La ciberdelincuencia se ríe de la seguridad informática

<p>Las consecuencias de estos robos de identidades son vastas. En cuanto a TJX, debió pagar altos precios en imagen y, peor, una demanda colectiva de los bancos involucrados. <br /><br />Parte de todo eso hace a la naturaleza de los activos informáticos. Cuando una empresa posee información reservada, cada vez que la comparte genera dependencia y, por tanto, riesgos. Una brecha en cualquier punto de la cadena se multiplica en los demás. Así, los bancos perjudicados por TJX no se sentían felices, como tampoco los clientes cuyas identidades fueron vulneradas ni las autoridades reguladoras.<br />En lo tocante a causas de nivel macroeconómico o social que llevan a fallas de seguridad informática, existe variedad. Paya detecta algunas de tipo estructural y legal que exacerban los problemas.</p><p>La seguridad o inseguridad informática han adquirido prominencia en parte por el creciente acceso a banda ancha de alta velocidad. La gente usa más Internet –eso es bueno, creen los tres autores-, pero compartir tanta información eleva los puntos vulnerables. Hace veinte años, no existían bases de datos repletas, como hoy, de tanta riqueza sobre clientes y consumidores. La facilidad de compartir información en la Red genera blancos fáciles para la ciberdelincuencia. <br /><br />En este punto, la “economía del robo de identidades” va en vías de superar la del narcotráfico, sostiene Matwyshyn. “Si hay incentivos pecuniarios para los delincuentes en la web, disuadirlos se torna muy difícil y ellos seguirán innovando para conservar la delantera y se reirán de los expertos en seguridad informática. En cuanto a quienes contemplamos el costado jurídico, distamos de haber resuelto sus agujeros estructurales, algo necesario si queremos detener el fenómeno. Por ejemplo, tratados de extradición con países de Europa oriental capaces de proteger bases de datos en EE.UU. contra los piratas de aquel origen”.<br /><br /> </p>

<p>Los tres analistas no creen fácil esa estrategia. En primer lugar, un convenio debe armonizar la definición de ilícito en ambas jurisdicciones. Pero, en la mayoría de países donde residen los “hackers”, su actividad no es ilegal y, en parte por corrupción sistémica, sus gobiernos no los extraditarán. Para peor, la falta de regímenes de reciprocidad le ata las manos de ls justicia, cuando la hay.<br />
En muchos casos, se trata de normas y prácticas muy anteriores a Internet. “Nunca pudimos resolver –apunta Slaughter- esos problemas, por lo cual las sentencias de nuestros tribunales no tienen eco en otras jurisdicciones”.<br />
<br />
¿Existen soluciones o salidas? ¿Hace falta mayor coordinación interna entre sistemas de justicia? Según Matwyshyn, “es preciso unificar reglas en materia de ciberdelitos y qué define la comunidad internacional como conductas aceptables en materia informática. En el actual marco recesivo, la facilidad de transgredir leyes o normativas beneficia a los piratas y sus aliados de facto, es decir ciertos gobiernos de Europa oriental y otras zonas”.<br />
<br />
El último libro de estos autores se detiene en las técnicas favoritas de los piratas, en particular phishing y zombis. La primera consiste en correos electrónicos que se filtran en las casillas disfrazados de algún proveedor fiable. Pero esconden un nexo que pide al usuario desprevenido o tonto datos (claves, números de seguridad social o cuenta bancaria) y todo los pesca un mercado negro en línea.<br />
<br />
La segunda treta convierte la computados víctima en una “<em>botnet zombi</em>”. Alguien, desde una posición remota, pasa a controlar la máquina y la emplea para ulteriores ataques de todo tipo. Como ocurrió en 2007/8, esos zombis pueden ser usados por un país poco escrupuloso (Rusia en ese caso) para vulnerar la seguridad de otros (Estonia,Letonia) vía estados piratas (Trasdñestria, Bielorrusia). Se explica, entonces, por qué la justicia debe actualizarse y no quedar años luz tras la tecnología.</p>
<p><br />
 </p>

<p>&ldquo;Muchos no comprenden del todo los alcances de la amenaza a personas, hogares, empresas y gobiernos&rdquo;, se&ntilde;ala Andrea Matwyshyn, experto legal en Wharton, autor de <em>Harboring data &amp; information security</em>. Junto con Diana Slaughter y Cem Paya (universidad de Pennsylvania, Google), abordaron los riesgos involucrados en no proteger bien valiosos activos o compartirlos en exceso. <br />
<br />
A criterio de Matwyshyn, existe un proceso en marcha basado en fallas de procesamiento. Obliga a las compa&ntilde;&iacute;as a cuidar de sus activos inform&aacute;ticos. En el plano interno, cuando se experimenta una brecha de datos, ello implica activos intangibles claves. En el externo, es mala publicidad, que afecta la confianza de los clientes, los socios de negocios y los propios empleados. Blindar datos es una opci&oacute;n insoslayable. <br />
<br />
&ldquo;Nuestras presunciones sobre qu&eacute; provoca una falla de seguridad &ndash;agrega la experta- se basa parcialmente en hechos del pasado. En general la seguridad de datos se considera asunto del departamento de tecnolog&iacute;a inform&aacute;tica (TI). Hasta cierto punto, eso tiene sentido. Pero esa instancia exige un proceso, originado en la c&uacute;pula de una compa&ntilde;&iacute;a y difundido hac&iacute;a los estamentos m&aacute;s bajos de la organizaci&oacute;n&rdquo;.<br />
<br />
Las quiebras de seguridad no se limitan a los servidores. Tambi&eacute;n suceden si alguien inserta un compact err&oacute;neo. &Eacute;se fue el caso de Sony y un problema sufrido hace a&ntilde;os, cuando un CD descarg&oacute; autom&aacute;ticamente instrumentos para transferir la gesti&oacute;n de derechos digitales a computadoras indebidas. En forma similar, una persona puede poner un compacto de m&uacute;sica y, sin advertirlo, vulnerar todo el sistema de la empresa.<br />
<br />
A juicio de <em>Knowledge@Wharton</em>, parece que una compa&ntilde;&iacute;a paga caras las fallas humanas. De acuerdo con Slaughter, hay un caso bastante ilustrativo, el del grupo TJX, una firma minorista que ten&iacute;a una amplia base de datos sobre clientes. Desde su coche, en 1996, un &ldquo;<em>hacker</em>&rdquo; con herramientas relativamente elementales accedi&oacute; a esa red y rob&oacute; millones de archivos. Una de las consecuencias fue que varios bancos debieran volver a emitir tarjetas de cr&eacute;dito. <br />
<br />
&nbsp;</p>