Comercio electrónico
Criptología y seguridad
Cuestiones legales
Intimidad y privacidad
Virus
| Protección integral de la información de la empresa |
Por Ángel Ripoll
La protección de la información es, hoy, vital para la supervivencia de cualquier organización. Esto no es un secreto. Sin embargo, descuidamos esta faceta de nuestra seguridad, regalando oportunidades, a cualquiera que quiera saber algo de nosotros. Estamos acostumbrados a tener alarmas, cerraduras, etc. para proteger nuestros bienes, pero descuidamos lamentablemente, la protección de algo intangible, pero mas importante, nuestra intimidad. En estas breves hojas, lo único que pretendo es alertarle sobre algunos riesgos, y darle algunas soluciones sencillas. Le ruego que las lea con detenimiento, y las aplique, ya que son de práctica general en aquellas Organizaciones que están concienciados sobre estos temas ( y que suelen funcionar mejor que el resto)
Antes de empezar
No es mi intención el darle una información suficiente para que usted pueda transformarse en un técnico, sino darle algunos conceptos, para lo que se conoce como "Protección de la Información", que es algo mas amplio que la detección de escuchas, sea algo más que un nombre raro, y usted y su Organización puedan vivir un poco mas seguros.
Lo que pretendo es dar la información imprescindible a cualquier responsable de Protección, para que sepa lo que debe hacer, pueda leer otros textos ampliatorios, y obtenga el máximo de los servicios que le puedo prestar.
Lo que sí es importante, es que todas aquellas medidas preventivas que se relacionan, las conozca, y sea capaz de obligar a ponerlas en práctica a su Organización, como manera más sencilla y barata de evitar las escuchas. Y evitar la "cara de tonto", que se le pone a la gente, cuando descubre que hace meses que le están escuchando sin darse cuenta.
Es importante destacar que de lo que se trata es de proteger un "intangible", y normalmente será lo más valioso de una empresa, es decir, el conocimiento, o como normalmente se conoce: la información.
Pasó la época en la que el principal papel de la Seguridad era la protección de unas instalaciones, de unas materias primas o elaboradas, de unos medios de producción. Hoy, en plena economía de la "tercera ola", el principal capital de una organización son las personas y sus conocimientos, y los conocimientos de producción, ventas, mercado, etc. que la Empresa posee. Hoy es mucho más ruinoso para una fábrica la pérdida del "backup", que la destrucción física de las instalaciones de producción. Y eso que es del sector secundario. En el terciario la pérdida es absoluta. Hoy la única diferencia entre una empresa de éxito y las demás, es que "saben" más, y lo aplican con mejores métodos. Y como es lógico, las demás intentaran saberlo, y por cualquier medio.
1- Importancia de la protección de la información
La relativa tranquilidad existente en España en materia de espionaje industrial y comercial lleva a que sistemáticamente se diagnostique como paranoico a todo aquel que manifieste una mínima preocupación por la seguridad en el tratamiento de la información.
No obstante, lo cierto es que en la empresa actual el valor más importante radica en la información. Han pasado ya los tiempos en que los elementos productivos eran la base efectiva del negocio y hoy, más importante que la máquina es la información que permite saber qué, cómo y cuándo hacer algo. Sin consideración a la bondad o maldad de dicha situación, la sociedad americana viene a ser el paradigma de la asignación de recursos bajo criterios de imprescindibilidad. Desde el momento en que la industria americana destina importantes sumas de dinero a cuidar su seguridad, resulta evidente que por algo lo hará. Y ese algo es que muchas empresas han sufrido el daño que causa una fuga incontrolada de información.
El principal problema que plantea esta cuestión es que todos estamos de acuerdo en que la falta de control sobre la información es un riesgo latente, pero muchos ven difícil la materialización del mismo en un momento dado. Que en un determinado momento no se den las circunstancias propicias para temer un intento de acceso a nuestra información interna no significa que éste no vaya a producirse, ello independientemente de que el número de posibles amenazas es, generalmente, desconocido por nosotros mismos.
