Noticias

El interés por la seguridad ha crecido tras los acontecimientos del 11 de Septiembre

11 Febrero 2002 en eWEEK


Gato negro, gato blanco...
EL INTERÉS POR LA SEGURIDAD HA CRECIDO TRAS LOS ACONTECIMIENTOS DEL 11 DE SEPTIEMBRE


Pasados cinco meses de los atentados contra las torres gemelas, antiguos baluartes del irrefutable poder económico de Estados Unidos en todo el mundo, una de las palabras que más se oye en los medios de comunicación, en las empresas, en la vida política y en la ciudadanía es "seguridad". En el sector de las Tecnologías de la información, solíamos relacionarla con antivirus, firewalls o sistemas de autenticación. Sin embargo, el espectro relacionado con este tema ha aumentado considerablemente.


E1 mercado de la seguridad se hace adulto y adquiere un protagonismo que puede convertirlo en un auténtico motor de desarrollo de las TI. Hace dos años, cualquier solución empresarial, además de contar con unos gastos de mantenimiento añadidos, suponía una inversión que sólo las grandes empresas veían necesario realizar. Esto pertenece al pasado. Según un estudio realizado por la consultora Internacional Data Group (IDC), la seguridad en Internet ha conseguido un crecimiento del 33 por ciento y ha facturado más de 5.500 millones de euros (más de 900.000 millones pesetas).

Jordi Hernández Nieto, gerente de PWC Consulting, cree que todavía "no ha aumentado espectacularmente la demanda de seguridad en sistemas informáticos, lo que sí que se ha producido es un mayor interés por la seguridad en otras aplicaciones de las nuevas tecnologías, como las VPNs (redes privadas virtuales), las bases de datos distribuidas o las técnicas biométricas". Muchas empresas se encuentran realizando revisiones para sus planes de negocio para 2002 con el fin de adaptarlos a esta necesidad. "El incremento se notará de forma escalonada y a medio plazo, cuando se revisen las políticas de seguridad en la empresa y se concrete un plan de prevención, contingencia y seguridad en las áreas física, lógica y de almacenamiento", señala Hernández Nieto.

Marcel Pujol, director general de Dimension Data España, sugiere al menos tres áreas de vulnerabilidad en las redes: línea de acceso, software que corre por el dispositivo localizado en el proveedor de servicio de red y las modificaciones en la red. Por su parte, Gonzalo Landaluce, director general de Veritas, confiesa que "no se puede decir que en nuestro país seamos demasiado previsores en cuanto a soluciones de backup o alta disponibilidad se refiere. Parece que los planes de contingencia sólo se lo plantean las grandes empresas y, en algunos casos, obligadas por la Administración".

Pero 2001 ya se había convertido en el año con mayor número de incidentes de seguridad conocidos por el CERT (Computer Emergency Response Team, equipo de emergencia de Internet). La cifra se eleva a casi 53.000, el doble que el año anterior y el tercero consecutivo con trayectoria ascendente. Caben destacar los fallos en el software BIND (Berkeley Intemet Name Domain), que corre en la mayoría de los DNSs (domain name system, sistema de nombres de dominio) de Internet; la vulnerabilidad en Internet Information Server Web de Microsoft, posteriormente usada por el gusano "Código Rojo"; y un desbordamiento del almacenador intermediario en el servicio plug and play de Windows XP, que permitía al atacante obtener control total sobre la máquina. La compañía ha hecho pública su estrategia de seguridad la semana pasada (ver Actualidad).

El día 11 de septiembre pasado la Red parecía funcionar, mientras que el teléfono móvil y el fijo no respondían a la demanda de establecer comunicación directa con la zona del siniestro, Downtown, la llamada zona cero. Manuel Gil Barrio, consultor de seguridad de Sun, destacó el empleo de un entorno de red para asegurar la recuperación de datos, lo que permitió que aunque sus oficinas quedaran totalmente destruídas, pudieran acceder desde otros puntos. Una de cada cinco compañías ha comenzado a examinar sus inversiones en tecnología desde esa fecha -según datos de un estudio realizado en octubre por Morgan Stanley- y muchos esperan incrementar los gastos en seguridad, recuperación en caso de desastre, y software de realización de copias.

