millones de colombianos con mensajes falsos en los que los llevaban a digitar sus datos y contraseñas en sitios fraudulentos que simulaban ser del banco y por supuesto, a ver cómo sus cuentas eran desocupadas.

Cientos de casos de ¿phishing¿ se reportaron a Bancolombia ¿varios de ellos también llegaron a la redacción de ENTER 2.0 y El Tiempo¿, por parte de los mismos afectados, pero a pesar de la difusión en los medios y por parte de los propios bancos, es un delito que sigue ocurriendo y evoluciona.

Recientemente, los mensajes fraudulentos dejaron de imitar solamente a los bancos, y ahora también circulan correos que supuestamente provienen de almacenes, universidades y Eltiempo.com, los cuales en realidad incluyen archivos anexos que al ser instalados en los computadores de los usuarios, hacen que queden vulnerables a cualquier tipo de ataque o robo de información.

¿Qué pueden hacer las empresas, o qué puede hacer usted, para resguardar su información más preciada? ¿Instalar un arsenal de herramientas de seguridad informática? ¿O, acaso, aislarse del mundo y eludir el uso de Internet, los computadores o los celulares? ¿O quizás tomarlo con calma y creer que esas cosas solo les pasan a las personas más descuidadas o las que tienen mucho dinero? En las próximas páginas le presentaremos un panorama de la situación, algunas pautas que expertos en la materia le sugieren para seguir viviendo en un mundo conectado y estar más protegido ante los variados riesgos, así como una muestra del arsenal de herramientas disponibles.

La protección: más que herramientas.

La creciente cantidad y variedad de amenazas a los datos ha hecho que surjan nuevas medidas y herramientas de seguridad. Katie Curtin-Mestre, directora de mercadeo de productos de seguridad de la firma RSA, estuvo en Colombia presentando productos y servicios de protección, y le dijo a ENTER 2.0 que ¿ha surgido una nueva categoría en prevención de pérdidas de la información, llamada DLP (Data Loss Prevention: Prevención de Pérdida de Datos)¿. Se trata de una tecnología diseñada para proveer políticas que les permitan a los usuarios en las empresas descubrir y monitorear información crítica, y aplicar las medidas adecuadas para asegurarla.

Sin embargo, la visión de RSA, la división especializada en seguridad de la gigante del almacenamiento EMC, va más allá de las herramientas. Jorge Cortés, gerente de RSA en la Región Andina, destaca que la labor de firmas  como la suya debe empezar por enseñarles a las empresas a manejar la información. ¿Muchas organizaciones no pueden proteger sus datos porque ni siquiera saben dónde están, y no se puede proteger lo que no se ha podido administrar¿, afirma.

Según Cortés, un primer paso en el camino hacia la protección es establecer en qué equipos o redes reside la información, para luego clasificarla según su importancia ¿ultrasecreta, importante, pública, etc.¿. A partir de allí las empresas deben definir políticas de seguridad, que van desde temas tan generales como exigir que todo el software instalado en los equipos sea legal y que debe haber siempre un responsable de la seguridad de la información, hasta detalles como que los portátiles de los gerentes manejen software de encripción o que ciertos documentos no puedan imprimirse desde ningún equipo.

¿Las políticas ya no se centran en los equipos y dispositivos, sino en los diferentes tipos de información¿, añade Cortés. A partir de estas políticas se implementan las herramientas de seguridad, que van desde el tradicional antivirus hasta sofisticadas aplicaciones de evaluación de riesgos, monitoreo de redes y control de contenidos, entre otras.

Carlos Álvarez, abogado en derecho informático y propiedad intelectual, y experto en temas de seguridad informática, complementa estas afirmaciones con su visión de que no todo hay que protegerlo. ¿La información debe ser protegida en la medida en que su dueño (una persona o una empresa) estime que tiene un valor determinado. No tiene sentido proteger la información simplemente por protegerla, cuando ni siquiera se sabe cuál es su valor (que no necesariamente es económico)¿.

