| Artículos | 01 OCT 2008

Los mitos de la seguridad

Tags: Histórico
Olof Sandstrom.
La seguridad es cuestión de dinero. Falso. Por mucho dinero que se invierta en productos y herramientas de seguridad, si no están bien instaladas y configuradas, poco podrán hacer para asegurar un sistema informático. Además, por muy bien instaladas y configuradas que estén, si no se explica al usuario, ya sea un particular o un empleado, cómo usarlas, resultarán inútiles. Y, por supuesto, el usuario debe ser consciente de la importancia de su uso.

Normalmente, el mayor esfuerzo que tiene que hacer una organización es cambiar la forma de trabajo y los hábitos cotidianos del personal. Cuestiones que a priori pueden parecer triviales, como el uso del correo electrónico y de las impresoras, la navegación web o la fortaleza de contraseñas acaban por convertirse en los auténticos desafíos que incrementan la seguridad de la organización.
Por otra parte, también hay que tener en cuenta que la seguridad parte de una situación inicial que no se puede pasar por alto. En toda organización, existen previamente unos servidores y aplicaciones que no se compraron ni configuraron teniendo en cuenta unos criterios de seguridad. Su adaptación posterior suele ser compleja y, en ocasiones, incluso imposible. Por poner un ejemplo, es más rápido y económico comprar un coche y pedirlo con airbag y ABS que ir a un taller y pedir que los instalen en un coche que no los lleva de serie. Es fundamental tener en cuenta las necesidades de seguridad a la hora de diseñar un sistema informático. En caso contrario, después será mucho más complicado y caro incluirlas.
La seguridad es una cuestión de cultura y concienciación. No es una cuestión de dinero.
 Nadie va a querer colarse en mis ordenadores. Falso. La inmensa mayoría de los ordenadores están conectados a Internet, tienen almacenados ficheros relacionados con el trabajo, utilizan datos personales o sirven para acceder a otros sistemas de la organización.
Hoy en día, los piratas informáticos no intentan colarse en los ordenadores exclusivamente para obtener información confidencial o por cuestiones de espionaje industrial. Hay muchísimas razones para intentar colarse en un ordenador: utilizarlo para saltar a otros sistemas de la organización que no son accesibles desde Internet, enviar spam (correo publicitario no solicitado) o phishing (hacerse pasar por una entidad financiera para obtener ilegalmente claves de acceso), lanzar ataques a otros ordenadores, recolectar información de las tarjetas de crédito de los usuarios… Hay que romper con el mito de que los piratas informáticos son jóvenes con unos ciertos conocimientos de informática que acceden a otros ordenadores como reto personal.
Los piratas informáticos son auténticas mafias organizadas con objetivos económicos claros. Cada vez más, se trata de organizaciones profesionales con “empleados” que cobran un sueldo de cuarenta horas semanales para que su “empresa” obtenga un retorno económico de esta inversión. El cibercrimen se ha profesionalizado.
En este sentido, los ataques son cada vez más organizados y sistemáticos. No dejan nada al azar. Están muy bien planteados y se ejecutan aprovechando conocimientos técnicos avanzados.
Cualquier ordenador es susceptible de ser atacado, porque existe un interés económico detrás de cualquier equipo.
 Como ya tengo antivirus, mi ordenador es inmune a los virus. Falso. Casi todas las empresas y particulares tienen antivirus. Sin embargo, el número de incidentes por virus continúa creciendo.
Muchas organizaciones cuentan con herramientas antivirus desplegadas en sus puestos de trabajo, pero no se actualiza el fichero en todos los equipos o el motor antivirus ha sido desactivado por el propio usuario para no ralentizar el funcionamiento del ordenador. O, simplemente, sólo se está escaneando el correo electrónico, cuando navegar por una página web infectada también tiene riesgo de contagio de un código malicioso (virus, troyanos, o programas espía, entre otros).
Las organizaciones suelen decir que no tienen problemas de virus porque sus usuarios no han detectado nada extraño. Olvidan que los nuevos virus están diseñados para que parezca que todo va bien. Cada vez son menos frecuentes los virus que borran toda la información o que propician que aparezca el emblema pirata en pantalla, como ejemplifican las películas. Ahora, el usuario difícilmente puede percibir que su equipo infectado está sacando información del ordenador infectado o lanzando spam. Si el usuario se da cuenta, el ordenador resulta menos rentable para el delincuente informático.
Para estar libres de virus no basta con comprar los antibióticos, hay que tomárselos como receta el médico.
Como tengo copia de seguridad, estoy a salvo. Falso. Aunque se haya hecho una copia de seguridad para reponer la información en caso de accidente, hay que tener en cuenta que una copia de seguridad debe estar actualizada y contener los datos que el usuario necesita. Si la copia es antigua, el usuario corre el riesgo de tener datos desfasados, que la copia no se pueda restaurar o, incluso, que el virus se encuentre también en la copia.
También es muy frecuente que las organizaciones hagan copia de seguridad de sus servidores, pero no del contenido de los ordenadores de sus trabajadores. Se supone que los trabajadores tienen que dejar los documentos en las carpetas de los servidores para garantizar las copias de seguridad. Pero esta recomendación no es infalible, ya que un porcentaje muy elevado de los trabajadores, incluyendo los directivos, guarda archivos de trabajo en su PC. Por tanto, no existe copia de seguridad de toda esa información.
También es frecuente que no se haga copia de seguridad de la agenda o de los correos electrónicos. En caso de incidentes, esta información no se puede restaurar y puede suponer un importante coste para la organización.
No basta con tener una copia. Esa copia debe contener toda la información necesaria, razonablemente actualizada y debe poder restaurarse si necesario. 
Ya tengo cortafuegos y sistema de detección de intrusiones, nadie podrá entrar en mi ordenador. Falso. ¿De qué sirve tener una alarma en el coche si la desactivamos porque algunas veces salta sin motivo? En Internet sucede lo mismo. Muchos usuarios tienen estos sistemas de seguridad instalados, pero inhabilitan algunas de sus funciones para que algunas operaciones, como navegar por Internet, resulten más cómodas. Sin cultura ni conciencia de los riesgos, ningún sistema sirve de nada.
Por otra parte, los cortafuegos son sistemas de seguridad bastante simples. Efectivos, pero simples. Se basan en indicar qué tipo de tráfico de datos está permitido sobre qué puertos. Pero la mayoría de los ataques se lanzan utilizando tráfico autorizado sobre puertos abiertos y el cortafuegos no los va a parar. Incluso si detrás del cortafuegos tenemos un sistema de detección de intrusiones bien configurado, éste parará el ataque sólo si lo reconoce mediante un patrón de ataque definido.
Además, numerosos ataques están dirigidos contra páginas web, por lo que resulta imprescindible comprobar que la aplicación web no tiene agujeros de seguridad en su programación. En caso contrario, el cortafuegos y el sistema de detección de intrusos podrán hacer poco para pararlos.
Un cortafuegos y un sistema de detección de intrusos no es suf

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información