Tecnología
Todo lo que usted debe saber para no ser víctima de un “Cablegate”
05-12-2010 Los datos reservados, importantes y estratégicos almacenados en computadoras pueden ser robados, manipulados y transferidos con sencillez si no se toman los recaudos necesarios para resguardarlos y transmitirlos. ¿Cuáles son las lecciones a tomar en cuenta por las compañías tras el caso Wikileaks?
Por Cesar Dergarabedian
Recibí nuestro newsletter diario SUSCRIBIRME
A-
A+

La divulgación de comunicaciones diplomáticas del Gobierno estadounidense, a través de la página web Wikileaks, revolvió el avispero de la seguridad informática, en especial en las empresas y organizaciones gubernamentales.

Aunque, a primera vista, no se trata de un episodio protagonizado por un virus o un código malicioso, el escándalo, denominado como “Cablegate”, revela que el soporte informático de datos reservados, importantes y estratégicos puede ser robado, manipulado y transferido con sencillez, si no se toman los debidos recaudos para resguardarlo y transmitirlo.

Por ejemplo, correos electrónicos, documentos, bases de datos y sitios web internos que, supuestamente, no deberían resultar accesibles para quienes no formen parte de la organización.

Es que las compañías dejan, desde varios lustros, un registro de sus decisiones y comunicaciones sobre productos, compras, cuestiones legales y competidores.

Las firmas de seguridad informática predicaron con insistencia sobre la amenaza que constituyen los empleados descontentos, como sería el caso de Bradley Manning, el militar estadounidense acusado de entregar los 250 mil cables diplomáticos a Wikileaks, y los sistemas con fácil acceso a datos confidenciales.

Del tema no están exentas las grandes corporaciones. Wikileaks afirma que cuenta con documentos de un importante banco estadounidense, quizás el Bank of America.

Las tecnologías de la información y la comunicación tienen sistemas para limitar el acceso de sus empleados a datos reservados o secretos, aunque muchas organizaciones no recurren a ellas.

Y aún si esos sistemas estuvieran vigentes, no sirven de mucho si una persona con acceso legitimado decide violar las reglas y robar la información.

Julian Assange, el fundador de Wikileaks, aseguró en una entrevista con la revista Forbes, antes del “Cablegate”, que el número de filtraciones que su sitio web consigue aumentó "exponencialmente" a medida que tuvo mayor publicidad.

Estas fugas de datos, según Assange (en la foto inferior), son miles en un solo día. Y la mitad del material no publicado del que dispone proviene del sector privado.

Una muralla en condiciones
¿Qué debe tener en cuenta su organización para no sufrir una fuga de información como la que tuvo el Departamento de Estado del país norteamericano? Aquí, algunas nociones y consejos prácticos:

La informática desarrolló una serie de métodos de protección para contrarrestar los problemas de inseguridad de las redes abiertas, como Internet. Estos métodos pueden clasificarse en distintas áreas:

  • Sistemas de análisis de vulnerabilidades, a través de test de penetración.
  • Sistemas de protección a la privacidad de la información, como el software Pretty Good Privacy (PGP).
  • Sistemas de protección a la integridad de la información (criptografía).

Una red abierta presenta problemas de seguridad y confidencialidad. Esto ha llevado al desarrollo de una serie de técnicas para proteger la información transmitida.

Las técnicas criptográficas se basan en sistemas que utilizan claves de acceso. Pueden ser simétricas, si se usa la misma para encriptar y desencriptar el mensaje, o asimétricas, en las que se emplean un par de passwords, una pública y una privada.

En la criptografía de clave privada, como el caso del Data Encryption System (DES), la misma clave es utilizada por el emisor y el receptor del mensaje, por lo que presenta el inconveniente de que, en cada mensaje, se utiliza un código secreto del cual un tercero podría apoderarse.

Así fue como se desarrolló la criptografía de clave pública en 1977 mediante la cual se utilizan dos contraseñas, una pública y una privada, permitiendo identificar a la persona y transmitir mensajes seguros de modo que sólo el usuario que posee la clave privada, podrá desencriptar los mensajes enviados y encriptados mediante un código de uso público.

Para explicarlo en términos sencillos, se podría decir que la criptografía es “una técnica basada en un algoritmo matemático que transforma un mensaje legible a su equivalente en un formato ilegible para cualquier usuario que no cuente con la clave secreta para desencriptarlo”.

Algunas de las utilidades que presenta son la creación de firmas electrónicas, la autenticación de mensajes electrónicos y la verificación de la integridad de los mensajes enviados.

Amenazas
Las redes abiertas generan un ambiente propicio para estimular los ataques y amenazas de terceros. Una amenaza podría definirse como “una condición del entorno del sistema de información (persona, máquina, suceso o idea) que, dada una oportunidad, podría dar lugar a que se produjese una violación de la seguridad (confidencialidad, integridad, disponibilidad o uso ilegítimo)”.