Álvarez añade que después de establecer los riesgos, se deben evaluar las probabilidades de concreción de dichos riesgos y cuáles son las medidas de seguridad que se deben implementar para reducirlos hasta un nivel aceptable. Y todo esto aplica no solo para empresas, sino también para usuarios personales: ¿En el hogar, la información almacenada en computadores, celulares y otros dispositivos debe ser protegida con el mismo celo con el que un padre de familia responsable protege la intimidad de los suyos; así como no deja abierta la puerta de la casa y siempre cierra su carro con seguro, debe proteger los datos de su familia¿, añade el experto.

Los ejecutivos de RSA señalan que las pérdidas de la información podrían evitarse en la mayoría de los casos, y destacan que el 80 por ciento de los datos perdidos en computadores  es accidental, mientras que solo un 20 por ciento es causado por ataques. ¿El problema es que la mayoría de la información perdida por fallas técnicas o errores de usuario no es relevante, mientras que los robos y ataques informáticos siempre apuntan a la información crítica¿, señala Katie Curtin-Mestre, de RSA.

El trabajo en evangelización sobre los conceptos de seguridad, según la ejecutiva, es arduo, y cita un ejemplo simpático: ¿En muchas grandes empresas nos hemos encontrado con computadores de directivos a los que nunca se les desocupó la papelera de reciclaje, y allí se encuentran almacenados muchos archivos confidenciales que supuestamente se habían borrado porque ya estaban en los equipos centrales¿, dice.

Aunque las soluciones de protección de información de RSA están dirigidas a grandes organizaciones ¿entre sus clientes en el mundo se encuentran Walmart, Microsoft, grandes industrias y multinacionales petroleras¿, los ejecutivos de esta compañía destacan que si bien sus tecnologías no llegan a las pymes o a los usuarios finales, los principios de protección aplican perfectamente para ellos: cualquier usuario de un computador o un simple celular debe medir los riesgos de la información que maneja, tomar medidas ¿o políticas¿ preventivas y de contingencia, y armarse con las herramientas que realmente requiere para protegerse (ver recuadro ¿Cinco pasos para frustrar robos de información¿).

 

El arsenal de herramientas

El tema de la protección de datos no es nuevo, pero a raíz de las crecientes amenazas, se convirtió en uno de los asuntos prioritarios para los analistas, los fabricantes de tecnología, las organizaciones de todos los sectores y las personas. En enero, la firma de consultoría Deloite presentó su estudio ¿TMT 2007¿, en el que enumeró sus predicciones tecnológicas para este año.

El primero de los 20 puntos del informe se centra en el valor de la protección digital. La información almacenada y procesada en los computadores es hoy tan relevante, que según Deloitte actualmente un buen número de propietarios de equipos está invirtiendo más en las protecciones contra virus y software maligno, respaldos de datos y seguros que lo que invirtieron en la compra inicial de los computadores. ¿Esta tendencia se extenderá a otros dispositivos, desde los MP3 a los teléfonos celulares, desde los DVR (grabadores digitales de video) a los discos duros externos. Todos ellos almacenan diferentes formas de información¿, dice el estudio.

Aunque los jugadores más fuertes en el tema de seguridad informática insisten en que las herramientas de software no son lo principal, sino las políticas, y que usar software sin políticas claras brinda una falta sensación de seguridad, estas siguen siendo muy importantes en cualquier estrategia de protección. ENTER 2.0 consultó a expertos independientes y de varias compañías especializadas sobre sus herramientas favoritas en diferentes campos ¿no necesariamente los que sus empresas manejan¿, y el arsenal de aplicaciones resultó muy amplio (presentamos solo una pequeña selección de sus recomendados).

Adrián Rodríguez, consultor de Digiware; Luis Fernando Garzón, gerente de Trend Micro en Colombia; Carlos Valderrama, director de Kinetic Solutions; Dmitry Bestuzhev, analista de virus y consultor técnico para América Latina de Kaspersky Lab; Ígor León, especialista en seguridad de Etek, y Gabriel Molina, gerente de Sisgetec, recomendaron sus herramientas preferidas en diferentes campos de la seguridad informática, algunas de ellas gratuitas o de bajo costo.

