E-SECURITY, ENTRE HACKERS Y VIRUS

Este otoño promete ser movido en el ciberespacio. Por una parte, el Gobierno español tendrá preparado, si se cumple el calendario, el texto final de la Ley de comercio electrónico, adaptación del proyecto marco elaborado por la Unión Europea el año pasado. Por otra parte, el Consejo de Europa presentará su tratado sobre cibercriminalidad, mediante el que obligarán a los proveedores de acceso a internet (llamados también ISP, por el inglés "Internet Service Provider") a conservar datos de conexiones de los usuarios y ponerlos a disposición de las autoridades que los requieran

Este proyecto, en el que participa también Estados Unidos, ha levantado protestas enérgicas por parte de las empresas directamente afectadas, los ISP, y de diferentes asociaciones para la libre circulación de la información. El pasado 13 de octubre, 28 organizaciones, asociaciones y empresas de diversas nacionalidades –entre ellas, la revista electrónica española sobre seguridad en internet Kriptópolis- remitieron una carta abierta al Consejo de Europa solicitando la retirada o nueva redacción de gran número de artículos, por entender que el tratado "es contrario a normas bien establecidas para la protección del individuo y que extiende de forma impropia la autoridad de la policía de los gobiernos nacionales". Más concretamente, consideran que guardar un registro de las conexiones comporta un riesgo para la privacidad de los clientes. Tiene su lógica; teniendo en cuenta que no hay ningún sistema absolutamente impenetrable, esta medida abre una posibilidad más a los hackers para obtener información sobre personas físicas o jurídicas.

LAS CIFRAS
Se calcula que sólo se detiene al 1% de los ciberdelincuentes existentes. Como contrapartida, la consultora Ernst&Young recoge en un estudio que el 82% de las empresas españolas considera fundamental la seguridad informática, pero menos de la mitad analiza los posibles accesos a sus sistemas. A nivel mundial, el mercado de la seguridad movió 382.000 millones de pesetas en 1998, según Global Information Exchange, y las previsiones para el 2003 son de 1,4 billones de pesetas. Forrester Research, por su parte, estima en 4,5 millones de dólares (832,5 millones de pesetas) el gasto medio que hará cada empresa en seguridad electrónica durante este año. ¿Y en España? Una de las empresas líderes de seguridad en la red a nivel mundial, RSA Security, decidió el pasado octubre instalar en Barcelona la oficina de dirección de su negocio para el sur de Europa –hasta ahora ha operado en nuestro país a través de Afina Sistemas-. El responsable de esta área, Zane Ryan, calcula que durante el año 2000 el volumen de negocio de la seguridad en internet ha sido en España de 3.200 millones de pesetas, y que alcanzará los 9.000 millones en el 2003. Estas cifras se refieren a la comercialización de programas de encriptación y autentificación de datos; aparte habría que añadir la correspondiente a la instalación de infraestructuras o dispositivos para accesos externos.

