Ir al contenido principal

Seguridad Informática: Conceptos sobre seguridad informática

Conceptos sobre seguridad informática

¿Por qué proteger?

Una experiencia personal: una persona me trae su portátil porque dice que va lento. Le extraña que haya entrado algún troyano porque le puso un antivirus.
Recojo el ordenador y le pregunto por la contraseña del administrador. Dice que no tiene ningún usuario que se llame así, solo el usuario con su nombre. Y no tiene contraseña, entra directamente al pinchar sobre el icono.

—¿No temes que alguien pueda usar tu ordenador sin tu permiso?
—¿Por qué? Mi portátil solo lo uso yo.
—Pero sí lo conectas a Internet. ¿No sabes que pueden entrar por ahí?
—Imposible: sí que tengo contraseña en la wifi de casa.

No insisto más y cojo el ordenador. En efecto, tenía un antivirus, pero estaba caducado. Lo quito, instalo otro y encuentra un troyano. El antivirus lo quita y devuelvo el ordenador a su dueño. Le volveré a ver pronto, me temo.

Así es la inmensa mayoría de los usuarios de ordenadores, tabletas, móviles... Deberían saber que sus máquinas son muy poderosas, pero también muy vulnerables. Es importante reconocerlo, dado que nuestra vida es digital:
  • Hablamos por teléfonos móviles.
  • Enviamos mensajes con aplicaciones IP, como e-mail, WhatsApp, etc.
  • Hacemos compras por Internet. De todo tipo: libros, viajes, comida.
  • Estudiamos por Internet, desde una simple búsqueda de información en la Wikipedia hasta clases en directo en un campus virtual.
  • Entramos en contacto con determinadas empresas y organizaciones a través de su página web para conocer las novedades de su último lanzamiento, pedir ayuda con un problema, etc.
  • Las empresas realizan entre sí contratos electrónicos sin necesitar una firma en un papel.

No hay marcha atrás. La era de la información es el presente y el futuro de nuestra civilización. Por eso hay que estar preparados para evitar estas situaciones:
  • Nuestras conversaciones son personales: nadie más debería poder escucharlas.
  • Nuestros mensajes son privados: nadie debería tener acceso a ellos.
  • Una compra solo interesa al vendedor y al comprador. Y debe asegurarse que el vendedor proporcionará los productos elegidos y el comprador pagará el precio acordado.
  • La información pública en Internet debe estar al alcance de todos.
  • Las empresas deben cuidar su imagen: no pueden consentir un ataque a su página web que modifique el contenido, engañando a sus clientes y usuarios.
  • Los contratos entre empresas son privados en muchos casos, y en todos los casos les comprometen a llevarlos a cabo. Nadie externo debe poder alterarlos, ni siquiera conocerlos.

La seguridad informática intenta proteger el almacenamiento, procesamiento y transmisión de información digital. En los ejemplos anteriores:
  • Las conversaciones por teléfono móvil van cifradas: aunque otro móvil pueda recibir la misma señal, no puede entender qué están transmitiendo.
  • Los mensajes se almacenan en el servidor de correo y, opcionalmente, en el cliente de correo que ejecuta en mi ordenador. Debemos proteger esos equipos, así como la comunicación entre ambos. Por ejemplo, podemos cifrar el mensaje y enviarlo al servidor por una conexión cifrada.
  • La navegación por la web del vendedor puede ser una conexión no cifrada, pero cuando se utiliza el carrito debemos pasar a servidor seguro. Por otra parte, la web del vendedor debe estar disponible a todas horas: hay que protegerla frente a caídas de tensión, cortes de red, accidentes o sabotajes de sus instalaciones (inundaciones, incendios, etc.).
  • Los servidores de información de una red mundial deben estar disponibles a todas horas.
  • Las empresas deben restringir el acceso a las partes protegidas de su web, como la administración y la edición de contenidos .
  • Los contratos deben llevar la firma digital de las empresas interesadas y deben almacenarse en discos cifrados con almacenamiento redundante , cuya copia de seguridad irá también cifrada, y se dejará en un edificio diferente, a ser posible en otra ciudad

A pesar de toda nuestra preocupación y todas las medidas que tomemos, la seguridad completa es imposible. Debemos asumir que hemos desplegado la máxima seguridad posible con el presupuesto asignado y la formación actual de nuestros técnicos y usuarios:
  • Con más dinero podríamos replicar los servidores, las conexiones, el suministro eléctrico o todo a la vez.
  • Con más formación en los técnicos podríamos desplegar sistemas avanzados de protección, como los NIPS (Network Intrusion Prevention System).
  • Con más formación en los usuarios podríamos estar tranquilos porque no compartirían su contraseña con otros usuarios, no entrarían en páginas potencialmente peligrosas y, cuando llegaran a casa, el portátil o el móvil de empresa no lo usaría cualquier otro componente de su familia.

Por otra parte, podemos estar seguros de que en nuestra casa o en nuestra empresa estamos aplicando todas las medidas; pero no sabemos qué hacen las otras personas con las que nos comunicamos. En el ámbito personal, posiblemente enviamos imágenes a alguien que no sabe que tiene un troyano en su ordenador, y que ese troyano está especializado en difundir en Internet cualquier imagen que encuentra.

