Ciberdelincuencia: ¿está su empresa en riesgo?

Por Francisco Lázaro. Consultor del curso Informática forense para empresas.

La escena del delito digital ha experimentado una profunda transformación. Antiguamente el administrador de sistemas y la ley se veían obligados a hacer frente a hechos esporádicos en sistemas aislados. En la actualidad la ciberdelincuencia se ha convertido en un fenómeno de masas dentro de una red mundial de ordenadores en la que campan desaforadamente, sin ningún respeto a la propiedad y al derecho ajeno.

El uso de sistemas operativos de la misma marca, la estandarización de protocolos y servicios y los fallos de configuración del software complican la situación generando círculos viciosos y sinergias negativas. Como resultado de todo ello, se ha producido una multiplicación incontrolada de incidentes de seguridad.

Pero, ¿de qué criterio se sirven un administrador de sistemas o un empresario para evaluar el nivel de amenaza a la que se encuentran expuestos los datos de su organización? Duele decirlo pero es preciso que lo sepamos: con frecuencia ninguno. Gran parte de los responsables de activos intangibles de las empresas viven en una especie de falso idilio tecnológico y totalmente de espaldas a la seguridad informática. Intrusiones en la red, robos de archivos con información sensible de la empresa… eso son cosas que siempre suceden a otros. Las medidas correctoras solo se toman una vez que se han producido los daños. De lo demás ya se encargarán el proveedor de sistemas y la compañía de seguros.

Si se quiere hacer algo para remediar esta situación, hay que comenzar por definir la probabilidad de que se produzca una situación de riesgo. En general, se puede decir que los datos de nuestra empresa pueden ser objetivo de un ataque en función de los factores siguientes:

  • ¿Son valiosos los datos que estamos intentando proteger?
  • ¿Son vulnerables los sistemas que contienen dichos datos?
  • ¿Hay personas con motivos para el ataque o un interés particular en la información que se quiere proteger?
  • ¿Qué dicen la experiencia histórica y las estadísticas acerca de los diferentes tipos de ataque que cabría esperar? ¿Son esporádicos, o por el contrario frecuentes?

Con frecuencia el riesgo del ataque se puede estimar en función de tan solo dos consideraciones de sentido común: en primer lugar la facilidad del ataque: ausencia de mecanismos de protección que impidan o dificulten los accesos no autorizados al sistema; segundo, el valor de los bienes comprometidos: información sobre clientes y/o proveedores, planes estratégicos de la empresa, documentos clasificados, datos relativos a sistemas críticos o al funcionamiento de la red empresarial, etc.

El ataque puede proceder de muchos lugares. Cuando los ordenadores eran entornos aislados, el acceso físico al terminal de la máquina era imprescindible. Luego, al instalarse las primeras redes locales, el agresor pudo alejarse hasta un emplazamiento seguro dentro de la misma organización y alcanzar su objetivo sin que nadie le viese. Finalmente la aparición de Internet ha propiciado un desplazamiento de la amenaza a ubicaciones remotas y desconocidas.

Sin embargo, y pese al incremento de intrusiones procedentes del exterior, la mayor parte de los estudios estadísticos ponen de manifiesto el carácter predominante de la amenaza interna. Como causas podemos mencionar, entre otras, las siguientes:

  • Falta de seguridad en los sistemas.
  • Alto valor de la información.
  • Inexistencia de buenas prácticas y/o de una política de uso de medios digitales y/o acceso a Internet.
  • Existencia de un ambiente que fomenta la deslealtad empresarial.
  • Desidia, falta de información o inconsciencia del personal con respecto a la problemática.

El agresor interno tiene oportunidades de acceso directo a la información y conoce el funcionamiento de los procesos empresariales. Asimismo, hay que considerar que, además de los empleados, hay un amplio círculo de personas vinculadas al proceso empresarial que en un momento dado pueden tener acceso a los sistemas de información: socios comerciales, representantes, proveedores, auditores de contabilidad e incluso clientes.

Manipular datos de cuentas bancarias y operaciones comerciales tiene el mismo carácter delictivo que el robo de herramientas o equipos de producción. Una primera dificultad radica en el hecho de que la mayor parte de las personas –tanto en la plantilla de la empresa como en la opinión pública- no se da cuenta de ello. Y donde sí existe conciencia del problema, nos encontramos con la dificultad adicional del tratamiento adecuado de las pruebas. La información digital es por naturaleza efímera y volátil, y exige técnicas de tratamiento especiales.