|
Kevin Mitnick fue el hacker más buscado
por el FBI y pasó casi cinco años en prisión por entrar a
los sistemas de diversas compañías. Hoy trabaja como
consultor y explica que la seguridad depende no solo de las
tecnología, sino tambien de las personas.
"Imagina que vas por un pasillo de tu empresa y
encuentras un disquete. Lo recoges y ves que dice PRIORITARIO
o IMPORTANTE, Planillas de Sueldos y Lista de Empleados,
Resultados Primer Semestre 2003. Piensas que puede ser
importante, vas a tu PC, metes el disquete, ves que tiene un
archivo con extensión .DOC, lo abres y tiene sólo basura.
Piensas que a lo mejor está corrupto o se echó a perder y lo
llevas a la Gerencia de Recursos Humanos. Allí se preguntan
quién fue el estúpido que puso esos datos en un disquete,
pero lo revisan, abren el documento y leen sólo basura.
Piensan que está malo y tiran el disquete a la basura.
Pero... ¿qué sucedió en verdad ahí?".
Así explicó Kevin Mitnick, el ex hacker más famoso del
mundo, cómo se puede burlar la seguridad informática de una
empresa sin recurrir a sofisticadas herramientas
computacionales. Simplemente usando la natural curiosidad de
las personas y elementos en apariencia inocentes, un intruso
puede entrar a la red interna de una compañía: "En
nuestro ejemplo, lo que acaba de suceder es que, al abrir el
documento que venía en el disquete, liberaron un virus
troyano que se instaló en los dos PCs y que se conectará
cada día a determinada hora a través de la red con máquinas
fuera de la empresa para enviar información interna".
Es al factor humano al que apuntó la conferencia dictada ayer
por Mitnick en CasaPiedra, en el seminario Gerenciando la
Seguridad de la Información, organizado por Estratec. Mitnick
explicó que -al pensar en seguridad informática- se debe
mirar más allá de la tecnología y pensar en las personas
que forman parte de las redes internas y que manejan información
sensible. Por ello, el concepto de Ingeniería Social -del
cual es uno de los creadores- cobra especial vigencia en
nuestros días.
Errores frecuentes
Usar passwords fácilmente reconocibles, anotarlas en el mismo
PC, compartirlas con otros y no cambiarlas a menudo son
errores frecuentes. Junto con ello, el no actualizar las bases
de datos para eliminar los accesos de personas que ya no están
en una empresa deja un flanco vulnerable. Lo mismo sucede
cuando todos los usuarios de una red tienen el mismo nivel de
privilegios y accesos, cuando no se destruyen los discos duros
dados de baja o cuando no se tiene un equipo de expertos
analizando las 24 horas los datos entregados por los programas
que pesquisan la actividad extraña en la red.
Mitnick recomendó crear un cortafuegos humano, a través de
una política de seguridad conocida por todos los empleados
(como no dar el nombre de usuario o claves), entrenamiento
para detectar posibles filtraciones o ataques, crear
clasificaciones y acceso a la información dependiendo de su
sensibilidad y realizar una suerte de pruebas escritas que
faciliten la comprensión de las medidas de seguridad.
Tecnología vital
"La tendencia a nivel mundial es que las empresas de
seguridad informática y sus clientes se han dado cuenta de
que los ataques más peligrosos muchas veces vienen desde
adentro: un ejemplo es el robo de la base de datos de
Falabella o lo que sucedió en el Banco Central", señala
James Ballentine, gerente de Marketing y director de Tecnología
de la empresa Computer Associates. Agrega que el concepto en
boga es la seguridad de punta a punta: que contemple toda la
red, cada terminal y a las personas.
|
