Seguridad Informática: Conceptos sobre seguridad informática

Conceptos sobre seguridad informática

¿Por qué proteger?

Una experiencia personal: una persona me trae su portátil porque dice que va lento. Le extraña que haya entrado algún troyano porque le puso un antivirus.
Recojo el ordenador y le pregunto por la contraseña del administrador. Dice que no tiene ningún usuario que se llame así, solo el usuario con su nombre. Y no tiene contraseña, entra directamente al pinchar sobre el icono.

—¿No temes que alguien pueda usar tu ordenador sin tu permiso?
—¿Por qué? Mi portátil solo lo uso yo.
—Pero sí lo conectas a Internet. ¿No sabes que pueden entrar por ahí?
—Imposible: sí que tengo contraseña en la wifi de casa.

No insisto más y cojo el ordenador. En efecto, tenía un antivirus, pero estaba caducado. Lo quito, instalo otro y encuentra un troyano. El antivirus lo quita y devuelvo el ordenador a su dueño. Le volveré a ver pronto, me temo.

Así es la inmensa mayoría de los usuarios de ordenadores, tabletas, móviles... Deberían saber que sus máquinas son muy poderosas, pero también muy vulnerables. Es importante reconocerlo, dado que nuestra vida es digital:
  • Hablamos por teléfonos móviles.
  • Enviamos mensajes con aplicaciones IP, como e-mail, WhatsApp, etc.
  • Hacemos compras por Internet. De todo tipo: libros, viajes, comida.
  • Estudiamos por Internet, desde una simple búsqueda de información en la Wikipedia hasta clases en directo en un campus virtual.
  • Entramos en contacto con determinadas empresas y organizaciones a través de su página web para conocer las novedades de su último lanzamiento, pedir ayuda con un problema, etc.
  • Las empresas realizan entre sí contratos electrónicos sin necesitar una firma en un papel.

No hay marcha atrás. La era de la información es el presente y el futuro de nuestra civilización. Por eso hay que estar preparados para evitar estas situaciones:
  • Nuestras conversaciones son personales: nadie más debería poder escucharlas.
  • Nuestros mensajes son privados: nadie debería tener acceso a ellos.
  • Una compra solo interesa al vendedor y al comprador. Y debe asegurarse que el vendedor proporcionará los productos elegidos y el comprador pagará el precio acordado.
  • La información pública en Internet debe estar al alcance de todos.
  • Las empresas deben cuidar su imagen: no pueden consentir un ataque a su página web que modifique el contenido, engañando a sus clientes y usuarios.
  • Los contratos entre empresas son privados en muchos casos, y en todos los casos les comprometen a llevarlos a cabo. Nadie externo debe poder alterarlos, ni siquiera conocerlos.

La seguridad informática intenta proteger el almacenamiento, procesamiento y transmisión de información digital. En los ejemplos anteriores:
  • Las conversaciones por teléfono móvil van cifradas: aunque otro móvil pueda recibir la misma señal, no puede entender qué están transmitiendo.
  • Los mensajes se almacenan en el servidor de correo y, opcionalmente, en el cliente de correo que ejecuta en mi ordenador. Debemos proteger esos equipos, así como la comunicación entre ambos. Por ejemplo, podemos cifrar el mensaje y enviarlo al servidor por una conexión cifrada.
  • La navegación por la web del vendedor puede ser una conexión no cifrada, pero cuando se utiliza el carrito debemos pasar a servidor seguro. Por otra parte, la web del vendedor debe estar disponible a todas horas: hay que protegerla frente a caídas de tensión, cortes de red, accidentes o sabotajes de sus instalaciones (inundaciones, incendios, etc.).
  • Los servidores de información de una red mundial deben estar disponibles a todas horas.
  • Las empresas deben restringir el acceso a las partes protegidas de su web, como la administración y la edición de contenidos .
  • Los contratos deben llevar la firma digital de las empresas interesadas y deben almacenarse en discos cifrados con almacenamiento redundante , cuya copia de seguridad irá también cifrada, y se dejará en un edificio diferente, a ser posible en otra ciudad

