Cámara Valencia - Artículos de Tecnologías de la Información por Latencia SL (http://www.latencia.com)        Cómo evitar la suplantación de identidad en la Red Autor: Javier Molina Magaña (AnatomicSoft.com) La usurpación de la identidad de una pyme se esta convirtiendo en una práctica cada vez más habitual y preocupante. El objetivo de quienes llevan a cabo esta actividad delictiva es siempre el empleo de la identidad, del ancho de banda y de los sistemas de la empresa víctima para molestar en mayor o medida a otros. Si se utiliza la red de la empresa para atacar otras redes, enviar correos basura (spam) o incluso enviar mensajes amenazantes, la imagen de la empresa se verá seriamente dañada. La identidad de una empresa es una de sus bazas más fuertes en la captación y mantenimiento de clientes a través de Internet. Para evitar que sea dañada por terceros, es imprescindible seguir unas normas básicas de seguridad informática, tanto dentro de una red propia como en su interacción con el exterior. Normas Básicas de Seguridad La identidad de una empresa es una de sus más importantes armas en el mercado. Un nombre comercial puede decantar al cliente de su lado o puede volverlo en su contra dependiendo de su reputación. Por desgracia, existen quienes encuentran beneficio (a veces económico, otras no) destruyendo el buen nombre de otros. Se abordarán en el presente texto las medidas de seguridad básicas para evitar ser víctimas de una suplantación de identidad. Las posibles consecuencias de no protegerse apropiadamente incluyen, entre otras: Pérdida de productividad, pudiendo llegar a la paralización completa durante un periodo de tiempo. Si se sufre una intrusión, puede llegar a ser necesario dejar de usar por completo los sistemas informáticos para recoger evidencias que ayuden a determinar el punto de entrada del agresor y su identidad. A esto se deberá añadir el tiempo necesario para corregir el fallo y volver a poner a punto los sistemas violados. Pérdida de credibilidad, que puede adoptar muchas formas. Si se utiliza la red de la empresa para atacar otras redes, enviar correos basura o incluso enviar mensajes amenazantes, la imagen de la empresa se verá seriamente dañada. En el caso del envío de amenazas, es posible que incluso sea necesario tratar con las autoridades. Filtraciones de información confidencial interna: datos privados de clientes y/o proveedores, datos financieros etc. Pérdida de confianza de los clientes si, como ha sucedido en otras ocasiones, reciben mensajes del tipo: “La base de datos de clientes de la empresa [nombre de la empresa] ha sido filtrada. Para demostrarlo, le indicamos a continuación sus datos personales: Su nombre: [nombre del cliente] Sus datos bancarios: [datos del cliente]” Pérdidas monetarias, si un intruso llega a acceder a datos bancarios de la empresa que le permitan el acceso a las cuentas. La red interna En informática, como en otros ámbitos, la cadena de seguridad es tan fuerte como su eslabón más débil, y es por esto que el primer paso será siempre comenzar por proteger la propia red local. Una intrusión en la propia red local significa que cualquier intento de proteger la identidad puede ser boicoteado desde su comienzo ya que, desde el exterior, no será posible diferenciar acciones llevadas a cabo por un intruso de las llevadas a cabo por el personal autorizado. Una de las primeras medidas recomendables es controlar quién tiene acceso físico a las instalaciones. Por ejemplo, un intruso puede cometer un ataque contra otra red, envío masivo de correo basura, etc y desde el exterior, es decir, quienes son victimas de ese envío no podrán diferenciar que no se trata de acciones voluntarias, sino que alguien esta usurpando la identidad de una pyme para llevar a cabo esas actividades ilícitas. La recomendación es, por tanto, mantener un registro de cualquier persona que se conecte a una instalación de red, así como inspeccionar periódicamente los puntos de conexión. Existen casos en los que impostores se han hecho pasar por personal de mantenimiento, para seguidamente instalar un punto de acceso inalámbrico en una de las conexiones disponibles y ocultarlo, pudiendo más tarde introducirse en la red de las víctimas sin ser detectados. El siguiente paso son los ordenadores individuales y servidores. Todos los ordenadores, y en especial aquellos con información sensible como los que contengan, por ejemplo, bases de datos o correos a clientes y/o proveedores, son un posible blanco de un intruso. Si alguien compromete un ordenador desde el exterior, tendrá las mismas posibilidades que si estuviera conectado físicamente a la red, con todas las consecuencias. Esto constituye un problema especialmente acuciante en la época actual, donde se ha acortado peligrosamente el lapso de tiempo desde que se descubre un fallo en un sistema informático hasta que se encuentra la forma de explotarlo para vulnerar la seguridad. La recomendación no puede ser otra: se deben actualizar con diligencia todos los ordenadores y mantenerlos al día en cuanto a correcciones de seguridad. Es aconsejable también extender esta práctica no sólo a los equipos