Los sistemas de seguridad informática más sofisticados no son suficientes para impedir las filtraciones
Una encuesta de PwC indica que los 'hackers' están detrás del 25% de los incidentes de seguridad de la información.
Una encuesta de PwC indica que los 'hackers' están detrás del 25% de los incidentes de seguridad de la información. Reuters

¿Estoy protegido frente a un espía industrial?

Una ex agente de la CIA afirma que los métodos tradicionales del espionaje siguen siendo una gran amenaza

Las empresas invierten grandes sumas de dinero en sofisticados sistemas de seguridad informática y con ello sienten que su información confidencial está segura, pero esa sensación pocas veces se ajusta a la realidad. De ello está convencida la exagente secreta de la CIA J. C. Carleson, quien asegura que los métodos tradicionales del espionaje siguen siendo una amenaza para las compañías, con una relevancia igual o mayor a la de los hackers más avanzados.

La exespía, que ha escrito un libro con lecciones de su anterior trabajo para aplicar en los negocios (Trabaja como un espía, Planeta), cuenta, en una conversación telefónica, que encontrar a la persona adecuada en el momento indicado y seducirla o descubrir su debilidad para que proporcione cierta información de interés es una de las técnicas esenciales de la agencia de inteligencia estadounidense y una práctica muy corriente también en el mundo del espionaje industrial.

Y no es necesario hablar con un experto del mundo de la inteligencia para confirmarlo. El caso de Edward Snowden, el excontratista de la Agencia de Seguridad Nacional de Estados Unidos que reveló los programas secretos de espionaje de Washington, es una prueba de que ni siquiera los sistemas de seguridad informáticos más avanzados son suficientes. Las personas, sus valores, intereses y debilidades, juegan un papel central a la hora de resguardar la información confidencial de cualquier organización.

El informe anual que elabora la empresa de servicios de consultoría y auditoría PwC sobre el estado global de la seguridad de la información en las empresas da cuenta, en su edición de 2013, de la relevancia de esas amenazas no informáticas. Los resultados de una encuesta realizada en 2012 a unos 9.300 directivos de 128 países revelan cuáles son las causas que hay detrás de los incidentes de seguridad. La mayoría de los entrevistados (más de un 35%) señaló a sus empleados como la principal amenaza y un porcentaje algo menor (de alrededor de un 27%) indicó que los trabajadores que han abandonado la empresa estuvieron detrás de la filtración. Los hackers, con un 25%, quedaron en tercer lugar.

Las medidas que toman las compañías para minimizar los riesgos que provienen de su personal son variadas. Entre otras cosas, firman acuerdos de confidencialidad, diseñan programas para concienciar a los empleados de la gravedad de las filtraciones, realizan backround checks de los trabajadores, monitorizan el uso que hacen de internet y de la información de la empresa o restringen el acceso a ciertos datos a las personas para las que son estrictamente necesarios.

Carleson cree que, aunque son importantes, estas políticas no son suficientes para neutralizar los riesgos. “Cada persona que deja la empresa y cada empleado descontento seguirá siendo una oportunidad para un competidor ávido de información”, afirma. Las estrategias que ponen todo el énfasis en el secretismo y en medidas de seguridad como la compartimentación de la información, además, plantean un serio dilema a las corporaciones. “Por definición, la seguridad empresarial limita la comunicación y la colaboración”, afirma Carleson. La exagente de la CIA, que ha trabajado en empresas como Starbucks y Baxter, cree que hay dos estrategias que siempre darán buenos resultados: lograr una alta satisfacción de los empleados con la compañía y reducir los niveles de rotación.

El director del Centro Nacional de Excelencia en Ciberseguridad de la Universidad Autónoma de Madrid, Álvaro Ortigosa, indica que ciertas prácticas de la cultura de trabajo actual han complicado el panorama para los responsables de la seguridad de la información. “Con la costumbre cada vez más extendida de seguir trabajando desde casa, son muy pocas las empresas que impiden a sus empleados descargar información en un pendrive o llevársela de algún modo”.