En el fondo, todo es información: sean los escasos 140 caracteres de un tweet, sean ficheros de varios megabytes, están en nuestro equipo y alguien puede intentar obtenerlos. La clave es la motivación: quién está interesado en nuestra información. Es poco probable que algún superhacker intente entrar en nuestro ordenador portátil a por nuestras fotos descargadas de la cámara o nuestros apuntes de clase; seguramente no le costaría mucho, pero el esfuerzo no le merece la pena.

En cambio, las empresas sí son mucho más atractivas para estas actividades delictivas. Hasta tal punto que existen las auditorías de seguridad: contratamos a una empresa externa especializada en seguridad informática para que revise nuestros equipos y nuestros procedimientos. Un ejemplo de estas empresas son los tiger teams (equipos tigre): intentan acceder a nuestras instalaciones como lo haría un hacker, para confirmar si podemos estar tranquilos.

Por otro lado, los mecanismos de seguridad deben estar adaptados a cada caso particular: una contraseña de 20 caracteres que utiliza mayúsculas, minúsculas, números y signos de puntuación es muy segura; pero si obligamos a que sean así las contraseñas de todos los empleados, la mayoría la apuntará en un papel y la pegará con celofán en el monitor. Cualquiera que se siente en el ordenador tendrá acceso a los recursos de ese usuario.

Un caso real donde se mezcla lo profesional y lo personal: una persona regala a su pareja un teléfono móvil de la empresa. La pareja no lo sabe, pero el equipo lleva preinstalado un troyano que registra todas las llamadas y mensajes efectuados con ese teléfono. Con esa información, el programa elabora un informe que luego cuelga en una web, donde se puede consultar introduciendo el usuario y la contraseña adecuados.
Por este medio descubre que su pareja mantiene una relación paralela con otra persona, que es amigo de la pareja y también trabaja en la misma empresa. El siguiente paso es regalar otro móvil a ese amigo con el mismo troyano, para así espiar la vida de ambos.
Afortunadamente, la empresa de telefonía que da servicio a la empresa tiene un equipo de vigilancia que detecta ese tráfico extraño de informes espontáneos. Avisa a los directivos de la empresa y se denuncia al empleado.

Este último ejemplo también muestra que, aunque los ataques necesitan un componente técnico informático más o menos avanzado, muchas veces hay un factor humano que facilita enormemente la tarea del atacante y contra el que los administradores de los sistemas poco pueden hacer.

Entradas populares de este blog

Emprendimiento Social

Emprendimiento Social Con un emprendimiento social se busca dar solución a un problema social, pero usando herramientas y estrategias empresariales. Una empresa de este tipo se crea con el objetivo de colaborar con el bienestar de la comunidad con un plan sostenible. El emprendedor social es la persona que realiza de manera creativa, un cambio de sistema en diversas áreas sociales, su objetivo es generar un impacto social sin ánimos de lucro, y ante todo, pensar en el bienestar y beneficio de la comunidad como generar soluciones económicas, empleo, etc. Muchos emprendimientos sociales se definen por incluir a actores no tradicionales, ya sean beneficiarios, clientes o trabajadores. Entonces, la empresa ingresa a mercados donde pueda ofrecer servicios en áreas de microfinanzas, educación, salud, saneamiento, etc. Sin embargo, para comenzar a realizar un emprendimiento social hay que: 1) identificar el problema específico y, por lo tanto, conocerlo a fondo; 2) crear un...
Leer más

¿Cómo se hace para...? DECLARAR RENTA (F22)

¿A qué se refiere este trámite? Este trámite se realiza para cumplir con la normativa de la Ley sobre impuesto a la Renta . Corresponde a la declaración de rentas anuales, que debe ser presentada por empresas y personas para cumplir con sus obligaciones tributarias. Dependiendo de la diferencia entre las provisiones pagadas durante el año y el monto a pagar en impuestos por dichas rentas, el contribuyente pagará al Fisco u obtendrá una devolución por la diferencia. ¿Quiénes deben realizar este trámite? Todas las personas residentes o domiciliadas en Chile que hayan obtenido rentas de cualquier origen, SALVO las excepciones que indica la ley, como por ejemplo: Quienes SOLO reciben sueldos y pensiones y que no hayan efectuado inversiones con derecho a devolución de impuestos. Las rentas netas globales menores o iguales a 13...
Leer más

Diferencias entre NIC/NIIF y Normativa Contable Chilena en las Existencias y sus Efectos Tributarios1

Las principales diferencias que se producen entre las NIC/NIIF y la Normativa Contable Chilena, en relación a la Valorización de Existencias y el Tratamiento Contable de Existencias registradas como Activo Fijo, y sus Efectos Tributarios, se presentan a continuación: Valorización de Existencias   Normativa Contable Chilena. Las Existencias deben valorizarse al Costo o al Valor de Mercado si fuera menor. En el Boletín Técnico Nº 1, del Colegio de Contadores de Chile, párrafo C-1, se establece que las existencias deben valorizarse al costo o al valor de mercado si fuera menor. El concepto de costo establecido en esta norma, corresponde a los costos directos más los costos indirectos de fabricación, y la base de su determinación de acuerdo a los métodos de Valorización de Inventario: LIFO (UEPS), FIFO (PEPS) o PPP. El Método que utilizará la empresa, debe estar claramente establecido.   Normas Internacionales de Información Financiera. (NIIF) Las Existencias deben valorizar...
Leer más