Es evidente que un competidor puede estar interesado en nuestros secretos. Pero no es el único que puede estarlo. Un trabajador resentido, un periodista ávido de escándalos, un grupo de investigación estatal, un miembro de nuestro propio equipo de trabajo, etc., pueden estar interesados en determinada información, sea para fines lícitos o ilícitos. Podemos tener una relativa tranquilidad de que nuestros competidores no iniciarán una guerra ni utilizarán tácticas ilegales para apoderarse de nuestros secretos. Pero no podemos presumir lo mismo de cuantas personas crean que podrán obtener un beneficio por el conocimiento de nuestra información. Sencillamente porque no podemos saber quién puede creer eso.
Incluso respecto de compañías competidoras en un mercado tranquilo tal presunción es temeraria y la historia reciente lo demuestra. El hecho de que una persona no considere determinadas prácticas como propias del mercado no significa que otra, carente de tales escrúpulos, no las utilice, ahora o en el futuro. Y nadie puede determinar la fecha, exacta o aproximada, de ese futuro.
La moderna tecnología permite llevar a cabo sistemas de espionaje con un ámbito extraordinario, de forma imperceptible y con total impunidad. Baste como ejemplo señalar que, hoy en día, por menos de 15 millones de pesetas se puede adquirir en el mercado un equipo capaz de monitorizar todas las conversaciones mantenidas a través de un teléfono móvil GSM, independientemente del lugar donde esté su usuario. O un dispositivo para intervenir teléfonos (de la mejor tecnología), no llega a las 100.000 Si comparamos estas cifras con el presupuesto invertido por la modernas compañías en estudios de mercado veremos lo irrisorio de su importe. ¿De verdad alguien está convencido de que nadie es capaz de invertir estas cantidades para conocer nuestros secretos?
Pero, además, el riesgo no está, ni exclusiva ni principalmente, en el acceso de firmas competidoras a la información interna de una compañía. Incluso en el seno de la propia empresa, un acceso incontrolado a la información es fuente de conflictos imprevisibles y, en la mayoría de los casos, de sospechas mutuas que enturbian el clima de trabajo.
Nadie puede valorar el efecto que producirá en un tercero una determinada información. Por ello, toda la información debe ser objeto de protección frente a fugas incontroladas. Incluso la inútil.
Veamos, si no, un ejemplo real. Una compañía prevé un estancamiento y posterior recesión del mercado. El Director Financiero establece un plan de austeridad de gastos, materializado en un presupuesto restrictivo. La situación no es agradable y, como entretenimiento, introduce en el mismo programa de simulación una fantasía: mercado en expansión y aumento de ventas. Todos los directivos agradecen la distensión que supone romper la decepción que el verdadero informe ha supuesto. Finalizada la reunión, el Director Financiero guarda bajo llave el informe real. Y deja sobre su mesa la simulación inútil. ¿Que problema hay, si es información falsa? El resultado de todo ello es un pobre Director de Recursos Humanos casi desquiciado tras una semana de negociación de la renovación del convenio laboral de la empresa por la incomprensible necedad del Comité de Empresa, obstinado en negar un hecho tan evidente como el estancamiento del mercado y la prevista disminución de las ventas. Una copia del informe falso había llegado a manos de los trabajadores.
Otro ejemplo real. Un directivo nota repentinamente un cambio en la actitud y disposición al trabajo de uno de sus colaboradores directos. Sin una explicación deducible, baja su rendimiento, su carácter es pasivo y su trato frío y distante. Lo que ocurrió, y el directivo desconocía, es que dejó en un cajón de su mesa su propuesta de aumentos salariales para el personal del departamento y tal trabajador pudo comparar su situación con la de otros.
La información personal debe ser también objeto de especial protección y reserva y ser facilitada sólo respecto de datos imprescindibles y, al margen de otros directivos, a un único colaborador de especial confianza. Datos como el domicilio y teléfono particulares, segundas residencias, tenencia y localización de bienes de recreo, etc., son datos intranscendentes en situaciones de normalidad. No obstante, con ocasión de despidos disciplinarios, expedientes de regulación de empleo o huelgas, un piquete informativo en poder de dicha información puede ser una auténtica pesadilla. Esta disponibilidad incontrolada de información personal por parte de terceros es especialmente peligrosa cuando versa sobre aspectos más íntimos.
Las notas anteriores pretenden ser únicamente una llamada de atención sobre los riesgos que supone la falta de control sobre la información y destruir la idea preconcebida de que sólo determinada información es importante.
