El lado oscuro de la Red
Son bien conocidos los beneficios que aporta la Red, pero casi nadie habla de sus riesgos. Mientras cientos de empresas e individuos realizan negocios honestos a través de ella, otros se dedican a cometer delitos muy lucrativos. Las autoridades poco o nada pueden hacer para evitarlo. Como en una pesadilla apocalíptica o un regreso al Viejo Oeste, en el mundo virtual la seguridad corre por cuenta de cada organización que, de no protegerse, pagará las consecuencias.
- -
De acuerdo con el estudio 2001 Computer Crime and Security Survey, 85% de las más de 500 entidades consultadas –entre corporaciones, agencias de gobierno, universidades e institutos médicos y financieros– aseguró haber detectado varias fugas de información en sus sistemas de cómputo durante los 12 últimos meses; 64% reportó, como consecuencia, pérdidas económicas documentadas.
- -
Hace unas semanas, Expansión charló con Richard Power, autor del libro Tangled Web: Tales of Digital Crime from the Shadows of Cyberspace (Que/Macmillan Publishing, 2001) y director editorial del Computer Security Institute (CSI), una de las organizaciones más importantes en el mundo dedicada a seguridad digital .
- -
¿Qué es la "sombra digital"?
- -
Muchos psicólogos hablan de la sombra como contraposición a la luz; es decir, a lo que conocemos o lo consciente. Representa las motivaciones oscuras y el inconsciente. Al igual que en la mente humana, existen ambos elementos en el ciberespacio, aunque frecuentemente sólo percibimos el bien: las ganancias, la velocidad del acceso, la ubicuidad, facilidad y rapidez. Hasta el momento, se subestima el lado tenebroso de la revolución digital.
- -
Es un hecho que aumentan constantemente los crímenes cibernéticos, pero ¿en verdad son una amenaza para los gobiernos y las empresas?
- -
El impacto será significativo para compañías, gobiernos e individuos; también afecta gravemente a la economía y la infraestructura de un país.
- -
La era de la información es un hecho real, no un espejismo. Una gran porción de la riqueza y el bienestar de Estados Unidos durante la década de los 90 se logró gracias a los mercados basados en internet. Si fuera destruida una parte de esa tecnología, cuyas ganancias son capaces de mantener al Valle del Silicio, habría un impacto en toda la economía. Además, podrían sabotearse suministros eléctricos, redes telefónicas y bases de datos y, por consecuencia, afectar negociaciones, tratados, actividades comerciales, etcétera.
- -
¿Qué medidas tiene que adoptar una firma frente al delito digital?
- -
Deben entender que están en riesgo. El problema radica en que muchas empresas no tienen idea de lo que vale su información. Entonces, ¿cómo comprenderán la seriedad del peligro y cuánto es necesario gastar en sistemas de protección? Para cambiar la situación, es preciso que los niveles gerenciales se involucren directamente en el asunto. De esa manera se destinarán los recursos suficientes en presupuesto y personal. Aunque no es posible protegerse 100%, una acción de este tipo limitaría el tamaño de la amenaza.
- -
Algunas personas consideran que el problema y la solución se restringen al ámbito tecnológico; sin embargo, otras voces aseguran que el factor humano juega un importante papel en términos de seguridad.
- -
Cuando ocurre un incidente que lamentar es porque una compañía confía demasiado en el factor humano o en el lado tecnológico. No logran un equilibrio entre ambos aspectos. Usar un firewall no garantiza la inmunidad. Es menester que los empleados se apeguen a un código de políticas.
- -
Además de firewalls, ¿qué más deben utilizar las empresas?
- -
Deben tener firewalls –probablemente varios en distintos lugares–, encriptar la comunicación externa de la organización y proteger las redes. Estas medidas son importantes. Pero hay que tomar en cuenta otros factores. Las contraseñas de usuario (passwords) no se usan o se utilizan indebidamente. Resulta absurdo pensar que la seguridad de una institución depende de las claves de los empleados. La autentificación (certificación de identidades) en el mundo digital es un problema mayúsculo; sin embargo, aunque se resolviera, es preciso educar a los trabajadores. Decirles qué información no deben proveer, qué papel desempeñan en la organización, cuáles son las políticas y procedimientos para difundir datos. Antes de tomarse la molestia de irrumpir en los sistemas de una firma, el hacker intenta obtener la información de la manera más sencilla posible: preguntando por ella.
- -
¿Cuál es la peor amenaza que pende sobre una empresa?
- -
Depende de su naturaleza. Si se dedica a la manufactura, el peligro más grave reside en el espionaje y el robo de la información comercial. El ataque puede generarse en el exterior; pero, seguramente, su origen se encontrará en el ámbito interior. Las firmas deben estar preparadas para ambos escenarios.
- -
En el caso de una entidad financiera, la peor amenaza es poner en riesgo la información que obtiene de sus clientes. Tratándose del gobierno, el sabotaje a la infraestructura y la negación de acceso a su sistema de defensa o de datos estratégicos. Para el usuario común, los riesgos más importantes son la pornografía infantil y el robo de identidades.
- -
¿Los gobiernos están trabajando para combatir los cibercrímenes?
- -
En este respecto, la Ley Federal de los Estados Unidos está bien intencionada, pero el papel que juega es muy limitado. Esto se debe a que su responsabilidad se restringe a investigar un delito reportado: busca evidencias, prepara un juicio y espera la condena. Pero dichas acciones nada tienen que ver con la prevención. Así que la ley tiene una gran tarea por delante. Por ahora, las corporaciones deben protegerse a sí mismas.
- -
¿Qué tantos crímenes cibernéticos se cometen en América Latina?
- -
Es difícil determinarlo. El problema crece mientras más digitalizadas estén las transacciones en un país. Además, hay que analizar qué tanto se emplean las redes internas y cuánto contacto mantienen con el exterior. Mientras el dinero fluya por el ciberespacio y aumenten las interconexiones, el peligro crece. La situación en Latinoamérica probablemente no es tan grave como en países industrializados.
-