Sobre esto último, Felipe Gómez Jaramillo, director comercial de Etek, señala que a pesar de que el software gratuito puede ayudar en algunos casos, hay diferencias notorias entre este y las herramientas comerciales. Los expertos, además, sugirieron herramientas para vencer contraseñas o recuperar información de discos duros y así resolver problemas de los usuarios, y no con el fin de estimular el ¿hacking¿ no ético.

Antivirus
– AVG Anti-Virus (www.grisoft.com), ahora convertido en una suite con múltiples herramientas de seguridad. Ofrece una versión gratuita y una comercial llamada Professional.
– Avast Antivirus (www.avast.com), uno de los programas de seguridad más populares, también con versiones gratuita y comercial.
– ESET NOD32 (www.eset-la.com), menos popular pero muy bien valorado por los expertos y siempre arriba en las pruebas comparativas de la industria.
– Norton Antivirus (www.symantec.com), una de las marcas más sólidas del sector, con antivirus y suites para diferentes tipos de usuarios.

Antispyware
– Ad-Aware SE Personal (www.lavasoftusa.com), la herramienta contra software espía más popular, con una gran base de datos actualizada permanentemente.
– Spybot ¿ Search & Destroy (www.safer-networking.org), otro programa gratuito muy popular y confiable.
– SpywareBlaster (www.javacoolsoftware.com), una especie de ¿vacuna¿ contra el software espía, también gratuita.
– ESET NOD32 (www.eset-la.com) ha ganado varias ¿competencias¿ por encontrar la mayor cantidad de software espía, aunque su principal función es contra los virus.

Software para encriptar archivos
– WinZip (www.winzip.com) y WinRar (www.rarlab.com), que normalmente solo se usan para compresión de archivos.
– AXCrypt (www.axantum.com/AxCrypt), herramienta gratuita más avanzada en el cifrado de archivos que las anteriores.
– TrueCrypt (www.truecrypt.org), un programa de software libre con numerosas opciones que brindan mayor seguridad.

Bloqueo de sitios web maliciosos
– TrendProtect (www.trendsecure.com/portal/enUS/tools/security_tools/trendprotect/download), un plug-in para navegadores que ayuda a evitar el acceso a sitios web con información maliciosa o amenazas ocultas. Es gratuito.

Recuperación de archivos perdidos en discos y memorias
– Restoration (www.aumha.org/freeware), una sencilla aplicación gratuita que recupera archivos borrados accidentalmente, y a la vez realiza la eliminación segura de archivos (la cual hace que estos no puedan ser recuperados posteriormente.
– NTFS-Reader (www.ntfs.com), que se especializa en sistemas de archivos NTFS y posee cualidades de arranque o ¿boot¿, por lo que puede ayudar en sistemas infectados con virus.
– PC Inspector File Recovery (www.pcinspector.de), un software gratuito de muy fácil uso y reconocimiento automático d particiones.
– R-Undelete (r-undelete.com), que permite reconstruir gráficos dañados y previsualizarlos antes de su recuperación.

 

Cinco pasos para frustrar robos de información

Las firmas especializadas trabajan en educar a las empresas y los usuarios para que protejan mejor sus datos. Etek International, compañía especializada en seguridad informática, presentó a mediados de marzo un documento titulado ¿5 pasos para frustrar robos de información en su empresa¿. Aunque el texto hace énfasis en los ambientes corporativos, la esencia de cada paso es útil también para empresas muy pequeñas y usuarios personales. Estos son los cinco pasos que recomienda la compañía, varios de los cuales coinciden con lo expuesto por los ejecutivos de RSA y por Carlos Álvarez:

1. Establezca políticas de seguridad que cubran toda la información de la compañía.
Esto incluye identificar al propietario de la información y señalar a cuales personas se les permite acceder a ella y en qué momento. Estas políticas deben cubrir a los empleados fijos y temporales, clientes, proveedores, socios, contratistas, y a cualquier otra persona asociada a la empresa. Los usuarios personales deben tomar políticas similares en los equipos de su hogar y se deben aplicar a todos los miembros de la familia.

