Como andar desnudo por la calle

Revista La Nación, Domingo 27 de junio de 2010 |
Desafío. "El cibercrimen es más lucrativo que el narcotráfico", dice Jorge Vega Iracelay, de Microsoft
Es como andar desnudo por la calle."
Le habían preguntado sobre el uso de Internet. Y con esas palabras respondió Nicholas Constantine Burbules, dueño de títulos rimbombantes (filósofo de Stanford y experto de la Universidad de Illinois en el impacto de las nuevas tecnologías). Lo dijo hace diez años. ¿Exageró? Internet tiene algo parecido a caminar por la calle. Sentado ante la pantalla, es difícil sentirse vulnerable. Pero casi todo lo que puede pasar en una ciudad, puede ocurrir en las urbes virtuales sin moverse de la silla. Desde chusmear al vecino hasta perder documentos importantes, plata, amistades, pudor o prestigio, y ser víctima de un delito. Estas cuestiones hacen a un tema que no preocupa sólo a las grandes empresas, sino también a los usuarios silvestres: la seguridad informática. O el conjunto de métodos y recursos para proteger datos y sistemas ante posibles amenazas. Las hay de todo tamaño y color. Aumentan con el número de conexiones y nuevas tecnologías, así como nuestra dependencia de ellas. Desde pérdida de información, robo de datos, fraudes y sabotajes hasta daños a la imagen. En palabras de Burbules: "Con Internet sentimos que accedemos a un mundo ilimitado, y es cierto. Pero nos olvidamos de que ese mundo también tiene acceso a nosotros, y amenaza nuestra privacidad de modos que ni siquiera imaginamos".

