El reto de evitar fallos de seguridad
Las primeras semanas de 2002 han estado plagadas de anuncios de fallos de seguridad en distintas aplicaciones informáticas. La preocupación entre los usuarios y los proveedores de estas herramientas crece y se buscan soluciones
Si diciembre de 2001 fue un mes prolífico en el anuncio de numerosos agujeros de software, enero de 2002 no se le ha quedado a la zaga. Microsoft, IBM, Sun Microsystems, Oracle, America Online o Hewlett-Packard, entre otras empresas, se han visto salpicadas por noticias que hacían público fallos más o menos graves en sus aplicaciones, algunas tan conocidas como el navegador Internet Explorer, el programa de mensajería AOL Instant Messenger o los sistemas AIX y Solaris. Aunque las compañías afectadas reaccionaron rápidamente y sacaron parches en cuestión de horas, la preocupación entre los usuarios ha crecido, ya que según explican los expertos en seguridad estos agujeros pueden dar el control de los sistemas informáticos a personas no autorizadas que podrían introducir virus, destruir ficheros o simplemente hacerse con información valiosa.
Microsoft ha sido, sin duda, la empresa más afectada y la que más duras críticas ha recibido. La firma de Bill Gates ha tenido que reconocer fallos de seguridad en productos recién estrenados por la compañía, como el sistema de autenticación Passport o Windows XP, 'el programa con mejor seguridad hasta la fecha', como vendió el gigante de Redmond su nuevo sistema operativo. También algunas publicaciones se hacían eco el pasado noviembre que el sistema .Net de Microsoft escondía un agujero que permitía a los ciberdelincuentes acceder a los datos de las tarjetas de crédito de quien comprara en sitios afiliados a la plataforma de esta compañía.
Héctor Sánchez, coordinador de un programa de seguridad de Microsoft, se defiende y asegura que las vulnerabilidades en el software son algo continuo y que afecta a todas las empresas del sector. 'El problema es que como somos la plataforma más extendida, nuestros fallos son los que más se difunden. El fallo de XP salió hasta en la radio. Sin embargo, casualmente tres o cuatro días antes había aparecido un problema que afectaba a todos los sistemas Unix y de forma bastante crítica y no escuché ni una noticia al respecto'.
Aunque sea algo común y la seguridad total no exista en el software, según reconoce Rodolfo Lomascolo, director general de la empresa de seguridad Ipsca, Bill Gates ha decidido tomar cartas en el asunto. El presidente y fundador de Microsoft mandó la semana pasada un correo electrónico a los empleados urgiéndoles a que, a partir de ahora, otorguen máxima prioridad a la seguridad a la hora de fabricar software. 'Cuando se plantee elegir entre agregar más características a una aplicación y resolver problemas de seguridad en los productos, hay que elegir la seguridad', decía el comunicado. La analogía que empleó el máximo directivo de Microsoft, es que la informática debe ser tan fiable y segura como lo son los servicios de distribución de electricidad y del agua.
Gates comparó el memorándum a pasadas misivas en las que señalaba nuevas direcciones para la compañía, como la de 1995 en la que anunció el trascendental giro de la firma hacia la Red. Algunos expertos han recibido la noticia con escepticismo. En siliconvalley.com, Bruce Scheneier, jefe de tecnología de una empresa de seguridad en San José, aseguraba que 'Microsoft es conocida por tratar la seguridad como un problema de relaciones públicas. Gates ha dicho lo correcto. Si lo cumple será un importante cambio, pero necesito pruebas para creerlo'.
Según Lomascolo, el hecho de que hayan coincidido tantas denuncias de fallos es pura casualidad, aunque advierte que 'los fabricantes de software tienen más presión para sacar más rápidamente nuevas versiones de sus productos, lo que les impide hacer todas las pruebas necesarias'. Este experto coincide con José Manuel Estrada, arquitecto de sistemas de Sun, en que la seguridad total en el software no existe, aunque sí se puede hacer cosas para mejorarla.