Las amenazas pueden clasificarse en cuatro categorías básicas de pérdidas:

  • De integridad de los datos.
  • De la privacidad de los datos.
  • De servicio.
  • De control.

Las referidas amenazas pueden tener distintos objetivos y utilizar diversos métodos. Si se clasifican a estos métodos por el objetivo que persiguen, se pueden diferenciar amenazas que sólo buscan dañar el sistema y otras que apuntan a la obtención de información confidencial.

Estas amenazas pueden producirse mediante la aplicación de diferentes armas:

  • Virus: son fragmentos de código que se multiplican para ingresar en un programa o que lo modifican.
  • Gusanos: son programas independientes que pasan de una computadora a otra.
  • Troyanos: son fragmentos de código que se ocultan en los programas y desempeñan funciones no deseadas.
  • Bombas lógicas: tipo de troyano que suelta un virus o un gusano.
  • Bombas de destrucción de los componentes electrónicos de todas las computadoras mediante detonaciones magnéticas.
  • Jamming: entorpecimiento de la comunicación del adversario mediante la emisión de ruidos electrónicos.
  • Chipping: reemplazo de los chips estándar por troyanos.
  • Falsificación: e-mails y paquetes de TCP/IP falsificadas que violan las firewalls y otras medidas de seguridad.
  • Nano máquinas: pequeños robots que atacan el hardware del objetivo.
  • Puertas traseras: mecanismos que permiten a los atacantes ingresar en un sistema sin que los detecten los ámbitos de seguridad.
  • Ingeniería social: adopción de una falsa identidad para obtener información por teléfono, fax o e-mail.

Las armas mencionadas precedentemente son utilizadas en lo que se denomina "guerra de la información". El blanco de estos ataques pueden ser: personas físicas, personas jurídicas, organismos gubernamentales y hasta estructuras globales.

Estos ataques llevaron al desarrollo de los siguientes métodos para protegerse y defenderse de ellos:

  • Contraseñas: los sistemas informáticos de empresas deben contener claves complejas, difíciles de violar, y deben realizar auditorías y cambios frecuentemente.
  • Red: si se detectan vulnerabilidades en el sistema se debe realizar una nueva configuración de la misma, complementado con auditorías periódicas.
  • Parches: se debe tomar precauciones y suscribirse a las listas de correo electrónico que informan sobre seguridad e interiorizarse sobre las nuevas fallas que presenta el sistema operativo, como Windows, Linux o Apple OS.
  • Auditoría: los sistemas y archivos de registro deben ser verificados regularmente.

Medios de protección
Hay varios sistemas que se desarrollaron para combatir los problemas de inseguridad que se generan en las redes abiertas y que ayudan a prevenir la comisión de infracciones informáticas.

Los cuatro medios principales utilizados son los siguientes:

Firewall
Este sistema fue creado para prevenir el acceso no autorizado desde o hacia una red privada, y es considerado el primer mecanismo de defensa en la protección de información privada, aunque para lograr un mayor grado de seguridad sea necesario recurrir a la encriptación.

Su uso más frecuente es prevenir que usuarios de Internet, que no se encuentran autorizados, puedan acceder a redes privada de Intranet.

De esta manera, todos los mensajes que salen o entran de la red deben pasar por el firewall (o “cortafuego”), que los examina y bloquea aquellos que no cumplen con su estándar de seguridad.

El firewall puede ser instalado en el hardware, en el software o en ambos.

PGP
El Pretty Good Privacy (PGP) es un software de criptografía asimétrica, creado por Phil Zimmermann en 1991, y se lo considera virtualmente inviolable. Este se distribuye en Internet sin costo y se convirtió en el software de encriptación más utilizado.

El programa permite dotar de privacidad al correo electrónico, mediante el mecanismo de encriptar el mensaje posibilitando que sólo el destinatario pueda leerlo.

También se puede utilizar este sistema para firmar digitalmente sin encriptar el mensaje, como en el caso que no se desea ocultar la información pero se busca que los demás sepan quién es el emisor del mensaje en cuestión. Si se crea una firma digital, es imposible modificar el mensaje o la firma sin que el hecho se pueda detectar.

IPSEC
Este es un protocolo para asegurar el intercambio seguro de “paquetes de información” a través de Internet. Se desarrolló para implementar redes privadas virtuales (VPN, sigla en inglés).

El IPSEC utiliza dos métodos de encriptación: Transport y Tunnel. El primero encripta solamente la porción de información del paquete, pero no el “header” o “cabeza”. Por otro lado, el método Tunnel encripta ambos, la información y el “header”. Del otro lado, el dispositivo IPSEC desencripta el “paquete de información” enviado.

Para que el sistema funcione, ambos dispositivos, el de envío y el de recepción, deben compartir la misma clave pública.

PKI
El sistema de Public Key Infrastructure (Infraestructura de Clave Pública) se compone de autoridades de certificación, que emiten certificados digitales, y otras dedicadas al registro, que verifican y autentican la identidad de las partes que realizan sus transacciones por Internet. Este es el sistema de seguridad más confiable de los desarrollados hasta el momento. Y es el que se aplica para la firma digital.