Un dilema legal
Todos los años, más de 1200 expertos en asuntos legales y corporativos se reúnen en las oficinas de Microsoft en Seattle. Analizan, entre otras cosas, desafíos y agujeros de la seguridad informática. En 2008, los allí reunidos señalaron a un argentino: Jorge Vega Iracelay, entonces a cargo del Cono Sur. Lo nombraron Abogado del Año. Vega Iracelay conoce los avatares de la seguridad informática desde el corazón de Microsoft. En su oficina a orillas del Río de la Plata sólo se escuchan dedos sobre teclados y el zumbido de las máquinas, palpitar del mundo virtual. Hoy sus tarjetas dicen Director de Asuntos Legales, Corporativos y de Responsabilidad Social Empresaria. Parte de su rol es ayudar a hacer negocios de manera inteligente y segura, algo que cambió tanto como el planeta desde que Vega Iracelay se graduó en la Universidad Católica, allá por los 80, y luego en Columbia, Nueva York. "Las tecnologías cambiaron mucho. Lo que cambió más drásticamente en el mundo on-line es el concepto de privacidad. Se dan nuevas discusiones, en función de los valores de cada sociedad. La privacidad es un derecho universal pero no absoluto. Debe armonizarse con otros derechos y necesidades, como la seguridad del Estado", dice Vega Iracelay. El caso de Estonia es un ejemplo. En 2002, los servidores del Estado, con un gran nivel de informatización de servicios, colapsaron por causa de un ataque cibernético de la mafia rusa -una de las más activas-. "Estonia se va a preocupar más por la seguridad de sus datos y de la continuidad de los servicios esenciales del Estado que por la privacidad de sus ciudadanos."
-¿De qué dependen los incidentes de seguridad informática?
-De muchos factores. Por ejemplo, del proveedor y del usuario de tecnología, de qué grado de vulnerabilidad tiene. De si el software es legal o no. A nivel global, hoy el cibercrimen es más lucrativo que el narcotráfico. Mueve alrededor de 106 mil millones de dólares al año. El eje de las discusiones sobre privacidad es qué nivel de protección queremos dar a los datos personales. Rigen dos modelos: el europeo, de alta protección, y el americano, más laxo pero bastante estricto. Y se va a plantear una tercera dimensión. En tecnología, es un desafío que los legisladores y responsables de políticas públicas puedan legislar sobre el tema sabiendo que una ley tiene que permanecer en el tiempo.
-¿Cómo estamos en seguridad informática en el país?
-Tenemos una muy buena legislación, una de las leyes modelo de Latinoamérica, la Ley de Datos Personales, modelada a partir de la europea, y la modificación del Código Penal, que tiene en cuenta los cibercrímenes. Nuestra Ley de Datos Personales prohíbe exportación de datos a aquellos países donde la Argentina no reconoce adecuada protección, salvo contadas excepciones. Ese es uno de los desafíos. La Comunidad Europea le reconoce a nuestro país adecuada protección y la Argentina no ha emitido la norma necesaria por la cual reconozca adecuada protección a otro país que no sea el nuestro.
Los nuevos delitos
Microsoft tiene una unidad de más de 65 abogados y expertos en el mundo dedicados a combatir el cibercrimen. "Vemos una evolución de los hackers. Empezaron por demostrar destreza tecnológica. Hoy se trata de crimen organizado, delincuentes capaces de atacar redes de computadoras en forma remota (botnets)", continúa el experto. ¿Operan en nuestro país? "No estamos al tanto de que operen acá; sí en Perú. Hay mafias organizadas; van al país donde no se los puede perseguir. Son hábiles en saber dónde se los castiga y si existen tratados de extradición."
Uno de los delitos más comunes hoy, dice Vega Iracelay, es el llamado phishing. Es un acrónimo de password harvesting fishing, o "cosechar y pescar contraseñas". El usuario suele recibir un correo electrónico, en nombre de un banco o empresa, que le pide un clic en un vínculo con dirección falsa donde ingresar datos: tarjetas de crédito o contraseñas. Otra versión trae un adjunto que instala un código troyano haciendo visible todos nuestros movimientos en el equipo a ojos maliciosos, una clase de spyware, o virus espía. Y están los delitos para los que no hace falta conocer más que los primitivos códigos del engaño, usando Internet o redes sociales.
"La tecnología tiene que dar una respuesta, primero, con tecnología más segura. Pero la seguridad la hacemos entre todos. El uso confiable y responsable tiene que ver con la educación. Por eso intentamos llevar estos mensajes a los docentes, padres, niños y jóvenes. Una frase resume todo: no hay que comportarse en el mundo virtual como uno no se comportaría en el mundo real", aconseja Vega Iracelay.
Algunos casos empezaron a llegar a la Justicia, alentados por la Ley de Delitos Informáticos (2008). El año pasado, una empleada del Banco Provincia que tenía una cuenta en Facebook denunció otro perfil con su nombre. Le habían robado fotos y contactos, la habían suscripto a grupos pornos, y había llegado a amenazar a funcionarios. Todo, desde esa identidad paralela en la que se incluyó a la red de empleados de Banco Provincia. La víctima acudió a la UFI 9, donde dieron intervención a Pericias Informáticas de Comunicaciones, que localizó la computadora, en manos de un ex novio.
Hace quince años, mientras los cines estrenaban Hackers y contaban de un mundo al que pocos accedían, un joven argentino se convertía en el hacker latino más famoso al merodear por sistemas militares en Estados Unidos. Julio Ardita debió pagar una multa de 5000 dólares, y ahora está del otro lado, en Cybsec, empresa de seguridad informática. ¿De quiénes debemos protegernos? "De intrusos informáticos, de delincuentes, espías industriales, usuarios del sistema, ex empleados... y de 200 millones de adolescentes", enseña a sus clientes.
La prudencia manda
¿El abecé para tener la información protegida? "Lo esencial: el criterio. También, aplicar políticas de cuidado en distintos niveles", advierte Diego Laborero, gerente regional de producto de Macroseguridad.org. Laborero menciona tres puntos clave:
Antivirus. "Es como el sistema operativo: fundamental. Hace diez años, podías no tener uno. Eso ya no es posible. Todos los usuarios que se conectan tal vez tienen un gusano metido en la PC y ni lo saben. Hay algunos gratis, como el Microsoft o el Panda Security. A lo gratis no le podés pedir demasiadas cosas, pero funcionan."
Buena educación al usuario. "La gran pata de la seguridad informática. Desde la Asociación de Seguridad de la Información Argentina, de la que formo parte, tenemos iniciativas con gobiernos locales y nacionales para educar en el tema."
Criterio. "Los padres decían: no hables con extraños. ¿A cuántos de los que tenés en el MSN les conocés la cara? ¿Por qué aceptar en Skype a un desconocido? Hay que tener criterio al integrar redes sociales. Al compartir información sobre familia y actividades, se empieza a perder el lineamiento de protección. La red Linkedin es distinta: tiene mejor nivel de seguridad y está orientada al trabajo. El criterio incluye: no aceptar paquetes de tecnología -pueden dañar el sistema operativo-; robustecer las claves; no acceder al home-banking en locutorios o redes inalámbricas públicas; auditar a los niños en la Red, sin dañar su privacidad", aconseja Laborero.
Nativos digitales
Una encuesta de la Sociedad Argentina de Pediatría (SAP) reveló que uno de cada cuatro chicos de 4 a 18 años contó a su familia que había sido redireccionado, por un correo no deseado o al bajar otros contenidos, a sitios pornográficos o sadomasoquistas. "Si un niño no está bien supervisado, la pantalla puede ser puerta de entrada a peligros varios -dice el Dr. Jorge Nasanovsky, del equipo de Informática la SAP-. Los chicos son promotores de tecnología en el hogar. Su ingreso temprano a redes sociales hace que tengan un número altísimo de contactos. En el día a día quizá los padres desatienden el asunto: saben que es importante la relación de los hijos con Internet, pero esto pasa a un segundo plano hasta que los medios lo ponen en el caldero por alguna noticia", dice Nasanovsky, director de Zona pediátrica.com, incubado en Baitec (la incubadora de empresas de base tecnológica del Gobierno de la Ciudad).