DEL ANTIVIRUS A LA BIOMETRÍA
El concepto de seguridad en internet es muy amplio. Comprende desde los programas antivirus para particulares o empresas (como los comercializados por Network Associates –McAffee Antivirus- o Panda Software), hasta los sistemas de encriptación como SSL (Secure Sockets Layer, el más extendido, creado por Netscape) o SET (Secure Electronic Transaction, creado por Visa, Mastercard, VeriSign, Microsoft, Netscape y RSA, entre otras, y diseñado para asegurar la validez de las transacciones comerciales vía internet), pasando por el fichaje de hackers como responsables o controladores de la seguridad de una empresa (o incluso el alquiler de los mismos, como propone el servicio norteamericano Rent-A-Hacker).
A la hora de proteger los ordenadores y sus contenidos, las empresas empiezan por proveerse de un antivirus, después un "firewall" o cortafuegos (programa de protección y detección de intrusos en la red interna), a continuación un software de encriptación (o codificación) para los mensajes y las transacciones comerciales, y finalmente de sistemas biométricos (reconocimiento ocular, dactilar, vocal u otros, pero que no siempre son vistos como rentables ante su elevado precio; un ratón con scaner dactilar superaba el año pasado los 100 dólares, por ejemplo).
En el campo de las certificaciones digitales, del sistema SSL se ha querido pasar en Europa al SET, pero EE.UU. no se ha adherido, lo que ha frenado su estandarización, como tantas veces ha sucedido en el campo de las tecnologías. Como respuesta, y procurándose la seguridad por medios propios, 30 de los bancos más importantes del mundo –entre ellos, el BSCH y el BBVA- han creado una plataforma tecnológica para las transacciones entre entidades, un proyecto bautizado como Identrus, y que certifica las operaciones tanto de ellos mismos como de aquellas firmas asociadas.
Una encuesta de Omni Consulting, citada por la revista Tomorrow, calcula que las empresas europeas habrán perdido un billón de pesetas durante el año 2000 como consecuencia de los ataques de hackers, y que dichas pérdidas suponen el 5% de sus ingresos –curiosamente, Zane Ryan apunta que los gastos en seguridad de una empresa digital representan el 5% del presupuesto-. Y los medios de comunicación nos hablan frecuentemente de ataques cibernéticos a páginas de importantes empresas, gobiernos y organizaciones que disponen de personal altamente cualificado para garantizar la inviolabilidad de sus sistemas (a quien sienta curiosidad por los casos más destacados le recomendamos la cronología del cibercrimen que se puede consultar en www.ciberpol.com/spa/cronologia_cibercrimen.htm).

LAS UNIVERSIDADES, LAS MÁS ATACADAS
En España existen dos organismos que se ocupan de la seguridad en internet: Iris-Cert y esCert-UPC. La primera cubre las incidencias en universidades y centros de investigación, mientras que la segunda se encarga de la seguridad en empresas y organizaciones. Según Iris-Cert, los ataques o intentos de ataque a las universidades y otros centros fueron un total de 129 en 1998, 76 de ellos graves o muy graves, tras un incremento del 250% respecto a 1997. Los ataques a empresas, según el otro organismo, descendieron de 43, en 1997, a 28, esto es, un 25,5%. El porqué de esta vulnerabilidad de las universidades, explican los responsables del esCert-UPC, es la necesidad implícita de los ordenadores a estar más abiertos, más a disposición de estudiantes e investigadores.
¿Qué hacer? En el mundo empresarial, una opción es dirigirse a una auditoría de seguridad, que durante un periodo de tiempo no superior a un par de semanas estudie las vulnerabilidades de los sistemas, políticas y prácticas de la empresa. La auditora española IPS Seguridad señala su actividad como "uno de los servicios llamados a un mayor desarrollo en los próximos años" ante el espectacular desarrollo de internet y las expectativas de crecimiento del comercio electrónico. Estas auditoras en muchas ocasiones recomendarán recurrir a empresas especializadas en seguridad, tanto a efectos de instalación de medidas como de mantenimiento de las mismas. ¿Es mejor recurrir a una empresa externa que crear un departamento propio? Entre los argumentos a favor de la primera opción están la experiencia adquirida, la especialización y que dichos profesionales no caerán –como quizás sí su cliente- en una cómoda y peligrosa confianza en la integridad tanto de sus ordenadores como de los empleados.
El ordenador más seguro –y aún así, no inaccesible, probablemente- es uno no conectado a internet, estropeado y enterrado en un desierto. Pero poco se puede hacer con él, naturalmente. Y el peligro de interceptación de información por parte de terceras –y malintencionadas- personas no es un problema exclusivo de la "red de redes". Otro término que adquiere cada vez más popularidad es la m-security, o seguridad en las comunicaciones a través de teléfono móvil. Y es que poco avanzarán las tecnologías y su uso si no se puede garantizar su seguridad al máximo, o como mínimo si no despiertan una sensación de seguridad.

Javier Raya.