propios, sino también a los de cualquier otra persona que vaya a conectarse a una red. Nunca se enfatizará lo suficiente la necesidad de mantener la seguridad interna en una red. En el momento en que un intruso logra acceso a la red puede instalar un analizador de red (sniffer), que le mostrará todos los datos que se transmitan, incluyendo contraseñas de acceso y mensajes de correo. Un antivirus en cada ordenador, actualizado diariamente, es también obligatorio. La entrada a los ordenadores, así como todos los recursos compartidos deben estar protegidos con contraseña, y se debe concienciar a los usuarios de que nunca anoten las contraseñas. Son innumerables los casos en que se han encontrado contraseñas en notas pegadas al monitor. Si no disponemos de tiempo, conocimientos suficientes o personal interno cualificado, una opción es incorporar a una persona de confianza encargada del mantenimiento y revisiones periódicas. En cualquier caso, todo el personal que utilice ordenadores debe recibir una mínima formación en cuanto a recomendaciones de seguridad. El sitio web Junto con el correo electrónico, la web constituye el medio de contacto con el exterior en Internet. A la hora de protegerla, se deberán tener en cuenta varias vertientes: - Dominio(s).         Un dominio (por ejemplo, camaravalencia.com) es un nombre en Internet y lo que un visitante recordará para encontrar un sitio web. Todos los dominios deben siempre estar registrados a nombre de la empresa, nunca a nombre de la empresa registradora de dominios ni del empleado en quien hayamos delegado la tarea del registro. Sólo quien figura como “contacto administrativo” está realmente autorizado a realizar modificaciones en un dominio, por lo que es vital que en todo momento se encuentre bajo control. En muchos casos, el dominio de la empresa se encontraba a nombre de un trabajador que, al finalizar su contrato por una u otra razón, utilizó la posibilidad de modificar el dominio como forma de extorsión. La dirección de correo electrónico utilizada en el registro debe permanecer siempre activa, consultarse con frecuencia y permanecer igualmente bajo control. Está altamente desaconsejado utilizar cuentas gratuitas, ya que de perder esa cuenta, puede resultar muy difícil (o incluso imposible) realizar modificaciones o renovar un dominio.         También es sumamente importante renovar los dominios antes de que caduquen, de lo contrario, nuestro sitio web automáticamente dejará de funcionar y el dominio podrá ser registrado por otra persona. La sugerencia es efectuar la renovación 90 días antes de la caducidad. La empresa registradora con la que se contrate deberá estar debidamente acreditada, por ICANN (www.icann.org) para el caso de los dominios genéricos (.com, .net, .org) o por esNIC (www.nic.es) para los dominios .es. Si no se dispone ya del nombre de dominio de la empresa, es importante registrarlo cuanto antes, incluso si la empresa todavía no está creada. Intentar obtenerlo después puede ser difícil y muy costoso, si un tercero lo registra antes de que dispongamos de pruebas de que legítimamente corresponde a la empresa. - Alojamiento. A la hora de elegir un proveedor de alojamiento, se debe valorar además de la parte técnica (que cumpla con los requisitos presentes y futuros necesarios para alojar la web) el tiempo de respuesta del proveedor a una solicitud de ayuda y/o información, examinar si las versiones de los programas se encuentran actualizadas con respecto a fallos de seguridad y si su proceso de alta utiliza un formulario seguro para el envío de los datos. - Programación. Cualquier trabajo contratado para añadir funcionalidad a la web debe ser realizado por personal propiamente concienciado en cuanto a seguridad. Antes de instalar cualquier programa gratuito (por ejemplo, para recibir formularios) debemos examinar su historial de seguridad. Como ejemplo, cabe destacar que uno de los programas de recepción de formularios más utilizados ha sido explotado para el envío masivo de correo basura en muy numerosas ocasiones, hasta el punto de que muchos proveedores de alojamiento han prohibido su uso en sus servidores. Se mantendrán copias de seguridad del contenido de la web, tanto del estático (html, javascript, flash, etc) como de cualquier base de datos utilizada. Así mismo, es imprescindible mantener un plan de contingencia por escrito con todos los pasos necesarios para restaurar la web en caso de que sea víctima de una modificación vandálica. Las instrucciones deben ser detalladas y fácilmente comprensibles, de forma que cualquier persona sea capaz de seguirlo en caso de urgencia. Si sólo una persona conoce la forma de colocar la web y no se encuentra disponible (vacaciones, enfermedad, ya no trabaja en la empresa) puede surgir una situación de impotencia que impida restaurar el sitio web a su estado original. Este plan de contingencia deberá conservarse por duplicado en sobres cerrados depositados en lugares seguros, ya que contendrá contraseñas de acceso, de forma que sólo sea necesario abrirlo en un momento de necesidad. También se debería contar con un plan similar para los servidores de la