Fuga digital

Las empresas privadas comienzan a ser víctimas del robo de información digital; agentes maliciosos extraen datos ilegalmente, dañando el nombre y las finanzas de las compañías.
Leonardo Peralta

Empieza el día laboral y al abrir la página del sitio de noticias de cada mañana, aparece el encabezado: "Datos confidenciales de nuestra empresa han sido robados por intrusos y expuestos al público". Ésta es la forma en la que la mayor parte de las organizaciones se entera de que su información fue extraída ilegalmente. El golpe en la imagen pública de la compañía y las posibles demandas por daños serían algunas de las consecuencias. Sin embargo, es posible que la información pueda mantenerse segura dentro de la empresa antes de ser sustraída ilegalmente.

"Los hackers crean programas automáticos que exploran internet buscando vulnerabilidades en la infraestructura de las organizaciones", comenta Leobardo Hernández, jefe del Laboratorio de Seguridad Informática en la UNAM. Cuando encuentran debilidades (normalmente, errores de configuración y obsolescencias en el sistema operativo), los intrusos pasan a la ofensiva, adquiriendo privilegios de acceso con los que pueden entrar en las bases de datos para sacar información sin que nadie se dé cuenta. Estos errores suelen ser poco sofisticados. Citigroup, una de las empresas financieras más importantes del mundo, sufrió el pasado junio el robo de más de 360,000 registros de tarjetas de crédito estadounidenses por un error de configuración en su servidor; un error que en México podría tener consecuencias graves.  "El 1 de julio comenzaron a operar disposiciones de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares", señala Ivonne Muñoz, especialista en derecho de la informática. Estas medidas obligan a las empresas con operaciones en el país a garantizar la integridad de su información y a denunciar los robos virtuales, so pena de multas de hasta 19 millones de pesos y hasta cinco años de cárcel.

En México, el problema se exacerba, pues "hay escasos recursos humanos especializados en el área y sólo las grandes empresas tienen estrategias definidas para protegerse de los ataques", dice Hernández. Por otra parte, para Rafael García, gerente de Symantec, "aún existe un modelo de seguridad reactiva que sólo funciona tras un incidente y suele concentrarse sólo en la adquisición de equipo y software, sin establecer una estrategia de remediación".

Dicha estrategia requiere un enfoque multidisciplinario. El experto de la UNAM señala que "se cae en el error de centrar las acciones en el área de Sistemas Computacionales, con lo que se convierten en juez y parte". Esto obliga a la dirección general de la empresa, junto con áreas como Recursos Humanos y el Departamento Legal, a establecer medidas de remediación y prevención de nuevos ataques. El ejecutivo de Symantec indica tres pilares de la estrategia de seguridad informática: una política definida, tecnología preparada y gente capacitada (pese a que la seguridad computacional no será absoluta).

Puede que haya quien piense que nuestro país está lejos de esto, pero los hackers comienzan a hacer mella en las organizaciones locales. El pasado febrero, la empresa de telecomunicaciones MVS fue atacada por el grupo de hackers llamado Anonymous, y Rodolfo Hernández Baz, director del Centro de Investigaciones en Alta Tecnología y especialista en hackers, señala: "Sólo es cuestión de tiempo para que los ataques pasen al robo de la información".

¡AUXILIO!
Se robaron mis datos
Lo que se puede hacer para disminuir el daño:
• Levanta una denuncia ante el Ministerio Público; en códigos penales locales y en el federal se contempla como delito el daño a la información.
• Notifica a las personas cuyos datos habrían sido robados, es su derecho legal.
• Informa al Instituto Federal de Acceso a la Información Pública (IFAI), por ley esta entidad debe conocer incidentes de esta naturaleza.
• Prepara un fondo contingente: es posible que los usuarios afectados procedan por la vía legal, y tengas que pagar reparaciones de daños.
PUERTAS ABIERTAS
Algunas vías comunes de intrusión digital en las empresas.
Broken authentication. La sesión de un servicio web no finaliza en determinado tiempo, por lo que otra persona accede a una cuenta ajena usando el mismo equipo o copiando la dirección de la sesión.
Cross-site scripting. Enviar por correo o chat una liga web que, además de la referencia, tiene un código malicioso.
Insecure direct object references. Un miembro al interior de la organización cambia los accesos para que otros ingresen a bases de datos.
Inicia el día bien informado
Recibe todas las mañanas las noticias más importantes para empezar tu día.

FUENTES: Ivonne Muñoz, experta en derecho informático, y Open Web Application Security Project.
Ahora ve
Fabrilab, la empresa que con sus prótesis convierte a los niños en héroes
No te pierdas
ç
×