Ningún sistema de seguridad puede garantizar un cien por cien de eficacia, ni tampoco se puede llevar la seguridad hasta extremos de paranoia que imposibiliten el normal funcionamiento de la empresa.
Pero sí es posible establecer unas normas mínimas de seguridad en el tratamiento de la información. El objetivo es limitar las fugas incontroladas y permitir la detección de éstas en caso de que se produzcan, a través de una serie de precauciones.
El presente estudio no es un plan de seguridad corporativa, sino simplemente un documento que, a través de sus páginas, pretende llamar la atención sobre este fenómeno y ofrecer una serie de pautas de comportamiento que corrijan graves deficiencias existentes, de forma generalizada, en la operativa diaria de la mayoría de los directivos.
Recuerde, no obstante, que ningún plan de seguridad es infalible. Una cerradura se puede forzar, una clave descifrar y un teléfono siempre se podrá pinchar. Si verifica que no hay dispositivos de escucha en una sala eso sólo significa que en ese momento y lugar no los hay, pero no que no los haya habido ni que no los haya mañana. Si descubre un equipo espía, sólo sabrá que le han espiado, pero no desde cuándo.
La virtud de todas las medidas que se expondrán en este documento no es hacer imposible las intromisiones. Su virtud es que las hace francamente difíciles y, si tenemos suerte, más difíciles que respecto de firmas competidoras. Sea consciente, no obstante, de este límite.
2.- Lugar de trabajo
El centro en el cual confluye más de 90% de la información que manejamos es nuestro propio lugar de trabajo y, por ello, merece ocuparse de él en primer lugar.
Las principales normas a tener presente en este apartado son las siguientes:
- - La sala debe reunir unos requisitos mínimos de aislamiento acústico que impidan la escucha desde el exterior de conversaciones mantenidas en el interior. Esto incluye acristalamiento doble y paneles o paredes aisladas. En caso de que la sala linde con finca vecina, debe preverse una cámara de aire entre el panel interior y la pared. El panel interior debe tener aislante acústico y ser practicable para la inspección de la cámara. Debe disponer de cortinas y cerradura interior de las ventanas, en el caso de que éstas sean practicables.
- - Asegúrese, a través de personal de mantenimiento, de que no hay cableado inútil en paredes y falso techo. Puede ser fácilmente utilizado como portador de señal. En caso de instalaciones de reserva (habitual en modernas instalaciones de redes de voz y de datos), verifique que los conductos de canalización son seguros .
- - Tenga siempre cerradas las cortinas.
- - No utilice ni interfonos ni teléfonos inalámbricos y, en caso de que el uso de los mismos sea imprescindible, adquiéralos de tecnología digital de transmisión.
- - Disponga de cerraduras seguras en todas las puertas, armarios y cajones. Si maneja documentos especialmente sensibles, adquiera una caja de seguridad para almacenar los mismos. Dichas llaves deberán estar en su poder y, en caso necesario, en el de su secretaria o colaborador de confianza. En previsión de emergencias, entregue una copia al responsable de seguridad, dentro de un sobre de seguridad cerrado y con su firma en la unión de la solapa con la bolsa, para su depósito en una caja de seguridad.
- - Sólo deben tener acceso a nuestro despacho personas de la propia organización. Las visitas de terceros es conveniente atenderlas en salas especialmente previstas para ello. Además, instruya al personal de limpieza para que revise y adecue la sala inmediatamente después de cada uso. Dichas salas deben carecer de teléfonos enlazados a líneas directas y, en la medida que el sistema lo permita, sólo deben poder realizar llamadas a extensiones interiores (sin perjuicio de que puedan recibir, transferidas, llamadas externas).
- - Autorice el acceso a su despacho, en su ausencia, a una única persona de confianza (p.e. su secretaria). En caso de que, en su ausencia, algún colaborador precise de algún documento, ésta será la encargada de entregarlo.