A pesar de toda nuestra preocupación y todas las medidas que tomemos, la seguridad completa es imposible. Debemos asumir que hemos desplegado la máxima seguridad posible con el presupuesto asignado y la formación actual de nuestros técnicos y usuarios:
  • Con más dinero podríamos replicar los servidores, las conexiones, el suministro eléctrico o todo a la vez.
  • Con más formación en los técnicos podríamos desplegar sistemas avanzados de protección, como los NIPS (Network Intrusion Prevention System).
  • Con más formación en los usuarios podríamos estar tranquilos porque no compartirían su contraseña con otros usuarios, no entrarían en páginas potencialmente peligrosas y, cuando llegaran a casa, el portátil o el móvil de empresa no lo usaría cualquier otro componente de su familia.

Por otra parte, podemos estar seguros de que en nuestra casa o en nuestra empresa estamos aplicando todas las medidas; pero no sabemos qué hacen las otras personas con las que nos comunicamos. En el ámbito personal, posiblemente enviamos imágenes a alguien que no sabe que tiene un troyano en su ordenador, y que ese troyano está especializado en difundir en Internet cualquier imagen que encuentra.

En el fondo, todo es información: sean los escasos 140 caracteres de un tweet, sean ficheros de varios megabytes, están en nuestro equipo y alguien puede intentar obtenerlos. La clave es la motivación: quién está interesado en nuestra información. Es poco probable que algún superhacker intente entrar en nuestro ordenador portátil a por nuestras fotos descargadas de la cámara o nuestros apuntes de clase; seguramente no le costaría mucho, pero el esfuerzo no le merece la pena.

En cambio, las empresas sí son mucho más atractivas para estas actividades delictivas. Hasta tal punto que existen las auditorías de seguridad: contratamos a una empresa externa especializada en seguridad informática para que revise nuestros equipos y nuestros procedimientos. Un ejemplo de estas empresas son los tiger teams (equipos tigre): intentan acceder a nuestras instalaciones como lo haría un hacker, para confirmar si podemos estar tranquilos.

Por otro lado, los mecanismos de seguridad deben estar adaptados a cada caso particular: una contraseña de 20 caracteres que utiliza mayúsculas, minúsculas, números y signos de puntuación es muy segura; pero si obligamos a que sean así las contraseñas de todos los empleados, la mayoría la apuntará en un papel y la pegará con celofán en el monitor. Cualquiera que se siente en el ordenador tendrá acceso a los recursos de ese usuario.

Un caso real donde se mezcla lo profesional y lo personal: una persona regala a su pareja un teléfono móvil de la empresa. La pareja no lo sabe, pero el equipo lleva preinstalado un troyano que registra todas las llamadas y mensajes efectuados con ese teléfono. Con esa información, el programa elabora un informe que luego cuelga en una web, donde se puede consultar introduciendo el usuario y la contraseña adecuados.
Por este medio descubre que su pareja mantiene una relación paralela con otra persona, que es amigo de la pareja y también trabaja en la misma empresa. El siguiente paso es regalar otro móvil a ese amigo con el mismo troyano, para así espiar la vida de ambos.
Afortunadamente, la empresa de telefonía que da servicio a la empresa tiene un equipo de vigilancia que detecta ese tráfico extraño de informes espontáneos. Avisa a los directivos de la empresa y se denuncia al empleado.

Este último ejemplo también muestra que, aunque los ataques necesitan un componente técnico informático más o menos avanzado, muchas veces hay un factor humano que facilita enormemente la tarea del atacante y contra el que los administradores de los sistemas poco pueden hacer.

José Almonacid

Contador Auditor Egresado y Titulado de la Escuela de Contadores Auditores de Santiago, Miembro actual del Colegio de Contadores de Chile A.G., Diplomado en Legislación Tributaria en la Universidad Mariano Egaña, Participación en Seminarios de la Reforma Tributaria, Seminario "Nuevos elementos del FUT ejercicios 2015-2016 e Impuesto Único al FUT" y Actualmente, se encuentra enfocado primordialmente en el libre ejercicio de la profesión con énfasis en temas tributarios y contables.