AUMENTAN LOS ATAQUES
A UNIVERSIDADES Y BAJAN EN LAS EMPRESAS, SEGÚN LAS ESTADÍSTICAS
DEL CERT
Mercè Molist
El número de incidentes denunciados
en 1998 a los dos organismos españoles que se ocupan de la seguridad
en Internet, IRIS-CERT y esCERT-UPC, subió ligeramente con respecto
al año anterior, debido al aumento espectacular de casos en las
universidades y al descenso, por contra, en las empresas. Destaca un incremento
de la sofisticación de los ataques, en ambos frentes.
Según las estadísticas
del IRIS-CERT, quien cubre las incidencias de seguridad en universidades
y centros de investigación, los ataques e intentos de ataques (escaneos
de puertos, telnets..) a estas instituciones han subido un 250%: de 81
casos en 1997, a 129 en 1998, 76 de ellos graves o muy graves. En más
de la mitad estaban involucrados ordenadores de fuera de España
y la mayoría se concentraron en época estival.
Aunque, en comparación con los números que maneja el CERT Coordination Center de Estados Unidos, donde sólo en el tercer cuatrimestre del año pasado habían llegado ya a casi 2.500 incidentes, las cifras del IRIS-CERT se quedan pequeñas. Más aún las del esCERT-UPC, quien se encarga de la seguridad en empresas y organizaciones españolas: el año pasado se le informó sólo de 28 casos, frente a los 43 de 1997. Estos 28 se refieren a intrusiones en máquinas -aunque haya más de una afectada, si todas están relacionadas con el mismo incidente se cuenta como un único caso- y ataques de denegación de servicio -"mailbombings", "ping de la muerte", etc-, sin tener en cuenta virus o exploración de puertos.
El hecho de que el número de incidentes en empresas haya bajado a la mitad no es significativo, según Jordi Buch, responsable del esCERT, ya que "ésto es lo que nos han reportado, pero no lo que pasa en España". Lo que sí es significativo es que, de los 28 casos de este año, el 38,5% fueron intrusiones como administrador, las más graves, mientras que, en 1997, sólo lo consiguieron el 32,6% de intrusos.
Esto demuestra, dice Buch, que los
asaltos "se han sofisticado: hay utilidades para la realización
de ataques masivos, que antes no existían y hoy pueden encontrarse
libremente en Internet, se dispone también de numerosas fuentes
de información sobre vulnerabilidades de los sistemas..., por contra,
el "hacker" de hoy sabe menos porque ya se lo dan todo hecho".
Lo mismo piensa Rubén Martínez,
responsable hasta este año del IRIS-CERT: "De tener un caso donde
esté implicada la policía y haya acusación formal
se ha pasado a tener varios; el coste económico medio de los incidentes
también ha aumentado. Por lo tanto, cuando los "agoreros" dicen
que hay cada vez más incidentes y que cada vez son más serios,
no están exagerando en aboluto".
Aún y así, Martínez
tampoco da mucha credibilidad a las estadísticas, que no reflejan
la realidad: "Ni éstas ni ningunas otras son significativas porque
no hay un patrón de medida común a todos los equipos -lo
que es un incidente para uno puede no serlo para otro- y no
se nos informa de todo.
Normalmente, los sitios atacados intentan
solucionar el problema directamente con el responsable del atacante y sólo
se ponen en contacto contigo si se les va de las manos o no pueden delimitar
el ámbito del ataque".
Por otra parte, para Rubén Martínez
es importante que "no se extraigan conclusiones tales como que la inseguridad
intrínseca de Internet la hace inutilizable para cosas serias. El
nivel actual de inseguridad es el que cabría esperar, dadas las
condiciones iniciales del diseño de la red y su alto nivel de crecimiento.
Aunque es imposible garantizar la seguridad absoluta, sí es posible
un nivel de seguridad "razonable", a poco que se tomen determinadas precauciones".
Incidentes denunciados a IRIS-CERT en 1998
Prioridad
Mes Total
Baja Normal Alta
Emergencia
Enero 3
1 2
- -
Febrero 10
1 4
5 -
Marzo 10
- 5
5 -
Abril 10
- 3
7 -
Mayo
10 -
1 9
-
Junio 5
- -
5 -
Julio 18
1 4
13 -
Agosto 22
- 8
14 -
Septiembre13
- 8
5 -
Octubre 10
- 3
7 -
Noviembre 6
1 3
1 1
Diciembre 12
1 7
4 -
TOTAL 129 5 48 75 1
[Prioridad baja: Tentativas
en las que el atacante no consigue su propósito (p.ej. telnet)
Prioridad normal:
Acceso simple al sistema informático o escaneos insistentes de redes
Prioridad alta: Infiltración
de una cuenta privilegiada o denegación de servicio
Emergencia: Lo que
suponga peligro para vidas humanas, para la seguridad nacional o para la
infraestructura de Internet.]