2. Asegure el elemento humano.
Las personas son el elemento más importante de un programa de seguridad de información. Al fin y al cabo, la difusión de información está bajo su control. El entrenamiento y conocimiento de la seguridad, por ende, es esencial. Los empleados necesitan saber sobre las amenazas, represalias y responsabilidades de salvaguardar la información. Los contratos de confidencialidad son el medio más adecuado para advertir a los empleados sobre sus responsabilidades. Si un empleado expone secretos intencionalmente, el contrato permite terminar el contrato o demandarlo. La verificación de antecedentes ayuda a identificar empleados que puedan comprometer secretos industriales antes que ellos se vendan a otras empresas. Entrevistas y contratos de despido pueden recordarles a los empleados sus responsabilidades al dejar la empresa.
En el hogar no hay manera de hacer firmar contratos a los niños y demás miembros de una familia. Sin embargo, sí es necesario educar a toda la familia sobre los riesgos en Internet y con los equipos. Además, así como los padres prohíben a sus hijos dar datos familiares por teléfono o recibir regalos de desconocidos, también deben establecer normas de obligatorio cumplimiento en el uso de los equipos y en las actividades en Internet.

3. Utilice barreras físicas de seguridad.
Las barreras físicas, incluyendo puertas, entradas, cajas de seguridad, escritorios y archivos con llave pueden ser utilizadas para controlar el acceso a la información. La entrada a personas debe ser permitida mediante guardias de seguridad, llaves, distintivos y accesos biométricos. Botar apropiadamente la basura, incluyendo los residuos provenientes de destructores de papel es una práctica permite mantener la información sensible fuera del alcance de los ¿escobitas¿ o ¿recolectores de información¿, así como también de algunos empleados  que escudriñan en las canecas. Tenga en mente que las destructoras de papel no son totalmente seguras, ya que los documentos pueden ser reconstruidos en forma manual o digital.
En la computación personal también se pueden tomar medidas físicas: desde comprar cables para amarrar los portátiles hasta ocultar los discos duros externos. La destrucción de papeles con información privada, así se haga manualmente, también es una buena medida.

4. Actualice sus herramientas electrónicas de seguridad.
La información debe ser protegida tanto en el sitio de almacenamiento como en las redes de transmisión de datos y telecomunicaciones. Esto requiere una combinación de resguardos que incluya controles de acceso, autenticación, encriptación y detección de intrusos. Los controles de acceso ¿incluyendo claves para acceso a computadores y a la red, firewalls y aplicaciones de control¿ previenen el acceso no autorizado a los recursos de información. Estos controles pueden aplicarse también a registros, documentos individuales, o sistemas completos.
Los usuarios personales deben proteger sus equipos y sus redes caseras según sus vulnerabilidades. Siempre deben contar con un firewall, utilizar contraseñas seguras, y en algunos sistemas operativos las herramientas contra virus, software maligno y espía, entre otras, son una obligación.

5. Adopte una estrategia para planes de contingencia y manejo de incidentes. El paso final de un programa de seguridad de información es prepararse para lo peor ¿y entonces poder responder a los incidentes que se presenten¿. Esto incluye obtener pólizas de seguros y establecer procedimientos para manejo de incidentes.
En las empresas y en el hogar es imprescindible tener prácticas permanentes de respaldo de la información, mantener copias de seguridad de lo que se almacena en los computadores, los discos duros, los CD y DVD, las memorias USB, las memorias flash, los teléfonos celulares e inteligentes e incluso los reproductores multimedia.

 

Pautas para protegerse en Internet

– Siga el sentido común y nunca dé información personal o financiera por correo, ni abra enlaces de su banco o un almacén directamente desde los mensajes recibidos.
– Instale las versiones y los parches de seguridad más recientes del sistema operativo que usa (como Windows XP, Vista o Mac OS X).
– Actualice su navegador web (como Firefox o Internet Explorer) a las versiones actuales, que ayudan a detectar los sitios falsificados (utilizados en el phishing).
– Instale el software de seguridad necesario y actualícelo permanentemente o deje que se actualice de manera automática.

 

]]>

Archivos