Michael Behringer, consultor técnico de Cisco, sostiene que "el uso de firewalls (cortafuegos) estaba muy extendido, pero no se conocía mucho acerca de la detección de intrusiones. El modelo actual está cambiando hacia el concepto de solución global". Cisco propone una arquitectura modelo donde separan todos los aspectos en módulos que han de integrarse con soluciones seguras para que la empresa no se abrume con una inversión única y costosa: firewall, detección de intrusiones, autentificación, etc. Behringer recalca el hecho de que "seguridad está relacionado con disponibilidad y, asimismo, esto se relaciona con la arquitectura de la red, que tiene que funcionar de manera redundante. De hecho, el único servicio que funcionó con normalidad el 11 de septiembre fue Internet por su arquitectura distribuida". La misma concepción global es citada por Pedro Robledo, director de marketing de Oracle, quien sugiere "un enfoque holístico en la seguridad que minimice el riesgo". A su vez, IBM creó una división especializada en seguridad donde se ocupan de áreas como la biometría y el análisis de los riesgos biológicos. Quizás por todo ello, José Manuel Cea, director general de Checkpoint España y Portugal, declara que "ya podemos hablar de seguridad como otro servicio más de la sociedad de la información".

Más vale prevenir que curar

Para Marisa Sarría, gerente de consultoría de Ibermática, "la adopción de medidas de seguridad en las empresas requiere reflexionar acerca de hacia dónde se quiere orientar el negocio". Sarría confiesa que las empresas cuentan con un nuevo desafío con "la apertura de su negocio a Internet. Implica adoptar las medidas de seguridad de obligado cumplimiento que marca la ley para los ficheros que contengan datos de carácter personal".

IDC confirma en su estudio que "la clave de la seguridad TI corporativa es la capacidad de estratificar un número de soluciones", entre las que se encuentran la detección de invasiones y la valoración de vulnerabilidad. Una de las razones para aplicar estas medidas es la apertura de los procesos de negocio de la empresa a los consumidores (B2C) y otras compañías (B2B). Sólo en Europa Occidental prevén que el mercado crezca un 27 por ciento hasta 2005. La tendencia es que los límites entre seguridad física y seguridad en la información se disuelvan y que cambie la forma de ver la privacidad y las libertades por parte de la población.

Behringer destaca que los sistemas de detección de intrusiones suponen "una buena forma de monitorizar nuestras redes, de igual forma que ponemos cámaras para un edificio. Además, muchos de los ataques actuales no los detecta el firewall ya que son internos, generados por los propios usuarios sin su conocimiento. Por ejemplo, una de las mayores puertas de entrada de virus es el correo electrónico". También se extenderán las VPNs con acceso seguro a la empresa, con lo que podremos realizar tareas desde la oficina o desde cualquier otro punto. Esta tendencia es resaltada por Claudio López, director general de Unitronics, para quien las VPNs "son un negocio en crecimiento y estamos comprobando cómo la Administración Pública está incorporando este tipo de sistemas para manejar información sensible y acorde con la legislación vigente sobre datos privados".

Para proteger al usuario de VPNs, Emilio Fernández Manrique, jefe de producto BT Ignite España, subraya que "en vez de tener un firewall, una alternativa más flexible es la seguridad de host a host, por la cual la seguridad es definida en primer lugar por el usuario y en segundo lugar por el dispositivo al que se accede, lo que se denomina conectividad basada en políticas".