Este año, dos de las cibernoticias más resonantes tuvieron que ver con una niña y una adolescente. Las dos informaciones eran absolutamente distintas, pero tenían en común el complejo mundo de las relaciones virtuales. Una adolescente cordobesa encontró por la Web un trabajo como modelo e hizo el contacto. Fue a la cita con su mamá, pero no pudo evitar ser violada. La Justicia identificó al violador porque se contactó nuevamente con la víctima por la Red. La otra noticia tuvo que ver con el bullying, o el maltrato entre pares. Hace dos meses, la madre de una alumna de 10 años de una escuela de Villa Urquiza denunció ante el Inadi que una compañera había creado un grupo en Facebook: Tres razones para odiar a R.

"Los chicos suelen percibir cuando existe algún tipo de acoso en la Red. El uso seguro de la tecnología se debe trabajar mucho desde el hogar. Promover el uso con normas consensuadas, no dictatoriales; fomentar la navegación para el estudio; tener un diálogo sobre el tema. No hace falta ser expertos: uno sabe qué contenidos en televisión son buenos o no", comenta Nasanovsky. Una de las amenazas más peligrosas, y que se discute en todos los países, es el grooming -o ciberacoso sexual de adultos a niños. El delito adopta modalidades distintas para obtener imágenes de contenido erótico, vía chat, cámara web y mensajería. Es abuso sexual virtual. "Los filtros no son una panacea, sino un recurso más. Hay que alertar a los chicos a comentar las situaciones que les parecen desubicadas o agresivas. También, a no llenar formularios."

Puede fallar
Hace 10 años, el que sufría algún desperfecto en su máquina perdía una planilla, tal vez un par de documentos. Hoy usamos las computadoras como enormes cajones repletos de videos, música, agendas, películas, videos y fotos. "No hay plena conciencia de la importancia de proteger la data en nuestra computadora. En el mundo empresarial, la cultura del back-up está incorporada. En la vida personal, confiamos en que los datos van a estar toda la vida, que el dispositivo no va a fallar. Proteger la información es tomar una cultura. Hay información, como las fotos del crecimiento de los hijos, que no se podrá recuperar jamás si se produce un daño importante en la computadora o el almacenamiento adonde se alojan", dice Mariano Denaro, presidente de TelexTorage. Experto en protección de datos, dice que para un usuario doméstico el riesgo de perder información es alto, mientras que el costo de proteger la información es bajo y no hace falta invertir tanto tiempo. Puede costar menos de 100 dólares clonar la máquina a un disco externo, de 500 G, y actualizarlo entre una y tres veces por semana. El que aspire a la perfección debería hacer una tercera copia y guardarla en el placard, actualizándola mensualmente.

Compartir esos datos que guardamos, coinciden todos los entrevistados, requiere prudencia. En Facebook, las opciones que aparecen por default, si no se toman medidas, dejan el contenido abierto al público. El sitio web pleaserobme.com crea conciencia acerca de compartir la localización a través de aplicaciones o Twitter. No lo hace para generar paranoia, sino para mostrar lo fácil que es saber cuándo no estamos en casa o dónde andamos. "Los servicios de computación en la nube (que permiten acceder a servicios o soluciones sin alojarlos en la computadora) tienen mayor nivel de seguridad y flexibilidad", dice Denaro.

Las nuevas redes nos llevan a comunicarnos, trabajar y entretenernos de forma distinta. Para que sea seguro, habrá que hacerlo bajo el paraguas de la ciberética. Vega Iracelay lo define como "un concepto holístico que comprende privacidad, seguridad y etiqueta comunicacional. Tenemos que empezar, sobre todo desde la industria, de modo responsable, a hablar de nuevos conceptos de comunicación y de interacción. La Red es cada vez más una construcción colectiva".

