Nota publicada por Li Yuan
The Wall Street Journal
Cada año, las compañías invierten miles de millones de dólares para proteger sus sistemas informáticos de las intrusiones de virus y hackers externos.
Pero hay otro problema que puede hacer que estas defensas sean inútiles: el abuso interno de los empleados, contratistas y otros que tienen acceso legítimo a los sistemas.
Una encuesta hecha en enero por Mazu Networks, una firma de seguridad de redes de Cambridge, Massachusetts, determinó que de 229 organizaciones estadounidenses con más de 1.000 empleados, un 23% tuvo al menos una violación interna de su seguridad en 2004, mientras que un 27% no sabía si sus redes habían sido comprometidas o no- desde adentro o desde afuera.
En febrero, un ex empleado de Time Warner Inc. se declaró culpable de acusaciones federales de confabularse para el robo de 92 millones de nombres de usuarios y contraseñas de la lista de subscriptores y venderlos a un distribuidor de correo basura o spammer por US$28.000.
El mes pasado, ocho ex empleados de Bank of America Corp., Wachovia Corp. y otros grandes bancos fueron arrestados en Nueva Jersey por vender ilegalmente información de cuentas de unos 500.000 clientes a US$10 el nombre. El comprador posteriormente vendió la información a firmas de abogados y agencias de cobros, según la policía.
Se trata quizás de una de las mayores violaciones de seguridad de la industria bancaria, aunque no existe evidencia que indique que la información haya sido usada para otras actividades criminales, como el robo de identidad. Los expertos dicen que la infracción podría haber sido evitada si los bancos hubieran detectado actividades en sus computadoras con anterioridad.
Los empleados involucrados normalmente accedían a 30 ó 40 registros de clientes en un día corriente de trabajo, según la policía. Cuando ocurrió el robo, los empleados miraban 300 ó 400 registros de empleados en un día, una anomalía que podría haber sido detectada si hubieran existido las protecciones adecuadas.
Los portavoces de ambos bancos dijeron que los empleados sólo tienen acceso a la información que necesitan para prestar servicio a sus clientes.
Ninguno quiso confirmar la cantidad de cuentas a las que tienen acceso sus empleados en un día de trabajo normal. También se negaron a referirse a ciertos procedimientos específicos de seguridad, diciendo que comprometería su efectividad.
La incidencia de este tipo de problemas está en alza. En una encuesta entre 600 compañías en América del Norte y Europa, Yankee Group determinó que en 2004 un 50% de los problemas de seguridad surgieron de fuente internas, comparado con un 30% en 2003.
"La tendencia ha estado cambiando de amenazas externas a amenazas internas", dice el analista de Yankee Group James Slaby. Aun así, el conocimiento de las amenazas internas y la voluntad para protegerse de ellas es aún mucho menor que con respecto a las conocidas amenazas externas.
De los US$12.000 millones gastados en productos de seguridad en todo el mundo en 2003, US$8.000 millones se destinaron a mejorar la seguridad periférica, como los firewalls y sistemas de detección de intrusiones. Sólo US$1.000 millones se gastaron en mejorar la capacidad de los sistemas para controlar y prevenir amenazadas internas, según Enterprise Strategy Group.
La información corporativa y los datos son vulnerables a los ataques internos de varias maneras. Tanto los empleados con malas intenciones como los contratistas y socios externos tienen acceso a los sistemas de información.
Los problemas pueden ocurrir dentro de las paredes de la compañía, bajo las narices de los gerentes si, por ejemplo, un empleado ingresa al sistema desde su casa o desde un café.
Las violaciones pueden ser intencionadas o accidentales. Algunas amenazas pueden venir de usuarios autorizados que propagan virus sin darse cuenta desde sus computadoras portátiles.
Este es el caso de la compañía de publicidad ADVO Inc., cuyo sistema informático fue atacado en enero cuando un contratista externo conectó su laptop a la red de la empresa. Media hora más tarde, el sistema de control de seguridad de la red detectó patrones de tráfico anormales en el servidor de una sucursal en California y en 40 PC en su sede de Connecticut.
El ataque accidental no provocó ningún daño monetario verdadero, pero fue necesario dedicar tres ingenieros de sistemas y un día entero de trabajo a limpiar el servidor y las computadoras afectadas.
Los problemas de seguridad pueden ocasionar grandes pérdidas no sólo porque pueden paralizar a toda una red de computadoras y detener las operaciones del negocio, sino porque también existen hackers que los crean con la intención de robar información confidencial de una computadora que se halla en peligro.
Esto sucedió después de que ADVO invirtió más de US$1 millón en la seguridad de su red para protegerse contra amenazas tanto externas como internas.
"Nadie es inmune a esto una vez que se conecta a Internet", dice Phil McMurray, director de seguridad informática en la compañía con sede en Windson, Connecticut.
Las compañías se están dando cuenta de los riesgos y a veces se sorprenden de lo que son capaces de hacer sus empleados con los recursos corporativos.
Los analistas esperan que las grandes compañías hagan una importante incursión en el mercado de la seguridad interna a través de adquisiciones en los próximos dos años. Symantec invirtió US$1 millón en Mazu en noviembre pasado mientras que Cisco Systems Inc. fue un inversionista inicial en Arbor Networks.
---.---