- - Al abandonar el despacho, no deje ningún documento accesible. Durante su ausencia, personas sobre las cuales no tiene ningún control accederán al mismo (personal de limpieza, mantenimiento, seguridad, etc.). No presuponga ni la integridad ni la capacidad de estas personas, no todas tendrán su inteligencia y formación para discernir la bondad o maldad de una determinada conducta. Una práctica útil en este aspecto es disponer de un estante en uno de sus armarios, exclusivamente para depositar en el mismo los documentos existentes sobre su mesa en el momento de salir. Instruya a su secretaria o colaborador de confianza a que, antes de salir y en caso de ausencia de usted, revise que no queden papeles accesibles.
- - En su ausencia, los armarios y cajones deberán quedar cerrados.
- - Disponga de destructora de documentación, de prestaciones adecuadas al volumen de los documentos que maneja. Escoja una que disponga de entrada de objetos al depósito y elimine las papeleras, así estará seguro de que cumple la norma de destruir todo papel desechado. Disponga lo mismo para su secretaria.
- - Desconfíe de los regalos. La forma más fácil de introducir un micrófono emisor en su oficina es introduciéndolo en un objeto de regalo. En todo caso, verifique por personal especializado (a través del responsable de seguridad) su inocuidad. Bajo ningún concepto conecte a la red eléctrica o telefónica equipos que le hayan sido regalados (desconfíe especialmente de un teléfono móvil, se pueden "trucar" de varias maneras).
- - En zonas de despachos panelables, no reciba visitas. Es muy fácil que esa persona vea o escuche algo que no debe. Disponga de otro local, donde se recibe, y no se pueda llevar, más que lo que usted le quiera dar.
- - Instale una alarma, conectada a Central Receptora, con detectores de humo (no olvide el riesgo del fuego), y mejor con cámara de TV, para que desde la Central sepan lo que está pasando cuando se dispara la alarma.
3.- Proteja la información
Sea cauto en sus conversaciones con colegas en firmas competidoras. Usted nunca podrá valorar de forma segura hasta qué punto una información puede o no ser valiosa para una empresa competidora. Conocer la existencia de un proyecto descartado, aunque puede no parecerlo, tiene una extraordinaria importancia: da una idea de la actividad de una empresa en materia de innovación, afianza la conclusión de que una idea es digna de tenerla presente y estudiarla, permite prever posibles actuaciones futuras, etc. Si, además, comentamos por qué lo hemos descartado, la información (y los beneficios de conocerla) se multiplican.
Y todo sin que seamos conscientes de ello: la mayoría de las veces, las indiscreciones por nuestra parte no son más que respuestas, aparentemente intranscendentes, a indiscreciones ajenas.
Tengamos presente, además, que comunicar determinados detalles o informaciones es la mejor forma de crear confianza en nuestros interlocutores. Dejar que terceros conozcan estos detalles les permite crear la apariencia de una condición que nunca hemos querido darles.
4.- Uso del teléfono
La comodidad que representa el teléfono hace que por el mismo circule la mayor parte de la información que conocemos. No obstante, es un sistema de comunicación altamente vulnerable: se puede pinchar en todo el recorrido de la línea (tanto interna como externa), el emisor se puede alimentar de la propia línea y la escucha se puede realizar a distancia con total impunidad.
Obviamente, no puede usted prescindir del teléfono, pero sí tomar una serie de precauciones que inutilicen en gran medida todo intento de intromisión.
- - Nunca utilice líneas directas al exterior. Aunque su extensión tenga asignado un determinado número entrante, haga programar la centralita para que la asignación de líneas salientes sea aleatoria. De esta forma, para acceder a sus comunicaciones desde el exterior será preciso pinchar todos los enlaces de la empresa.
- - En la medida de lo posible, haga instalar líneas RDSI, o similares de transmisión de señal digital. Aunque existen equipos capaces de interceptar dichas líneas, su disponibilidad es mucho menor que los de líneas analógicas (pero el que disponga de tecnología adecuada, podrá hacerle multitud de ataques, imposibles en las líneas analógicas)
- - Sea especialmente reservado cuando utilice teléfonos móviles (incluidos los GSM). Es el sistema más vulnerable y que ofrece mayor impunidad. Evite dar nombres o datos cuando hable por el móvil y limite su uso a casos de estricta necesidad. No facilite su número móvil más que a su secretaria de confianza, responsable de seguridad y personal directivo: en caso de necesidad, su secretaria puede transferirle directamente las llamadas urgentes recibidas en su oficina. Active la ocultación del número propio (sólo posible en GSM). Utilice un teléfono o tarjeta independiente para asuntos personales. Debe saber, además, que el GSM, informa al sistema del lugar geográfico en que usted se encuentra, simplemente por el hecho de estar conectado.
