| 8/15/2008 12:00:00 AM

Robos por internet, el factor humano

Los usuarios son en el talón de Aquiles en la seguridad informática. La 'Ingeniería Social', un arma para cometer ciberdelitos.

La sonada noticia a principios de agosto que daba cuenta del desmantelamiento, por parte de las autoridades, de una banda de hackers que logró desviar cerca de $6.200 millones de cuentas de entidades públicas, privadas y algunas ONG colombianas, puso nuevamente de relieve el riesgo y la vulnerabilidad a la que están expuestos los sistemas informáticos de empresas y organizaciones de los diferentes sectores de la economía del país.

Aunque cifras de Symantec, firma experta en desarrollo de soluciones de seguridad informática, y de Asobancaria muestran que el porcentaje de transacciones bancarias fraudulentas por internet en Colombia es bajo (cerca de 1.780 frente a 1.494 millones de transacciones realizadas en 2007), esto no quiere decir que el país esté a salvo. El Índice de Seguridad Informática de Cisco, revelado en la última semana de julio por la consultora Kaagan Research Associates, ubica a Colombia como la nación con mayores debilidades en cuanto a tener una real conciencia de los usuarios sobre la información privilegiada que manejan y los efectos nocivos que se pueden ocasionar si esta llega a manos de terceros desconocidos. El estudio, que incluyó también a Brasil, Chile, México, Argentina y Venezuela, muestra que para la mayoría de empresas encuestadas que operan en el país (65%) la seguridad de la información aún no es considerada como un aspecto estratégico para las organizaciones.

Uno de los expertos investigadores de la Unidad de Delitos Informáticos del Departamento Administrativo de Seguridad -DAS- (quien solicitó omitir su nombre), explica que día a día, y en diferentes grados de magnitud, se están presentando situaciones en las que los hackers están comprometiendo y amenazando la seguridad informática de organizaciones y de usuarios particulares.

Lo más vulnerable

Para Jorge Arango, Manager Unit Security & ITS de Getronics (empresa que desarrolla soluciones de tecnologías de información) el factor humano es, quizá, la variable de mayor relieve en la cadena de vulnerabilidad de las estructuras informáticas.

De acuerdo con Luis Gonzalo Acosta, especialista en seguridad de IBM Colombia, un gran porcentaje de robos a través de transacciones virtuales y acciones irregulares que están ocurriendo con relación a la seguridad informática, es producto del descuido de aquellos usuarios que tienen privilegios de acceso a tareas críticas dentro de las organizaciones.

"No importan las grandes inversiones que las firmas hagan en software, infraestructura, aplicaciones para fortalecer la seguridad informática y evitar los robos de dinero de la organización si no existe una real conciencia de los usuarios sobre la información privilegiada que manejan y los efectos nocivos que se pueden ocasionar si esta llega a manos de terceros desconocidos", agrega Acosta.

Para Daniel Rojas, Marketing Manager para Latinoamérica de Symantec, el tema es claro: en el país las aplicaciones y prácticas de seguridad informática que eviten las transacciones fraudulentas no se van a masificar hasta tanto no exista conciencia sobre el real valor (costo vs. beneficio) que implica proteger la información sustancial para el negocio.

Este es un tema que no toca a las grandes entidades financieras, las cuales, según la explicación del investigador del DAS, son, por la naturaleza de su negocio, las más adelantadas y proactivas en la implementación de soluciones de seguridad en sus infraestructuras y de educación, tanto para su recurso humano como para sus clientes. Sin embargo, el informe de X-Force de IBM sobre las estadísticas de tendencias informáticas de mediados de 2008, indica que este tipo de entidades siguen siendo el objetivo principal de los 'pescadores cibernéticos' (18 de 20).

Cómo atacan

Los expertos consultados por Dinero aseguran de manera homogénea que, aunque en los fraudes financieros -independientemente de si se hizo contra una gran empresa o contra un particular- los delincuentes pueden utilizar tecnologías avanzadas en el ataque, en la mayoría de las ocasiones recurren a la habilidad para engañar al usuario. Es una práctica recurrente entre quienes cometen este tipo de fraudes y se conoce como 'Ingeniería Social'.

De acuerdo con el investigador del DAS, la 'Ingeniería Social' es la habilidad que tiene el delincuente para, a través de la manipulación, tener accesos y privilegios en sistemas de información y de base de datos con el fin ulterior de obtener beneficio económico o cometer actos que atenten contra la integridad del negocio. "Se aprovechan de la ingenuidad, la ignorancia, el desconocimiento, la ineficiencia e inclusive de la pereza del administrador o del usuario", afirma.

En esencia, aunque existen varias clases de 'Ingeniería Social' a la cual acuden los ciberdelincuentes, los más generalizados son la suplantación de identidad phishing, -por un correo o una página ficticia de internet se solicita actualizar información personal o corporativa reservada que después es usada para cometer los millonarios fraudes-, y los correos electrónicos engañosos -que descargan malware que infectan la red de la compañía, inoculan virus o software espías que permite controlar los equipos de manera remota y abren los puertos de acceso a la infraestructura informática, entre otras consecuencias-.

Arango, de Getronics, agrega que la 'Ingeniería Social' basa su acción sobre el principio de que el eslabón más débil para evitar fraudes financieros y garantizar la arquitectura de seguridad en cualquier organización es el usuario. "Si el usuario desconoce la relevancia de sus privilegios informáticos (accesos, manejos de datos, valor de la información) y no se tienen bien definidos los roles dentro de las empresas, el camino para penetrar y efectuar los robos estará fácilmente abierto a los delincuentes", dice.

¿Cómo contrarrestar la 'Ingeniería Social'? La principal herramienta es tener definidas políticas claras de seguridad informática que establezcan métodos y procesos de concientización del recurso humano en concordancia con unas soluciones tecnológicas que respondan a las necesidades particulares de cada uno de los respectivos negocios. Más que de un problema de tecnología, los hackers se aprovechan de la poca conciencia que existe en las empresas sobre la relevancia de la seguridad de información.

¿Tiene algo que decir? Comente

Para comentar este artículo usted debe ser un usuario registrado.

EDICIÓN 531

PORTADA

La Bolsa de Valores necesita acciones urgentes

Con menos emisores, bajas rentabilidades y desbandada de personas naturales, la Bolsa busca recuperar su atractivo. Finca raíz, su nueva apuesta. ¿Será suficiente?