HACKERMANIA
 

Alarmantes noticias y estadísticas sobre la poca seguridad informática en las empresas disparan el miedo a los piratas
 

Mercè Molist
La fiebre y la paranoia crecen por momentos. Casi a diario, nuevas noticias sobre ataques en la NASA, en el Pentágono, en la India, nuevos 'bugs' en los programas más conocidos, nuevos informes -pagados por las propias empresas que venden programas de defensa-, reportan la alarmante inseguridad en la que se mueven las corporaciones que operan por la red. Según un reciente estudio del Computer Security Institute (CSI), el 75% de 563 empresas, instituciones y universidades norteamericanas encuestadas perdieron dinero, en 1997, por culpa de fallos de seguridad en sus sistemas.

Es tan grande la alarma, que incluso ha aparecido quien ofrece seguros 'anti-hackers', como el servicio TruSecure, de la International Computer Security Association (ICSA), que promete pagar a sus clientes 250.000 dólares en caso de que alguien penetre en sus sistemas, robe o no información (siempre, claro, que se haya pasado la 'revisión' de la ICSA y se utilicen las defensas que ella recomienda). Recientemente, la famosa compañía aseguradora Lloyd's presentaba un servicio parecido, que cubre los daños provocados por los propios empleados, los ataques de virus, la extorsión a causa de robo informático y la interrupción del negocio por culpa del suceso.

Aunque de Internet sólo provienen el 20 por ciento de los ataques informáticos sufridos por las empresas -la mayoría se perpetran desde dentro-, la consigna es no dormirse en los laureles y preparar la defensa por si los ciberninjas. A partir de los 30 empleados y según el valor de la información que se maneje, es ya conveniente tener a un experto en seguridad en plantilla. Para PYMES, lo mejor, según Marck Collado, consultor de Intercomputer, es "subcontratar la seguridad a una empresa".

Últimamente, éste tipo de consultoras independientes han crecido como la espuma pero, avisa Collado, "muchas están formadas por una o dos personas que conocen Linux y ya se creen que dominan el tema de la seguridad. El problema es entonces para los clientes, porque piensan que están cubiertos y aquello es un desastre, puedes entrar y salir por donde quieras. En las últimas cinco consultorías que he hecho, en bancos y cajas de ahorros nacionales y extranjeras, el nivel de seguridad no es que sea pésimo, ¡es que no existe!".

Mientras, el peligro crece, dicen las estadísticas: si en 1988 el Computer Emergency Response Team (CERT) norteamericano registraba sólo 6 incidentes, en 1997 fueron 2.134. Aunque, como asegura Collado, "el peligro es grande y pequeño. Por una parte, las redes están muy descubiertas pero, por otro lado, el número de personas que realmente tienen conocimientos para atacar con éxito es bastante reducido". Los mitos, pues, crecen en este campo al mismo ritmo que los sueldos astronómicos de sus expertos.

Una de las leyendas más extendidas es que con un "Firewall" (o "Muro contra Incendios", un programa que protege la red interna de intrusiones) se arregla todo. Collado lo avisa: "Si sólo pones esto pero no proteges el interior, es como si blindases una puerta y dejases la pared descubierta". Otro consultor informático independiente -que quiere permanecer en el anonimato- le da la razón y añade: "Una empresa que se conecte a Internet no tiene porqué tener un 'firewall', generalmente, su proveedor de acceso ya le da cierta seguridad".

Además, según la experiencia de Jordi Buch, responsable técnico del CERT de la UPC, no toda la culpa es de los agujeros: "La mayoría de fallos vienen de despistes humanos porque, en las empresas, prevalece mucho la funcionalidad por encima de la seguridad y, aunque funcionan las cosas, los profesionales no están excesivamente formados". Tales despistes pueden costarle a la corporación de turno desde sólo un susto hasta la quiebra total. Aunque, si se ha contratado un seguro... "Sí, siempre puedes 'hackearte' a ti mismo, para cobrar la indemnización", se ríe Matt Conover, del departamento de seguridad de RepSec Inc, en Arizona.
 
 

DATOS
 

Ataques a empresas españolas en la red, conocidos por el CERT de la Universitat Politècnica de Catalunya.

**1996 (desde febrero) .................19 [de los cuales ---> 5 ganaron privilegios de administrador (root) y 2 instalaron "sniffers"

**1997..................................43 [de los cuales ---> 13 ganaron privilegios de administrador (root) y 3 colocaron "sniffers"

**1998 (de enero a abril)...............5 [de los cuales ---> 0 ganaron privilegios de administrador]
 
 

Ataques más frecuentes
 

a) Denegación de servicio: envío de un paquete corrupto -el conocido 'ping de la muerte', o hacer un 'mailbombing'-, que colapsa las máquinas de la víctima. Es un tipo de ataque muy fácil, donde no es necesario conseguir acceso como administrador, y que puede llevarse a cabo con pocos conocimientos, usando programas accesibles en la red.

b) Intromisión ilegal: se suplanta la identidad de un usuario -robo de contraseñas- o bien se aprovecha un fallo del sistema para entrar dentro. Puede ser muy difícil o muy fácil, depende de si la víctima está o no bien protegida.

c) Abuso de recursos: usar máquinas ajenas para enviar correo basura desde ellas, vender programas en un servidor FTP ajeno, colgar páginas sin que se entere el administrador del sistema, etc.