- - En momentos de especial sensibilidad de los asuntos que deba tratar, adquiera para su teléfono móvil una tarjeta pre-pago, adquirida en efectivo. Posteriormente, desviamos nuestro número habitual al nuevo, y la gente que nos llame, no tendrá que saber el número donde se ha desviado. La tarjeta es el único identificador del equipo y, sin poderla vincular a través de pagos por domiciliación bancaria o tarjeta de crédito, difícilmente será conocida por terceros.
5.- Seguridad informática
En nuestros ordenadores se concentra la práctica totalidad de la información que elaboramos. Además, hoy en día es un medio habitual de comunicación. La utilidad del ordenador para almacenar y procesar información tiene, como contrapartida, la concentración de la misma en un único archivo de escaso tamaño. Antaño, para apropiarse de los secretos de otro había que examinar y sustraer un considerable volumen de documentación. Hoy basta con apropiarse de un objeto que cabe en el bolsillo.
- - Utilice un programa de control de acceso y cifrado automático de datos sensibles (SAFE Data BECKER o similares). Los controles por contraseña de los sistemas operativos al uso no cumplen de forma eficaz con esta misión y son altamente vulnerables. Además, no protegen la información frente ataques directos al soporte físico de la misma (generalmente, el disco duro) . Con los portátiles, esto es imprescindible, por lo fácilmente que se pueden "distraer" en cualquier desplazamiento. El cifrado es especialmente importante cuando se trabaja en red, ya que determinados programas, permiten ver todos sus archivos, desde cualquier otro PC conectado a la red (Estos programas están en las revistas especializadas y en Internet, gratuitamente) . O para el caso del correo electrónico, que es muy vulnerable.
- - Utilice contraseñas seguras. Palabras, nombres, fechas o secuencias de números son fácil y rápidamente comprobadas a la velocidad actual de proceso de los equipos. Una contraseña mínimamente segura se compone de un mínimo de 8 caracteres mezclando mayúsculas, minúsculas, números y signos especiales. Y por descontado, créelas usted, no el Dept. de Informática
- - Realice siempre copias de seguridad. Si le roban el equipo, o sufre alguna avería, podrá recuperar su trabajo. Almacénelas, eso sí, en lugar suficientemente seguro.
- - Active utilidades de cifrado en sus mensajes de correo electrónico (recomiendo el PGP, de uso muy extendido) incluso dentro de la propia red corporativa. Todos los sistemas de correo (internos o externos) están basados en el almacenamiento de los mensajes en un equipo servidor y un operador con autorización suficiente (por clave propia o mediante clave ajena conocida) a los que se podría acceder a los buzones de mensajes sin que usted ni el destinatario lo supieran. No presuponga que el departamento de informática es seguro: probablemente lo es, pero usted no puede saberlo (de todas maneras, piense que el correo electrónico se comporta allí por donde va pasando como un sobre transparente y si alguien quiere, lo puede leer). Utilice direcciones de correo electrónico anónimas, gratuitas y de un solo uso, para los documentos delicados (el servidor de correo de la empresa, para el Dpto. de Informática, es transparente).
6.- Seguridad Corporativa
Todas las normas anteriores serán ineficaces si no son observadas por los miembros de su equipo de trabajo y por el resto de los directivos. Instrúyales sobre la importancia de la seguridad y control en el tratamiento de la información. Distribuya copias de este documento. Mal se pueden tomar medidas de seguridad, cuando se ignora su lógica.
Realice periódicamente "limpiezas", pero especialmente en épocas de crisis. Los "malos" no quieren ser descubiertos, y por lo tanto, es posible que no lo intenten, si saben que se hacen revisiones.
Valore la oportunidad de elaborar una política global de seguridad por profesionales expertos. Esto permitirá identificar zonas sensibles, redefinir circuitos y, en resumen, establecer unas normas comunes adaptadas al grado de interés que la información de una empresa pueda despertar en terceros.