Consejos para estar alerta

Carleson subraya que los directivos o empleados comprometidos con su empresa también pueden filtrar información y perjudicar a la compañía por ingenuidad o por no estar lo suficientemente alerta. “La gente que se gana la vida traficando con datos en el mercado negro es astuta, manipuladora y domina el arte de obtener información de fuentes tanto cómplices como involuntarias”, explica. La exagente de la agencia de inteligencia estadounidense afirma que un blanco fácil para los espías suelen ser las personas que viajan por trabajo. “Son más vulnerables porque están en un medio que no conocen y necesitan apoyarse en otras personas para llegar a algún sitio o para comunicarse si no hablan el idioma del lugar”.

A los viajeros está destinado el primero de los consejos que da en su libro. Su recomendación es no llevar más que los datos estrictamente necesarios para la ocasión. Lo ideal, a su entender, es tener un ordenador portátil exclusivo para esos desplazamientos. “No debería contener datos personales, sobre contraseñas ni ningún otro tipo de información confidencial”. Para proteger los datos, además, recomienda utilizar tecnologías como los dispositivos de acceso biométrico, discos duros extraíbles, software de encriptación y programas de barrido de datos.

Otro de sus consejos es tener siempre presente cuál es la información confidencial de la empresa y mantenerse firme en los límites ante un interlocutor demasiado curioso. “En una entrevista de trabajo con una empresa de la competencia puede resultar tentador compartir información para demostrar tus conocimientos, pero un entrevistador serio siempre tendrá más interés en conocer cosas de ti que de tu anterior puesto de trabajo”. Otra de sus advertencias es que el alcohol es el mejor amigo del espía. “Yo solía invitar a copas a mis objetivos para debilitar su capacidad de reacción y fomentar la charlatanería”.

Carleson advierte también de que los contenedores de basura son una fuente de información y subraya que quienes los registren no podrán hacer nada con los documentos que hayan pasado por la trituradora de papel. Los lugares de acceso público a internet son otro riesgo, por ello recomienda en lo posible evitar los cibercafés, los ordenadores de los centros de negocios de los hoteles y los puntos de acceso público a wifi. “Si no controlas la seguridad de la red que utilizas, da por sentado que está amenazada”.

Las nuevas amenazas para la seguridad informática

El director del Centro Nacional de Excelencia en Ciberseguridad, Álvaro Ortigosa, afirma que en la actualidad hay dos grandes fuentes de amenazas para los cortafuegos de protección que las corporaciones establecen en torno a sus sistemas informáticos. Uno es un fenómeno creciente al que se conoce como BYOD (Bring your own devise), y se refiere a la costumbre cada vez más extendida del personal de una organización de llevar su smartphone o tableta al trabajo. “Es muy común que las empresas permitan a sus empleados conectarse desde un dispositivo personal a la red, por ejemplo, para tener acceso a los e-mails, sin que esos dispositivos cuenten con la misma seguridad que los ordenadores”. La edición de 2013 del informe anual de PwC sobre el estado global de la seguridad de la información en las empresas corrobora ese riesgo. Solo el 44% de los ejecutivos entrevistados dice contar con estrategias de seguridad para dispositivos móviles.
Ortigosa señala que una segunda fuente de amenazas es la tendencia de las organizaciones de almacenar cada vez más información en la nube. “La razón es que el control sobre la seguridad de esos datos no la tiene el equipo de técnicos de seguridad de la empresa, sino el del proveedor del servicio”. Por ello, una de las claves es que ese tercero al que se contrata sea confiable. “La información en la nube, además, siempre será más insegura que tenerlo en el propio sistema”. El motivo, explica, es que a pesar de que los datos estén encriptados, hay un flujo de información que va y viene por la red de manera constante.

Normas