Incidentes denunciados a esCERT-UPC
en 1998
Mes Total
Enero
1
Febrero -
Marzo
1
Abril
3
Mayo
1
Junio
2
Julio
2
Agosto 6
Septiem. -
Octubre 5
Noviem. 5
Diciem. 2
TOTAL 28
[esCERT-UPC no tiene
en cuenta los incidentes considerados de prioridad baja o normal por IRIS-CERT]
UNIVERSIDADES: EL
TALÓN DE AQUILES DE LA SEGURIDAD EN LA RED
Las universidades y centros de investigación son, desde siempre, el punto flaco de la seguridad en Internet. "Es lógico que aquí se relajen las medidas de seguridad, nunca serán tan elevadas como en las empresas porque las máquinas deben estar más abiertas, hay muchos estudiantes que tienen cuentas y disponen de telnet", explica Jordi Buch.
Esta inseguridad fue objeto de debate
en las jornadas que RedIris celebró en Barcelona, a finales del
año pasado. Allí, Aurelio Herrero, del Centro Superior de
Investigaciones Científicas, explicó su caso como ejemplo
paradigmático: "Nuestros investigadores deben poder acceder a todas
partes, algunos están en proyectos internacionales y sus colegas
también deben entrar en sus bases de datos, todos necesitan un acceso
fácil y, a partir de aquí, es difícil implementar
una política de seguridad, aunque hemos puesto cortafuegos a las
máquinas más sensibles. Además, tenemos poco presupuesto".
A esta necesidad de tener los sistemas
abiertos, con recursos disponibles para los usuarios, se añade la
imposibilidad por parte de los respectivos servicios informáticos
de controlar todas las máquinas y qué se está haciendo
con ellas, o de obligar a los investigadores a actualizar periódicamente
sus programas y vigilar los .logs. El resultado es un uso frecuente de
estas máquinas, por parte de los "hackers", como pasarela para saltar
a otros ordenadores o como el lugar perfecto para "crackear" ficheros de
contraseñas.
Según los responsables de seguridad
asistentes a la sesión, Rubén Martínez, del IRIS-CERT,
y Manuel Medina, del esCERT-UPC, quienes aseguraron que sólo se
detecta 1 de cada 415 problemas de seguridad, la única solución
es que cada centro tenga y siga una auténtica política de
seguridad en la que, según Martínez, lo más prioritario
es la actualización de parches y, añadió Medina, "saber
quien está sentado ante una terminal en todo momento".
---------------------------------------------------------8<------------------------------------------------------------------
[PARA COMPARAR, OTRO
ARTICULO SOBRE EL TEMA, ESCRITO SEMANAS DESPUES, A PARTIR DE OTROS DATOS:]
MÁS DE LA MITAD DE LAS EMPRESAS ESPAÑOLAS NO INVESTIGAN LOS INCIDENTES EN SUS REDES
Mercè Molist
Aunque la mayoría de directivos
consideran la seguridad informática como algo importante, según
un estudio presentado recientemente por la consultora Ernst&Young,
basado en encuestas hechas a 8.000 empresas españolas en 1998, "esta
importancia que se le otorga no siempre va unida a la implantación
de medidas concretas". El 47% de las empresas aseguran no tener una política
de seguridad informática, el 56% no investigan los intentos de acceso,
actividades poco usuales y otros incidentes en sus redes, el 80% no tienen
establecido un plan de acción en caso de detectarse un intruso y
sólo una de cada siete utiliza técnicas de encriptación
para guardar información confidencial.
1998 fue el segundo año en que Ernst&Young incluyó a España en su encuesta mundial sobre seguridad informática. La mayor diferencia con los datos de 1997 es que, por primera vez, los directivos consideran a los antiguos empleados como una amenaza seria. Por otra parte, ha aumentado la inversión en personal dedicado a la seguridad -del 30% al 40%- y ha crecido espectacularmente -del 27% al 84%- la implantación de Internet en las empresas, aunque sólo el 7% afirman usar comercio electrónico, por la falta de confianza: el 65% consideran su seguridad en la red como escasa. Donde también hay casi unanimidad es en la conscienciación por el problema del año 2000: el 78% de las empresas tienen un plan para afrontarlo, aunque sólo el 13% afirmaban haberlo terminado en el momento de la encuesta.