La seguridad es un aspecto vital para toda empresa (y muy rentable). Lamentablemente, su utilidad sólo se puede valorar cuando no existe y algo ocurre.
Es imprescindible que alguien asuma las funciones de coordinación de seguridad. Sólo así se puede permitir que hechos aislados lleguen a un mismo centro de análisis y toma de decisiones.
Audítese a sí mismo y a sus colaboradores respecto del cumplimiento de las normas. Realice regularmente reuniones de coordinación y motivación. No es conveniente que cite al culpable, pero comente los errores detectados: es la mejor forma de que todos puedan comparar lo ocurrido con su propio comportamiento y corrijan actitudes potencialmente peligrosas
Antes de descartar una determinada práctica por la incomodidad que representa, valore los riesgos que está asumiendo. Nunca podrá valorar de forma efectiva el nivel de seguridad de su sistema. En el mejor de los casos, lo único que podrá saber es que es insuficiente... pero entonces ya será tarde. Por ello, no permita que su equipo se relaje por la ausencia de incidencias: puede que no las haya habido precisamente por las medidas seguidas hasta ese momento.
Manténgase siempre al día: las fugas de información son como los ratones. Si no los ves no significa que no los haya. Si los ves, es que hay cientos de ellos.
BIBLIOGRAFÍA
La ausencia de textos de alguna calidad es la norma. Para aquellos interesados en el tema recomiendo la lectura de dos libros, que aunque no tratan directamente las escuchas, dan una idea de conjunto sobre la electrónica dedicada a la captación de información:
"Historia de la Guerra Electrónica" e "Historia del Espionaje Electrónico", de Mario de Arcangelis, ambas de la editorial San Martín.
Otro interesante: "Contra espionaje Económico" de Enrique Gómez. (934408329), da una visión de conjunto de sistemas en el mercado.
De Paladín Press (Box 1307-6CS, Boulder, CO 80306, USA) está el "the Whole spy catalog" que es bastante completo, y el imprescindible "Don't Bug Me" y "The Phone Book" de Edén Press ( Box 8410-AP, Fountain Valley, CA 92728, USA), una aproximación bastante completa a las contramedidas.
"El delito Informatico", de Luis Camacho, merece la pena.
"Guía de Seguridad Informática", de J.M. de Acuña (Sedisi, 91 5774466) quizá sea la obra mas completa.
Y libros no técnicos, pero muy interesantes: sobre el impacto de las nuevas tecnologías en la sociedad, y la necesidad de la Protección de la Información, "Las guerras del futuro", de A Toffler, Editorial Plaza & Janes.
Una buena novela, documentada, que trata de la interceptacion sistemática de los Tf. mobiles y del E Mail, por los servicios de inteligencia es " El futuro es nuestro", de Larry Collins, de Ed. Planeta.
Una revista mensual de "piratas" es "@rroba"
Publicado en el Boletín del Criptonomicón #58 y #59.
Ángel Ripoll es detective privado, criminólogo y director de seguridad. Imparte clases sobre la protección de la información en el ICADE, institutos de criminología, en la Autónoma, y en varias escuelas de Seguridad Pública. Su trabajo está centrado en la Protección de la Información, así como búsqueda e investigación de escuchas, medidas de seguridad físicas, etc.
| Información adicional |
- www.spyzone.com
- www.loyola-edu/dept/politics/ecintel.html
- www.spysite.com
- www.mai-assoc.com
- www.cb-security.com
- E Mail anónimo: www.mixmail.com, www.hotmail.com, etc.
- www.hormiga.org, donde venden "virus", etc.
| Artículos publicados |
Puedes consultarlos por temas, o también por orden de aparición en el boletín.
| Enviar a un amigo |
Si consideras que este artículo puede interesarle a alguien que conozcas, puedes enviárselo por correo electrónico. No tienes más que indicar la dirección del destinatario, el asunto y tu nombre.
Copyright © 1997-2000 Gonzalo Álvarez Marañón, CSIC. Todos los derechos reservados.
Criptonomicón es un servicio ofrecido libremente desde el Instituto de Física Aplicada del CSIC. Para información sobre privacidad, por favor consulte la declaración de política sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de visitas. Para contribuir al Criptonomicón, lea la página de contribuciones.