Por ejemplo, explica Estrada, Sun apuesta por un sistema operativo robusto al que no añaden muchas funcionalidades. 'De hecho, en 20 años de vida los incrementos funcionales en Solaris han sido muy pequeños para disgusto de nuestro departamento de marketing, pero no es éste el que marca el ritmo de salida de productos al mercado. Sacar una nueva funcionalidad exige numerosísimas pruebas y una metodología muy seria', dice. Esta compañía exige además a sus clientes una buena formación de sus administradores de sistemas para evitar posibles negligencias por su parte y realiza auditorías continuas tanto físicas como legales.
La consultora Gartner Group cree que los usuarios deben ser más exigentes con los proveedores de aplicaciones. Ahora, cuando una empresa tiene un problema de seguridad con un software, no puede pedir responsabilidades al fabricante del mismo. 'Es cierto que no se pueden hacer responsables de todo, pero sí de tener un control de calidad alto, hacer un seguimiento continuo de su software, reaccionar rápidamente frente a los agujeros que se encuentren e informar al cliente de forma proactiva', dice Lomascolo. Es decir, que independientemente de que el usuario mire o no en los foros de Internet qué nuevos fallos surgen, éste se encuentre avisado y pueda descargar la actualización de manera inmediata.
Precisamente en este sentido está trabajando Microsoft, porque, según cuenta Héctor Sánchez, no basta con publicar un parche. En el caso del virus Nimda, la compañía de Bill Gates había publicado el remedio que evitaba su propagación, pero muchos clientes que no tenían una buena política de seguridad se vieron infectados. 'No es que queramos cargar las tintas sobre si los administradores de sistemas deben hacer tal o cual cosa, porque la mayoría tiene sistemas multiplataformas y estar pendiente de qué agujeros se han detectado y si tienen parches es un trabajo realmente penoso', confiesa.
Por ello, la firma de Bill Gates ha puesto en marcha una iniciativa llamada Strategy Technology Protection Program cuya finalidad es que el software se automantenga. 'Queremos que todas las aplicaciones de Microsoft tengan un anuncio proactivo, de forma que cuando publiquemos un parche automáticamente el cliente quede advertido en su ordenador y pueda descargárselo haciendo un simple clic', dice Sánchez. Según este portavoz de Microsoft, la solución que ya está disponible para PC será trasladada ahora a los servidores corporativos. El problema, añade Sánchez, es que una corporación que tenga 300 servidores no va a permitir que todos ellos se conecten a Redmond, donde está la sede de Microsoft, para chequear si hay una actualización o no.
El gigante del software está probando un sistema con algunas compañías, entre ellas algunas corporaciones financieras y de telecomunicaciones españolas, que lo que permite es sincronizar un solo servidor por compañía con Redmond. æpermil;ste se descarga los parches de seguridad, y luego, internamente en la empresa distribuirá el remedio entre el resto de servidores. 'Esto hará que el tiempo transcurrido desde que Microsoft saque un parche hasta que el cliente lo tenga físicamente en sus máquinas sea mínimo', señala Sánchez. La compañía de Bill Gates quiere dejar claro que no busca una nueva línea de negocio. 'Todo es gratuito, sólo queremos asegurar que los clientes confían en nuestras soluciones', dicen.
Lo cierto es que la preocupación de los proveedores de software es cada vez mayor, sobre todo porque antes de Internet estas empresas raramente reconocían fallos de seguridad en sus productos y a menudo se demoraban varios meses antes de sacar las nuevas versiones una vez que los puntos débiles eran descubiertos. El problema es que cada vez parece haber más gente dispuesta a buscar agujeros en los programas y utilizarlos para entrar en más de 50 millones de ordenadores expuestos a Internet. 'Siempre ha habido agujeros y posiblemente siempre existirán, pero Internet está colaborando a que los ataques y los virus se difundan con más rapidez. Con Internet, si hay fallos de seguridad, el acceso a los sistemas de las empresas es inmediato', subraya José Manuel Estrada.
