Especiales Semana

En manos del ‘cibercrimen’

Las amenazas informáticas crecen 15 por ciento cada año y las empresas colombianas no están bien preparadas para afrontarlas.

28 de abril de 2007

En vísperas de Navidad, en diciembre pasado, Miguel Barrientos, ciudadano de Medellín, encontró en su casilla de correo electrónico un mensaje de su banco -o al menos así parecía, porque traía el logo y la tipografía de Bancolombia- pidiéndole que actualizara sus datos. Lo hizo a través de una página que lucía idéntica a la página oficial de la institución financiera y perdió nueve millones de pesos en esa cándida acción. Phishing (sitios web falsos), el delito informático de moda en el mundo, hacía así su ingreso al país.

Barrientos perdió su dinero, puesto que al banco no le cabe responsabilidad alguna por este tipo de fraude y porque es imposible recuperarlo, pues fue girado ese mismo día a una cuenta en Barranquilla, retirado por alguien de nombre Álex Ahumada, de quien no se tiene rastro y quien seguramente utiliza una identidad falsa. El computador desde el que se despachó el correo a Miguel Barrientos está ubicado en una sala pública de la Universidad de Antioquia, pero las transferencias fueron ordenadas desde Canadá y Chile. Ya no hay tiempo de llorar; el cibercrimen ha pisado suelo colombiano.

Hasta hace algún tiempo, el delito informático nacional parecía cosa de niños.A finales del siglo pasado, un damnificado del sistema Upac fue llevado a prisión por poner a circular un correo electrónico en el que aseguraba que el futuro de Davivienda no estaba asegurado. Pero el escenario ha cambiado: en el país hay bandas internacionales de pornografía infantil -por fortuna golpeadas hace poco por la unidad de delitos informáticos de la Policía Nacional-; hay bandas dedicadas a la estafa a través del phishing, que consiste en crear sitios idénticos a los de bancos reales, para engañar a los clientes y robar sus contraseñas; hay expertos en el arte del keylogging, que se valen de programas instalados secretamente en computadores públicos para capturar lo que los usuarios escriben; pandillas de clonadores de tarjetas de crédito que pudieron clonarle una hasta al propio ministro de Defensa, Juan Manuel Santos, y toma cada vez más fuerza la práctica del spam (enviar correo con publicidad no solicitada). Las empresas colombianas padecen las mismas amenazas de seguridad que cada tanto hacen temblar la economía mundial, como los virus, el robo de información, los ataques terroristas, el fraude y el correo basura.

¿Están preparadas las empresas colombianas para afrontar estos riesgos? No lo suficiente, según los expertos consultados por SEMANA. Jorge Alfredo Hernández, de la firma consultora Deloitte, piensa que "las empresas colombianas le dan importancia al tema sólo cuando sufren un incidente, como pérdida de información, virus o presencia de intrusos en sus redes". Un estudio de Deloitte indica que las grandes empresas invierten en medidas de seguridad entre el 1 y el 6 por ciento de su presupuesto de tecnología, lo cual corresponde con la media internacional. Pero las cosas cambian cuando se examinan las medianas y las pequeñas empresas. "Allí las inversiones no van de la mano con la gravedad del problema", opina Pedro Julio Uribe, gerente de Microsoft Colombia. "Las Pymes perciben la seguridad como un gasto y no como una inversión", explica Nicolás Severino, de Symantec, fabricante de productos de seguridad informática.

Esta percepción de que protegerse es costoso parece infundada, al menos en el segmento de Pymes, puesto que el costo de protegerse es proporcional al nivel de exposición a Internet de la empresa y a la complejidad de su red de computadores. Una empresa pequeña con 10 PC y que no realiza negocios en la red tendrá suficiente con un buen programa antivirus, un firewall y una pequeña aplicación antispyware (que detecta software espía); se consiguen hasta gratis productos en estas tres líneas. Pero en la parte superior de la pirámide, es decir, en las grandes empresas, la cosa es diferente; se necesitan soluciones poderosas para respaldar la información corporativa en caso de desastres, así como servidores 'espejo' con réplicas de los datos para atender una intempestiva avalancha de solicitudes por parte de los usuarios. Necesitarán además sistemas para el manejo del flujo de información y rigurosos sistemas de control de acceso a los datos, monitoreo en tiempo real, redes privadas virtuales, avanzadas soluciones de almacenamiento y otros lujos tecnológicos imprescindibles, además del tradicional antivirus.

El costo de estas soluciones suele ser considerable y los fabricantes no cobran por número de computadores, como en el caso de las licencias de software, sino por la cantidad de información que protegerán o por la complejidad del sistema. Además, se requiere consultoría especializada para diseñar las políticas de seguridad.