EI huevo de oro de la biometría

Biometría: conjunto de técnicas electrónicas que usan las características físicas de las personas como forma de autenticación. Según el citado estudio de IDC, el mercado de las técnicas biométricas crecerá al mismo ritmo que el mercado PKI (public key infraestructure, infraestructura de clave pública). Sólo el año pasado generaron un mercado de 120 millones de euros (unos 21.000 millones de pesetas), pero en 2005 podría llegar a 2.040 millones euros (340.000 millones de pesetas). De las tres modalidades más empleadas, escáner de huellas, reconocimiento de voz y verificación de la firma, será el escáner de huellas la que cuente con mayor importancia al convertirse en una de las claves de la seguridad en Internet. John Worrall, director de productos de autenticación de RSA, asegura que "el escáner de huellas llegará a los ordenadores personales, las agendas electrónicas o los teléfonos móviles por el uso de lectores embebidos en los dispositivos".

Uno de los problemas que presenta esta tecnología para el mercado es la existencia de dos desarrollos paralelos. BAPI surge tras el abandono de Microsoft del BioAPI Consortium, tras lo cual se alía con IOSoftware, especializada en seguridad, para crear Biometric Application Program Interface (BAPI) y llevarlo a las próximas versiones de Windows. Actualmente cuentan con Intel, Sony y otras empresas de seguridad. Detrás de BioAPI también encontramos pesos pesados como HP, Unisys, Intel, Compaq y toda una suerte de entidades gubernamentales y empresas que anunciaron el pasado mes de septiembre la firma de un acuerdo con la agencia norteamericana encargada de establecer los estándares ANSI. La especificación BioAPI "define una interfáz (API) cubierta y multiplataforma que permite a las aplicaciones comunicarse con otras tecnologías biométricas", explica Worrall

El directivo apuesta por "una solución de autenticación que contemple técnicas biométricas (lo que somos) que vayan unidas a componentes hardware o tarjetas inteligentes (lo que tenemos) y el PIN (lo que sabemos)". El escáner facial ya se ha practicado en las Olimpiadas de Atlanta y Sydney, en la pasada final de la Super Bowl, en algunas fronteras y en multitud de aeropuertos de EE.UU.

¿Seguridad vs. privacídad?

Otra repercusión importante del clima creado en la sociedad tras el 11 de septiembre es el interés de los políticos por Internet. Han corrido rumores sobre presiones sufridas por ISPs para la instalación de Carnivore, nuevos virus vigilantes como "linterna mágica" (ambos son proyectos del FBI), las supuestas conversaciones entre McAfee y la CIA... A este respecto, Manuel Castells, experto en nuevas tecnologías e Internet, señala que, "como ocurre en la sociedad en general, con el pretexto de proteger la información en la red se renueva el viejo reflejo de control sobre la libre comunicación". Benjamin Franklin, uno de los redactores de la Declaración de Independencia y de la Constitución de los EE.UU., declaró una vez que "los que cambian su libertad por su seguridad no merecen libertad ni seguridad". Para Richard Stallman, promotor del proyecto GNU (www.gnu.org), "si el código fuente está disponible públicamente, los autores no pueden colocar funciones que el usuario no quiere, y además es una salvaguardia contra los errores que conducen a fallas de seguridad". ¿Quién se sentía seguro? El tiempo lo dirá.


Desde el punto de vista de las empresas, creo que no se ha producido ningún cambio significativo en la percepción del problema de la seguridad informática. Para la mayor parte de las organizaciones, y especialmente para las pequeñas o medianas, se trata de un problema muy lejano. La frase más común es "¿quién va a estar interesado en atacarme, si no tengo nada interesante?" Sí se ha producido, sin embargo, una reacción preocupante por parte de algunos gobiernos, que achacan a la red y al uso de criptografía parte de los problemas actuales. No hablo solamente de terrorismo; me refiero con esto a la pornografía infantil, tráfico de copias piratas de música y cine, etc. Esto es preocupante porque lo que se está barajando en algunos sitios es la posibilidad de dar carta blanca a las fuerzas del orden para interceptar tráfico de Internet sin ningún tipo de autorización judicial. Se trata de una medida inaudita, que da al traste con muchos años de historia de las comunicaciones electrónicas. Internet es algo nuevo, pero no el telégrafo, el teléfono, la radio o el teletipo, y en todos los estados democráticos se reconoce el derecho a la intimidad como un derecho fundamental. Parece que Intemet "es distinto". El riesgo real de que se produzca un ataque de envergadura contra la red (o contra determinados sitios) creo que no ha aumentado o disminuido por factores relacionados con el atentado del 11 de septiembre, aunque sí lo ha hecho porque:

1 - El software es cada vez más complejo, y el ciclo de desarrollo de software es cada vez más rápido. La complejidad aumenta la probabilidad de que se produzcan fallos de seguridad, y al no ser ésta algo que el cliente perciba de forma inmediata, se sacrifica a cambio de lanzar en menos tiempo productos con más prestaciones. sean éstas útiles o no.
2 - Cada vez más organizaciones se conectan a la Red, y muchas de ellas no disponen de personal preparado para configurar y mantener adecuadamente los sistemas. De poco sirve tener una puerta blindada en casa si el vecino con el que compartimos patio deja su puerta abierta.
3 - Cada vez más usuarios residenciales acceden a Internet con enlaces de banda ancha que están permanentemente conectados. Sus equipos carecen de las más elementales medidas de seguridad, !o que los convierte en candidatos perfectos para la instalación de "zombies" a utilizar en ataques de denegación de servicio. Esos agentes podrían propagarse a través de virus o gusanos.


La información es uno de los activos básicos de cualquier empresa o institución pública y como cualquier otro activo, deberá dotarse de los mecanismos adecuados de protección. Independientemente de la actividad o tamaño de la organización es vital disponer un control de acceso adecuado a los recursos de información, de forma que se garanticen tres aspectos fundamentales: confidencialidad, integridad y disponibilidad. A continuación debemos considerar de forma paralela los aspectos tecnológicos y los procedimientos utilizados. Pensemos que una mala utilización de los sistemas o una falta de precaución, puede invalidar todo el esfuerzo e inversión realizados. La posibilidad de disponer de una administración centralizada y de establecer políticas de seguridad globales, basadas en roles, nos simplifican enormemente la complejidad de la administración. La autenticación de usuarios es el pilar básico para garantizar el cumplimiento de las políticas de seguridad. Un sistema de contraseña única resolverá la problemática de nuestro usuario de disponer de múltiples claves de acceso. Si además lo complementamos con un mecanismo de autenticación fuerte CPKI o sistemas biométricos), conseguiremos evitar también el riesgo de impersonalización por parte de otros usuarios. Por último, deberíamos disponer de un sistema de auditoría global que permita centralizar todos los eventos de acceso en una base de datos.


Los acontecimientos del 11 de septiembre han desencadenado dos reacciones en las empresas que parecen opuestas. Por un lado, han desatado una crisis económica a escala mundial que ha supuesto que las inversiones se hayan visto afectadas de manera negativa y a todos los niveles. Por otro lado, ha hecho que aumente la conciencia de las empresas ante la problemática de la seguridad. A estas alturas creo que se ha cerrado una etapa en la que se hablaba de virus y de códigos maliciosos. Las amenazas a la seguridad han evolucionado hacia nuevas formas heterogéneas (ataques que emplean múltiples técnicas para propagarse) y no hay que perder de vista que a estas alturas una de estas amenazas combinadas más conocidas (Nimda) ha provocado cerca de 635 millones de dólares en pérdidas. Ante estos nuevos ataques combinados, sólo hay una forma de defenderse: soluciones combinadas de antivirus, firewalls y herramientas de detección de intrusos y gestión de vulnerabilidades. En lo que concierne a la legislación en materia de seguridad. a lo largo de 2001 hemos visto como la Ley de Protección de Datos, que entró en vigor el año pasado, ha hecho que se rediseñen las infraestructuras de seguridad y el anuncio de la ISO 17799 ha formalizado un conjunto de buenas prácticas a las que sin duda se acogerán numerosas empresas, especialmente las grandes.


  • Enviar por email
  • Imprimir
Volver