El debate que ahora se abre es si hay que hacer públicos estos fallos. Mientras algunas personas y empresas critican a Microsoft de intentar ocultar las vulnerabilidades de sus sistemas, la compañía de Bill Gates asegura que es partidaria de dar a conocer los agujeros, pero no el cómo atacarlos. Según Scott Culp, director del Security Response Centre de Microsoft, hacer públicos los fallos de seguridad junto con el código es proporcionar a los cibercriminales los planos para cometer sus fechorías. La política de transparencia total del sector de seguridad lleva a la 'anarquía de la información', según el directivo, para quien no hace falta conocer las causas clínicas de un dolor de cabeza para tomarse una aspirina.
Mayores inversiones
Por su parte, las empresas son cada vez más conscientes de la importancia de que no existan huecos en sus sistemas. Las inversiones en seguridad empiezan a representar más del 5% del presupuesto anual de las empresas, partida que no atañe sólo al departamento de informática. También se ven involucrados el financiero, que se preocupa de buscar las pólizas que cubran su responsabilidad penal y civil, y el de marketing, que transmite a sus clientes una imagen de que se les está ofreciendo un entorno fiable. 'No consiste en gastarse más dinero en seguridad, sino en racionalizar los elementos que muchas veces no se usan correctamente para sacar de ellos todo su potencial', asegura Francisco Javier Núñez, vicepresidente del área de consultoría de Cyberguardian.
Una falta que no se puede achacar a todos los sectores. Patagon es consciente de la importancia de la seguridad para su negocio. Sirvan como ejemplo sus 100 niveles de acceso a la información que ha definido según el papel del empleado dentro del banco. En Patagon reconocen que se detectan de manera frecuente intentos de ataques de piratas, pero insisten en resaltar que la seguridad que hay en un banco en línea es muchas veces superior a la de un banco físico.
Pero la culpa de los fallos en seguridad no es sólo de cómo se usa la tecnología. 'Los proveedores de soluciones de seguridad no nos dan soluciones a todos los problemas', se queja Francisco del Castillo, responsable de seguridad de Patagon.
Del orgullo pirata al crimen organizado
'Hemos publicado los datos de 350.000 tarjetas de crédito y sus propietarios. Un montón de dinero puede ser robado porque la empresa que hemos hackeado no ha aceptado pagarnos y ha denunciado el hecho al FBI', decía un mensaje electrónico firmado por un tal Zilterio enviado a un periodista de Cinco Días.
El correo escrito en inglés incluía una dirección donde, en principio, se podía encontrar la lista de las tarjetas robadas, pero ya no estaba en funcionamiento. La extorsión se intentó realizar a una tienda de comercio electrónico bastante conocida en EE UU, aunque al final no ha trascendido. Pero hechos como éste se repiten todos los días en Internet.
Las historias como la de Dimitry Sklyarov, que rompió los mecanismos anti-copia del programa para la lectura de libros digitales de Adobe y fue encarcelado al llegar a Estados Unidos el pasado agosto causando un gran revuelo en toda la sociedad estadounidense (la propia Adobe retiró los cargos después de que grupos de usuarios se manifestaran ante su sede), se están viendo sustituidas por noticias que hablan de chantajes a empresas y de un auténtico mercado negro de bases de datos.
'Los piratas se han profesionalizado', asegura Javier Nuñez, vicepresidente del área de Consultoría de la empresa de servicios de seguridad Cyberguardian. La venta de bases de datos de clientes parece ser un hábito bastante frecuente e incluso se habla de piratas que venden sus servicios para entrar por encargo en los ordenadores de la competencia y sacar de allí toda la información que se desee. æpermil;ste es un fenómeno internacional del que no se escapa España, donde los ataques de piratas se han multiplicado por 240 en los últimos cinco años. Aquellos que conocen los foros de seguridad donde se mueven los piratas hablan de que se están pagando entre 300.000 y 600.000 millones de euros por bases de datos de clientes.