Otras opciones tecnológicas para protegerse son la configuración de los servidores de e-mail para restringir los destinatarios a los cuales se pueden enviar documentos.

También se puede prohibir, a determinadas personas, copiar y pegar documentos, bloquear las descargas a pendrives y CD, y aplicar tecnologías que controlan si los empleados revisan con demasiada frecuencia su e-mail.

Pero debe tenerse en cuenta que si se aumentan los controles a la información, se le dificultará a los dependientes acceder a documentos que sí están autorizados a ver.

Correos electrónicos
¿Y qué sucede con la privacidad del correo electrónico? Existen herramientas que se pueden aplicar y que resguardan estas comunicaciones.

Hay programas corporativos que son capaces de integrarse en los gateways  (puerta de enlace de un sistema de equipos informáticos) de las empresas.

Por ejemplo, el PGP Universal Series 100, de PGP Universal, permite integrarse con los servidores SMTP y encriptar todos los e-mails entrantes y salientes de una compañía.

El Encryption Plus for email, de la firma PC Guardian, trabaja en el cliente de correo Outlook de Microsoft. Una vez instalado, se agrega un botón en la barra de dicho cliente de correo para activar la protección.

Luego, se escribe un mensaje de manera habitual. Cuando se intente enviarlo, el sistema pedirá al usuario que tipee una contraseña. Así, el e-mail se emitirá codificado como un autoejecutable, que el destinatario podrá abrir con sólo escribir la clave que corresponda.

El iOpus Secure Email Attachments (SEA) protege con una contraseña y comprime los archivos que se envían junto al e-mail. El remitente escribe su clave y envía el mensaje. Cuando el destinatario recibe el correo, sólo tiene que tipear la misma contraseña para que el archivo adjunto se autoejecute.

La principal ventaja de estas soluciones es mantener la confidencialidad de la información, en este caso, la que se transmite en los e-mails.

Las desventajas se encuentran vinculadas al desconocimiento de este tipo de solución por parte de ciertas compañías dado que, de no haber analizado previamente todos los pasos que realiza un correo electrónico, pueden presentarse dificultades en la recepción de los e-mails.

Como cualquier herramienta de seguridad, sumar confidencialidad implica, además, agregar problemas de performance, entre ellos:

  • Aumento del tiempo de procesamiento que se agrega para leer un e-mail al encriptar o desencriptar.
  • Olvidos de contraseñas que hagan imposible leer un e-mail.

Por lo tanto, la administración general de esta solución debe estar acompañada de un grupo de normas de uso, antes de implementarse.

Wi-Fi
Los puntos de acceso inalámbrico de corta distancia (Wi-Fi) a Internet ya son comunes en los centros urbanos, impulsados por el boom de ventas de computadoras portátiles. Sin embargo, su seguridad deja mucho que desear.

Es que tanto los públicos como los privados -que están en hogares y en empresas- son tierra fértil para "hackers" principiantes y grandes minas de oro para expertos sofisticados.

El Wi-Fi es una red inalámbrica configurada para el acceso compartido de Internet. ¿Cómo funciona? El host del punto de acceso se vincula con otro inalámbrico, conecta ese dispositivo a Internet (como por ejemplo una notebook o netbook) y luego difunde su señal en un espacio público.

Quien cuente con una tarjeta inalámbrica y esté dentro del alcance del host puede acceder a su red y utilizar Internet.

La prioridad es la practicidad, no la seguridad. La mayoría de los propietarios busca que su uso sea rápido y sencillo.

Para minimizar los requisitos de inicio de sesión y evitar problemas de compatibilidad de encriptación, desactivan gran parte de la seguridad integrada en sus dispositivos inalámbricos. Y ésta es una concesión que el público ha aceptado tácitamente.

Lamentablemente, sin esas medidas de precaución, lo que se envía como texto sin formato pasa por el aire, sin protección, para el destinatario pero también para todo aquel que lo quiera interceptar y leer.

Por eso, las conexiones Wi-Fi están bajo la mira de los “hackers” y los delincuentes. ¿Qué se debe hacer para evitar miradas intrusas?

En el hogar, es recomendable asegurarse que el router wireless tenga las medidas de seguridad configuradas para evitar el acceso indebido de un tercero: una contraseña fuerte y la utilización de un algoritmo eficiente, como puede ser WPA2.

En la oficina, deben garantizarse las mismas condiciones, aunque éstas no suelen depender del usuario sino de los administradores de la red. Además, hay que conocer a las personas se están conectando con el Wi-Fi de la empresa.

En cuanto a las redes públicas, es recomendable evitar el acceso a información sensible, o verificar que, en el caso de hacerlo a través de un sitio web, éste posea el protocolo HTTPS, que garantiza que la información estará cifrada cuando circule por la red inalámbrica.

SECCIÓN Tecnología