Punto NET Soluciones SRL

Punto NET Soluciones SRL
Servicios Corporativos de Ciberseguridad - IT - DBA

lunes, 30 de enero de 2006

Cómo cuidarse de los piratas electrónicos

Eran cifras pequeñas. A lo sumo, 150 euros cada vez. En varios meses ni se notaría. Pero a largo plazo, se convertiría en un botín atractivo, sin necesidad de excavar túneles para llegar a la bóveda de ningún banco. Esa era la estrategia de un grupo de piratas informáticos que se hizo con algo más de 22 millones de euros del Ministerio de Hacienda británico. El robo se hizo a través de la captura ilegal de datos personales de trabajadores ferroviarios, quienes sin saberlo obtenían micropréstamos que terminaron en manos de los timadores.

Esta estafa, la más importante de esas características realizada en el Reino Unido, es un ejemplo extremo del poder que se esconde detrás de los delitos y fraudes electrónicos.

Estos episodios pueden evitarse “protegiendo adecuadamente los datos, auditando a quienes acceden a ellos y definiendo que sólo algunas personas pueden autorizar su acceso”, explica Enrique Dutra, consultor de seguridad informática.

“En la Argentina, con la ley 25.326 se encuentra el marco legal para evitar este tipo de problemas”, agregó el especialista cordobés. La norma establece la protección de las bases de datos, y fija parámetros de seguridad que sus propietarios deben observar para evitar acciones legales en caso de sustracción de datos.

La punta del iceberg

Sin embargo, el robo de datos es sólo una de las estrategias delictivas de los hackers, o piratas informáticos. Y eso afecta a empresas y usuarios domésticos por igual.

Según un informe de la Comisión Federal de Comercio de Estados Unidos, entre los 10 engaños más frecuentes en 2005, figuraron: la compra de objetos en subastas o sitios on line, que luego resultan ser distintos a lo esperado; el engaño a través de productos para la salud; el cargo desmesurado y las penalizaciones luego de contratar servicios de Internet temporales, y el robo de datos de tarjetas de créditos, con excusas falsas.

Además, se mencionan los “excesivos gastos” en cuentas telefónicas derivados de sitios que conectan silenciosamente el módem a números internacionales, y el engaño de webs que prometen hacerse millonario a cambio de una mínima inversión que luego resulta una farsa.

De acuerdo al informe “Global Business Security Index 2005” brindado por IBM días atrás, si bien el gusano Zotob “captó la atención internacional al impactar a organizaciones de medios reconocidas”, se constató que existieron “menos brotes globales de malware (código malicioso) que el año anterior”. No obstante, el pronóstico para este año es desalentador: habrá un aumento de los ataques cibernéticos con motivos delictivos.

Todos los expertos consultados por este diario coincidieron en señalar que el usuario sólo podrá protegerse si conoce la amenazas a las que está expuesto, para luego prevenirlas.

Cuento del tío “virtual”

En el caso de los usuarios hogareños, gran parte de las amenazas se ejecutan a través de complejas técnicas de “ingeniería social” que apelan a maniobras y engaños para obtener información o acceso a datos, por ejemplo haciéndose pasar por otra persona, para luego inducir al receptor a ejecutar acciones que pueden dañarlo.

Los ataques conocidos como “phising” responden a esta metodología.

Un caso usual: el usuario recibe un correo de su banco que le indica que debe introducir datos para chequear su cuenta, y le hace cliquear en un vínculo ficticio. A veces, se trata de un sitio con la apariencia exactamente igual a la del banco, pero con un dominio falso.

“Es como si alguien en la calle pusiera un local con los logos y uniformes de un banco, y uno hace un depósito, creyendo que se trata de un lugar confiable, cuando en realidad no lo es”, explicó a este diario Tomás Bob, líder de Proyectos de la compañía antivirus Trend Argentina.

Asimismo, según Bob en los últimos tiempos se ha masificado la transmisión de spyware (espías). “Son programas que se instalan en las computadoras y recopilan datos con el fin de hacer llegar publicidad dirigida, a través del correo o de la navegación”.

“Todo aquello que al usuario le genere sospecha, debe preguntarlo o asesorarse. A nivel hogareño, la capacitación es importante ya que muchos usuarios son víctimas de artimañas por desconocimiento”, apunta Dutra.

Empresas alerta

Según un estudio realizado por Kaagan Research Associates, y patrocinado por Cisco Systems e IBM, el 71 por ciento de las gerencias de las compañías coloca prioridad “muy alta”o “alta”a la seguridad informática. Sin embargo, el diagnóstico es que falta concientización sobre políticas de seguridad, y que el tema es dejado de lado porque “no hace al negocio”.

“Es importante la confección de las políticas, pero también verificar su cumplimiento. Las empresas que de alguna manera han certificado ISO o están en algún proceso de calidad, han encarado el uso de las políticas”, asegura Dutra.

En el mismo tono, desde Trend señalan que, además de la sistematización de normas estándar, es necesario una “política de parches”, es decir, la actualización continua de las vulnerabilidades de los sistemas operativos.

El personal de la empresa es el primer factor a tener en cuenta, y la capacitación es clave: una inversión tecnológica sin su correlato humano no tiene éxito ya que en la mayor parte de los casos las amenazas provienen desde el mismo interior de las empresas.

“Hay empresas que no exigen la firma de un contrato de confidencialidad y eso es fundamental”, apunta Dutra. Otro factor de riesgo es la falta de control sobre los dispositivos de la empresa que los trabajadores llevan a sus casas, tales como notebooks.

Teléfono seguro

“Los ataques a teléfonos móviles en Argentina han sido casi nulos, porque recién el año pasado las compañías incorporaron estos teléfonos a la venta masiva”, reseña Bob.

La transmisión de virus entre ellos se produce generalmente vía Bluetooth, es decir, con conexiones inalámbricas de bajo alcance. “La forma que llega un virus por primera vez es a través de una computadora, y luego se transmite a otros dispositivos. Lo que hacen es enviar spam, simplemente distribuirse, o trabar algunas funcionalidades del teléfono”.

Cuidado con el Wi Fi

Otro punto débil pueden ser las conexiones inalámbricas, a través de notebooks o pocket PC. “Si caminamos con una portátil en la zona de la avenida Irigoyen, vamos a encontrar más de 30 conexiones wireless que en su mayoría no poseen parámetros de seguridad adecuados”, explica Dutra a modo de ejemplo. En algunos casos, el uso de estas redes no está restringido por usuario o contraseña, y los equipos toman la red como si estuvieran conectados en el hogar. El peligro radica en que otras personas pueden estar navegando con la misma red, aunque con malas intenciones.

“En Nueva Córdoba, la conexión de un estudiante puede no importarle a un hacker, pero la que emana de una empresa conocida, probablemente sí, por todo lo que puede respaldar detrás”, indicó Dutra.

Por Cecilia Bazán
cbazan@lavozdelinterior.com.ar

No hay comentarios.: