111

Las empresas privadas comienzan a ser vctimas del robo de informacin digital; agentes maliciosos extraen datos ilegalmente, daando el nombre y las finanzas de las compaas.
Por leonardo Peralta

AuXIlIO!

SE rObArON mIS dAtOS

Lo que se puede hacer para disminuir el dao:
Levanta una denuncia ante el Ministerio Pblico; en cdigos penales locales y en el federal se contempla como delito el dao a la informacin. Notifica a las personas cuyos datos habran sido robados, es su derecho legal. Informa al Instituto Federal de Acceso a la Informacin Pblica (ifai), por ley esta entidad debe conocer incidentes de esta naturaleza. Prepara un fondo contingente: es posible que los usuarios afectados procedan por la va legal, y tengas que pagar reparaciones de daos.

a Fug digital
GETTY IMAGES

mpieza el da laboral y al abrir la pgina del sitio de noticias de cada maana, aparece el encabezado: Datos confidenciales de nuestra empresa han sido robados por intrusos y expuestos al pblico. sta es la forma en la que la mayor parte de las organizaciones se entera de que su informacin fue extrada ilegalmente. El golpe en la imagen pblica de la compaa y las posibles demandas por daos seran algunas de las consecuencias. Sin embargo, es posible que la informacin pueda mantenerse segura dentro de la empresa antes de ser sustrada ilegalmente. Los hackers crean programas automticos que exploran internet buscando vulnerabilidades en la infraestructura de las organizaciones, comenta Leobardo Hernndez, jefe del Laboratorio de Seguridad Informtica en la unam. Cuando encuentran debilidades (normalmente, errores de configuracin y obsolescencias en el sistema operativo), los intrusos pasan a la ofensiva, adquiriendo privilegios de acceso con los que pueden entrar en las bases de datos para sacar informacin sin que nadie se d cuenta. Estos errores suelen ser poco sofisticados. Citigroup, una de las empresas financieras ms importantes del mundo, sufri el pasado junio el robo de ms de 360,000 registros de tarjetas de crdito estadounidenses por un error de configuracin en su servidor; un error que en Mxico podra tener consecuencias graves. El 1 de julio comenzaron a operar disposiciones de la Ley Federal de Proteccin

de Datos Personales en Posesin de los Particulares, seala Ivonne Muoz, especialista en derecho de la informtica. Estas medidas obligan a las empresas con operaciones en el pas a garantizar la integridad de su informacin y a denunciar los robos virtuales, so pena de multas de hasta 19 millones de pesos y hasta cinco aos de crcel. En Mxico, el problema se exacerba, pues hay escasos recursos humanos especializados en el rea y slo las grandes empresas tienen estrategias definidas para protegerse de los ataques, dice Hernndez. Por otra parte, para Rafael Garca, gerente de Symantec, an existe un modelo de seguridad reactiva que slo funciona tras un incidente y suele concentrarse slo en la adquisicin de equipo y software, sin establecer una estrategia de remediacin. Dicha estrategia requiere un enfoque multidisciplinario. El experto de la unam seala que se cae en el error de centrar las acciones en el rea de Sistemas Computacionales, con lo que se convierten en juez y parte. Esto obliga a la direccin general de la empresa, junto con reas como Recursos Humanos y el Departamento Legal, a establecer medidas de remediacin y prevencin de nuevos ataques. El ejecutivo de Symantec indica tres pilares de la estrategia de seguridad informtica: una poltica definida, tecnologa preparada y gente capacitada (pese a que la seguridad computacional no ser absoluta). Puede que haya quien piense que nuestro pas est lejos de esto, pero los

Algunas vas comunes de intrusin digital en las empresas. Broken authentication. La sesin de un servicio web no finaliza en

PuErtAS AbIErtAS

determinado tiempo, por lo que otra persona accede a una cuenta ajena usando el mismo equipo o copiando la direccin de la sesin.

Cross-site scripting. Enviar por correo o chat una liga web que, adems de la referencia, tiene un cdigo malicioso. Insecure direct object references. Un miembro al interior de la organizacin cambia los accesos para que otros ingresen a bases de datos.
FuenteS: Ivonne Muoz, experta en derecho informtico, y Open Web Application Security Project.

hackers comienzan a hacer mella en las organizaciones locales. El pasado febrero, la empresa de telecomunicaciones mvs fue atacada por el grupo de hackers llamado Anonymous, y Rodolfo Hernndez Baz, director del Centro de Investigaciones en Alta Tecnologa y especialista en hackers, seala: Slo es cuestin de tiempo para que los ataques pasen al robo de la informacin.

110 EXPANSIO 18 - 31 DE JULIO, 2011 N

18 - 31 DE JULIO, 2011 EXPANSIO N