En Cyberguardian recuerdan el caso de una puntocom dedicada al comercio electrónico cuyas ventas descendieron súbitamente y sin una explicación aparente. Cyberguardian, después de someterles a una auditoría, descubrió que había sido víctima de un ataque hacía tres meses por el que le habían sustraído información fundamental para su negocio, que, sin duda, alguien estaba utilizando a su favor ofreciendo mejores condiciones a los que hasta entonces eran sus clientes.
'Los ataques no se pueden evitar, pero existen las herramientas necesarias para minimizar los riesgos y las consecuencias', asegura Nuñez. Su consejo es externalizar los servicios de seguridad informática del mismo modo que se subcontratan los guardias de seguridad para las oficinas físicas.
2002, un año para poner al día la informática
Las empresas se encuentran en una carrera contrarreloj para tomar las medidas necesarias para proteger correctamente sus sistemas y los datos que almacenan. A mediados de este año vencen los plazos en cuanto las medidas descritas por la Ley de Protección de Datos. A este hecho hay que sumar una presión internacional surgida a raíz de los atentados del 11 de septiembre por la que distintos organismos están exigiendo un mayor control para la adopción de medidas de seguridad.
Datos especialmente protegidos en junio
En España, el derecho a la protección de datos está reconocido como un derecho fundamental independiente por el Tribunal Constitucional desde 2000 (hasta entonces era un apéndice del derecho a la intimidad) y, como tal, está legislado por una de las normas más protectoras del mundo.
Las empresas deben ponerse al día para cumplir con la ley, puesto que el próximo 26 de junio vence el plazo para adoptar las medidas de seguridad para proteger los datos considerados más delicados, es decir, los referentes a la ideología, religión, etnia, tendencia sexual, etc.
Esta información entra en el apartado de datos especialmente protegidos, por lo que todas las empresas deben asegurarse de que siempre que se haga una transferencia o envío, esta información se cifre. Al mismo tiempo, se debe mantener una copia de seguridad de todos ellos fuera de los locales donde se almacenen los originales. Con esta medida, que ya fue prorrogada un año, se completan todas las normas de seguridad para el almacenamiento de datos, cuyas categorías inferiores para archivos con información menos delicada están reguladas desde hace más de dos años.
La empresa que no cumpla los requisitos marcados por la ley se enfrenta a sanciones desde 600 a 600.000 euros.
Auditorías de sistemas para cotizar en Bolsa
A raíz del 11 de septiembre, la Administración Bush ha ido aprobando una serie de medidas para que las compañías no descuiden sus sistemas.
La posición del Gobierno se ha visto rápidamente reflejada en medidas adoptadas por otros organismos. El más llamativo ha sido el Nasdaq, que está obligando a las empresas cotizadas a que tengan a disposición de sus accionistas un informe de auditoría de sus sistemas de manera regular. Esta medida ha sido imitada por la Bolsa de Londres, que en breve va a incluir una condición similar para todas las empresas cotizadas.
En España todavía no hay por qué preocuparse. La CNMV asegura que todavía no se ha incluido ninguna condición de este tipo para estar en cualquiera de los parqués nacionales, aunque reconoce que desde el Iosco se ha comentado el interés de hacer este tipo de recomendaciones a las Bolsas.
Criterios comunes para la calidad
El año pasado 14 países, entre los que se incluye a España, acordaron unos criterios comunes para normalizar lo que se entendía por seguridad informática. Estos criterios son unas sugerencias que ayuden a desarrollar los criterios de evaluación para obtener los distintos sellos de calidad y las variantes de ISO para la seguridad informática.
Aenor asegura que todavía no se están aplicando, pero que estos criterios comunes han sido recomendados oficialmente por Consejo de la Unión Europea para que se adopten en la realización de evaluaciones en toda la UE.