Por María Eugenia Ludueña
revista@lanacion.com.ar


Sobre el software libre
¿Qué pasa con la seguridad informática cuando se usa software libre? Algunos consideran que aún no alcanza la seguridad del software propietario. Sin embargo, otros piensan diferente. "La ventaja clave es que permite ingresar al código fuente. La posibilidad de ingresar "al interior" del software libre puede permitir mejorar aspectos de la seguridad, colocar parches o nuevas funcionalidades. Por otra parte, como podemos adaptarlo a diversas necesidades, podemos suprimir funciones que no nos resulten útiles. Al simplificarlo, lo hacemos más sencillo y más seguro", dice Pedro Pesatti, legislador justicialista, uno de los impulsores de un proyecto para que Río Negro adopte el software libre. "Para una pequeña organización son muy altos los costos de los sistemas de seguridad informática, con lo cual esta posibilidad no siempre está al alcance de todos."

La brecha digital
"Los tres pilares de la seguridad pasan por hacer tecnología más segura, que los gobiernos castiguen y persigan este tipo de delitos, y capacitar a padres, alumnos y docentes", señala Jorge Vega Iracelay, director de Asuntos Legales, Corporativos y de Responsabilidad Social Empresaria de Microsoft Argentina. "Nuestro modelo de visión es de ciudadanía corporativa -explica-.Somos un sujeto más en la vida del país, con derechos y obligaciones. Nuestro deseo es ayudar a que las personas alcancen su máximo potencial." Hace años que Microsoft viene haciendo una labor silenciosa en las escuelas (150 mil docentes entrenados) de la mano del tercer sector, a fin de que las nuevas tecnologías ingresen en el aula para no generar una brecha digital mayor de la que existe. En nuestro país hay 10 millones de computadoras y el índice de conexión de banda ancha es del 10%. El suceso del año a nivel digital fue el anuncio, tras un encuentro en la Casa Rosada con la Presidenta y el CEO de Microsoft, del Programa Argentina Enter.

"Intentamos marcar una bisagra en la cuestión de la inclusión digital del país. Lanzamos un programa que se llama Argentina Enter y esperamos, de acá a 5 años, generar 45 mil nuevos empleos e incluir digitalmente, por medio de socios públicos y privados, aliados y ONG, a 7,5 millones de argentinos."

La peor dupla: niños y pornografía
La producción de pornografía por Internet mueve millones de dólares. La relatora especial de la ONU sobre el tema, Najat M´jid Maala, afirmó que estos sitios se multiplican a un ritmo alarmante y que las víctimas son cada vez más jóvenes. "Según un estudio estadounidense, el 83% de los consumidores de pornografía infantil busca imágenes de niños de 6 a 12 años; el 39%, de menores de 3 a 5 años, y el 19% de los usuarios de esos sitios prefiere a los bebés y niños de menos de 3 años", citó Maala y urgió a los Estados a adoptar legislaciones que protejan a los niños.

En la Argentina, el Ministerio de Justicia, Seguridad y Derechos Humanos de la Nación trabaja con Microsoft para implementar el Sistema de Rastreo de Explotación Infantil (CETS), a fin de combatir la pornografía y el abuso de chicos en la Web, en un acuerdo de cooperación público y privado. El programa CETS ya se usa en Canadá, Rumania, Bélgica, Australia, Italia, España, Reino Unido, Chile y Brasil.

Diez reglas inmutables de la seguridad
En el año 2000 Microsoft publicó su ensayo Las 10 leyes inmutables de la seguridad . Muchos afirman que diez años después están cada vez más vigentes.

1 Si un intruso lo convence de ejecutar su programa en su computadora, ya no es su computadora.

2 Si un intruso puede activar el sistema operativo de su computadora, ya no es su computadora.

3 Si un intruso tiene acceso físico irrestricto a su computadora, ya no es su computadora.

4 Si permite a un intruso subir programas a su sitio web, éste deja de ser suyo.

5 Contraseñas débiles atentan contra la seguridad más fuerte.

6 Una máquina es tan segura como confiable su administrador.

7 Los datos encriptados son tan seguros como la clave de desencriptación.

8 Un antivirus desactualizado sólo es ligeramente mejor que ninguno.

9 El anonimato absoluto no es práctico, ni en la vida real ni en la Web.

10 La tecnología no es una panacea.

Para saber más
www.navegaprotegido.org ; www.sap.org.ar ; www.zonapediatrica.com ; www.chicos.net ; www.seguridadenlared.org ; http://www.cybsec.com/