red local, con pasos detallados desde la instalación del sistema operativo así como su configuración y la de todos los programas instalados. Si se dispone en la web de algún servicio protegido con contraseña, se implantará una política según la cual nunca se solicitará por ningún medio (correo electrónico, teléfono, etc) dicha contraseña a los usuarios. Esta política debe estar claramente visible en el formulario de inscripción, el de entrada al servicio y el correo de bienvenida que se envíe al inscribirse. Es importante enfatizar esta política a los ojos de nuestros visitantes e intentar por todos los medios que se conciencien de su utilidad: sabiendo que una empresa nunca va a pedir la contraseña por correo electrónico, si se recibe un mensaje, supuestamente de esta empresa, en el que se pide la contraseña, será fácil descubrir el fraude: la reacción será rápida y evitará muchos problemas. El correo electrónico El correo electrónico está íntimamente ligado a la web y a toda la operatividad en Internet de la empresa. Es la herramienta más utilizada de Internet, por delante de la web, y es primordial asegurarse de que funcione como es debido. La primera recomendación es evitar el uso de un programa de correo con un mal historial de seguridad. Conviene evaluar las diferentes alternativas existentes en el mercado (entre otros, Eudora, The Bat, Pegasus) y ver cuál se adapta mejor a la forma de trabajar habitual. En cualquiera que se seleccione es muy recomendable desactivar la opción de visualizar mensajes en HTML. Así evitaremos que los remitentes de correo basura puedan verificar una dirección de correo como válida. La principal recomendación con respecto al correo electrónico es la que reciben todos los niños: “no aceptar nada de desconocidos”. Sin embargo, sorprendentemente, siguen ocurriendo casos en los que se recibe un correo con un adjunto que no se esperaba, y el receptor abre el fichero. Todo el personal de la empresa debe recibir una mínima formación en cuanto al uso de ordenadores, Internet y correo, pero esta es la principal regla que todos deberán interiorizar. Los ficheros adjuntos no solicitados son potencialmente peligrosos y nunca deben abrirse. Una buena estrategia para trabajar con ficheros adjuntos en el correo es concienciar a las personas con las que mantengamos correspondencia de que nunca nos envíen adjuntos sin avisar previamente. Así, recibir un fichero no esperado significará que debemos descartarlo. Al principio, cuando todavía no todos los contactos estén acostumbrados a estas normas, cuando menos se deberá confirmar que realmente fue una persona determinada quien nos envió tal fichero. Para eso se podrá utilizar un correo utilizando un formato similar a la siguiente plantilla: “La política de seguridad informática de [nombre de la empresa] indica que los ficheros adjuntos no solicitados deberán ser eliminados. Dado que no se recibió aviso previo, rogamos nos confirme su envío del fichero [nombre del fichero recibido] en la fecha [fecha de recepción del correo] Para evitar confusiones en el futuro, le rogamos nos indique, en un mensaje previo, que el próximo mensaje incluirá un fichero adjunto”. El correo para comunicación interna debería ir siempre firmado mediante una firma digital. Así se detectará inmediatamente cualquier intento de suplantación de la identidad de cualquier miembro del personal. Ya que todavía la firma digital de correo electrónico no es una práctica extendida, se puede comenzar a usarla (sólo para el correo interno de nuestra empresa) sin necesidad de comprar un certificado digital a una autoridad de certificados (por ejemplo, Verisign), el personal informático de la empresa deberá informarse sobre la creación de una Autoridad de Certificación interna y de certificados para el correo. Adquiriendo un certificado a una autoridad como Verisign o Thawte, la firma digital podrá ser también validada por casi cualquier otra persona con la que se mantenga correspondencia electrónica. Conclusiones Finales - Para mantener el buen nombre dentro y fuera de Internet, es imprescindible prestar algo de atención a los equipos informáticos y a sus precauciones de seguridad. - Una inversión en unas jornadas de formación básica en el manejo del ordenador puede resultar una gran ayuda para todo el personal. - El correo electrónico es sólo una de las posibles puertas de entrada para un intruso, debemos controlar nuestra seguridad a todos los niveles. Aún así, sigue siendo una vía de acceso fácil y todas las precauciones son pocas. - Los nombres de dominio deben registrarse cuanto antes, con empresas acreditadas y a nombre de la empresa, nunca a nombre de un empleado ni de la empresa registradora. Es importante no permitir que pase su fecha de vencimiento sin renovarlos. - La operatividad de la empresa no debe depender de la disponibilidad de una única persona. Toda la información referente a sistemas críticos debe quedar propiamente registrada por escrito. - La seguridad es un proceso continuo. Es importante mantenerse al día.    © Javier Molina Magaña (Anatomicsoft.com) –Jaén (España), en Noviembre de 2003      http://www.latencia.com