Pero en realidad, a juicio de los expertos, lo más importante no es la tecnología, sino el factor humano, es decir, las políticas de seguridad y tratamiento de la información que implemente una compañía. En palabras de Pedro Julio Uribe, de Microsoft, "de nada sirve un automóvil blindado si se conduce con las ventanas abajo". Exactamente eso ocurre con la seguridad tecnológica de las empresas. Los hackers acuñaron hace muchos años un nombre simpático para una de sus técnicas más exitosas: se conoce como 'ingeniería social' el arte de lograr con engaños que un empleado revele una contraseña importante. Una gran proporción de los cibercrímenes se origina en descuidos de los empleados, indiferencia frente a las alertas o imprudencia. Con el auge de los computadores portátiles, los problemas de seguridad se han acrecentado, pues los portátiles suelen no estar administrados bajo el esquema de seguridad de la compañía. En un taxi en Londres fue abandonado por olvido un computador con información vital para Scotland Yard hace un par de años. En Colombia, según estimaciones de Deloitte, el 50 por ciento de los incidentes de seguridad se generan en el interior de las empresas.

La ley del silencio

Colombia carece de un marco legal serio para afrontar el delito informático. La mayoría de los crímenes más usuales ni siquiera están tipificados y en los casos en que sí lo están, las penas son irrisorias, como las multas al acceso no autorizado a un sistema. No obstante, cursa actualmente un proyecto de ley en el Congreso que se concentra en la protección de datos o 'Habeas Data' como se conoce este concepto. El dato electrónico tendrá validez jurídica y protección legal, lo que no necesariamente amedrentará a los saqueadores de información, pero sí obligará a las empresas a protegerse mejor. Por lo pronto, sólo el sector financiero está obligado a disponer de elevados niveles de protección y confidencialidad de la información de sus clientes y es justamente el que tiene mayores inversiones en seguridad digital. Tan frágil es la protección de la información en el país, que en la calle se consiguen CD-Rom con bases de datos de clientes de empresas por 100.000 pesos o menos.

La legislación colombiana no obliga a informar públicamente que se ha sufrido un ataque informático, como sí lo están las empresas en Estados Unidos. Por esta razón, las compañías prefieren mantener en estricto secreto cada incidente que sufren, lo que hace tan difícil llevar una estadística del problema. En el estudio de Deloitte se encontró que en América Latina los costos de los daños sufridos por grandes empresas pueden fluctuar entre uno y cinco millones de dólares, y una empresa admitió pérdidas por 50 millones de dólares por un ataque.

Las plagas

Probablemente el sistema más avanzado de monitoreo de los riesgos es el de la compañía Symantec, que instaló 40.000 sensores en el mundo para realizar un seguimiento detallado de los problemas. Symantec produce un reporte semestral para la región Latinoaméricana, en el que se encuentran cifras alarmantes: La mayoría de los cibercrímenes se origina en Estados Unidos (31 por ciento del total), China ( 10 por ciento ) y Alemania (7 por ciento), y en esta región, la mitad de los ataques sufridos provienen de Estados Unidos. Una buena parte también proviene de Brasil, el país latinoamericano campeón en ataques cibernéticos, lo cual se explica porque es el país con mayor penetración de Internet. Esto lleva a un nuevo problema: cuanto más penetra la banda ancha en un país, más se expanden las amenazas a la seguridad de las empresas y de los usuarios. Países como Colombia, en donde diversos sectores se esfuerzan por ampliar la penetración de Internet, afrontarán un escenario peligroso, en la medida en que crean un caldo de cultivo para las bandas de piratas del silicio.

En Colombia, las dos amenazas quizá más extendidas son Mybot.C y Mydoom.L , programas que contienen código malicioso de la categoría bot, mediante los cuales las máquinas afectadas quedan bajo control de una red que las pone a su servicio sin que el usuario se entere. Y según el reporte de Symantec, una de las principales fuentes de propagación es la imposibilidad de los colombianos de resistirse a la tentación de hacer clic sobre un correo electrónico que promete una foto de Britney Spears completamente desnuda. Hacer clic sobre estos tentadores mensajes es abrirles la puerta a peligrosos ataques.

Crear virus ya no es tan difícil como en el pasado. No se necesita ser un programador experto, pues venden kits para desarrollar gusanos y otros códigos maliciosos, lo que ha facilitado la enorme difusión de las amenazas. En criterio de los expertos, mientras más grande es una empresa y más aprovecha Internet y las nuevas tecnologías, en esa misma medida aumenta su vulnerabilidad, y resultará obligatorio invertir en protección, porque, aunque tal vez costosa, siempre será más económica que el impacto de un ataque.