Tales cifras -vistas siempre con la precaución debida ante las estadísticas- no se alejan demasiado de la realidad en el extranjero, aunque las diferencias se hacen más patentes cuando se pregunta a las empresas españolas por sus procedimientos de seguridad, en caso de tenerlos: el 32% utiliza medidas detectivas, que advierten del problema cuando ya se ha producido, mientras que a nivel mundial se usan mayoritariamente medidas preventivas, como la comprobación de antecedentes de los empleados. Otro ejemplo: un 63% de las empresas cuentan con planes de continuidad del negocio, pero en España sólo son el 43%.
Cuidado con los trabajadores
El nuevo miedo de los directivos españoles
por los empleados descontentos es también un reflejo de la situación
en el mundo. Según otro estudio, presentado recientemente por la
International Data Corporation, el 70% de los ataques a empresas en 1998
tuvieron este origen. Lo mismo muestra, en los cuatro años que viene
realizándose, el "Computer Crime and Security Survey" del Computer
Security Institute (CSI) y el FBI, con datos de empresas, universidades
y administración de los Estados Unidos. Pero, en el estudio correspondiente
a 1998, que se daba a conocer hace pocas semanas, ha habido un cambio que
ya se intuía el año anterior: por primera vez, empleados
descontentos y hackers maliciosos van muy igualados como origen de los
ataques, seguidos por las empresas de la competencia y gobiernos extranjeros.
En cuanto a los abusos en general de
sus sistemas informáticos, el 61% de las 521 fuentes encuestadas
por el CSI afirman haberlos sufrido, siendo los más comunes el acceso
irregular a Internet por parte de los trabajadores (bajarse pornografía,
programas piratas, utilizar indebidamente el correo electrónico,
etc), los virus y el robo de ordenadores portátiles. También
estos casos son los que provocan más pérdidas a las empresas,
junto al fraude financiero. En cuanto a los ataques por Internet, el más
usual es la denegación de servicio. Sólo el 18% de las víctimas
de abusos en 1998 informaron de ello a la policía. Los que no lo
hicieron aducen el miedo a la mala publicidad, la competencia, el haber
encontrado una solución civil y el desconocimiento de las capacidades
de la policía en estos casos.
SEGURIDAD EN LAS EMPRESAS ESPAÑOLAS
1998
¿Existen políticas y procedimientos de seguridad implantados?
SI. 53%
NO. 47%
¿Cuáles son los principales obstáculos para mejorar la seguridad?
EL PRESUPUESTO. 36%
LA CONSCIENCIACIÓN DE LOS EMPLEADOS.
32%
Principales amenazas según las empresas
1997 1998
1. Usuarios autorizados
Hackers informáticos
2. Hackers informáticos
Usuarios no autorizados
3. Proveedores de servicios
Proveedores de servicios
4. Usuarios no autorizados
Antiguos empleados
Plan de adaptación al año 2000
Lo tienen terminado. 13%
Lo terminarán en 1998. 30%
Lo terminarán en 1999. 56%
(Fuente: Segunda Encuesta Mundial
sobre Seguridad Informática. Ernst&Young)
SEGURIDAD INFORMÁTICA EN
ESTADOS UNIDOS 1998
Procedimientos de seguridad utilizados
Control de acceso
89%
Biometría
8%
Encriptación
59%
Antivirus
94%
Contraseñas
59%
Cortafuegos
88%
Sesiones encriptadas
44%
Seguridad física
88%
PCMCIA, tarjetas
inteligentes, etc
37%
Detección de intrusiones40%
Certificados digitales 32%
Tipos de ataques y abusos detectados
Robo de información
20%
Sabotaje de datos o redes
15%
Escuchas telefónicas
10%
Penetración del sistema
desde el exterior
24%
Abuso del acceso a Internet
por parte de trabajadores
76%
Fraude financiero
11%
Denegación de servicio
25%
Contaminación por virus
70%
Acceso no autorizado a
información por parte de
empleados
43%
Fraude telefónico
13%
Espionaje electrónico
2%
Robo de portátiles
54%
No sabe/no contesta
22%
Respuestas dadas a intrusiones en ordenadores
Cerrar los agujeros detectados
54%
No informar de las intrusiones
27%
Informar a la policía
18%
Informar a los asesores legales
17%
(Fuente: 1999 CSI-FBI Computer Crime
and Security Survey. http://www.gocsi.com)