Roberto Ambrosoni es encargado de la cátedra de Seguridad en la Información en la Facultad de Ingeniería de la Universidad ORT Uruguay desde 1996. Además, realiza trabajos particulares y es experto en protección antiterrorista. Según explicó a 180, en nuestro país existen dos grandes problemas en materia de seguridad informática. Por un lado, a nivel empresarial. “Se manejan conceptos como ‘empresa familiar’ o ‘empleado de confianza’. Eso muchas veces deja que desear en materia de políticas de conciencia de seguridad, porque los empleados se descansan y no hacen esfuerzos por preservarla”, señaló. Por otro lado, a nivel particular. “Para ser un país con un alto número de computadoras por núcleo familiar, se puede decir que también estamos en el debe. Sobre todo por los adolescentes y su exposición en redes sociales”, expresó.

El ataque de “moda” en la red

La nueva moda en los ataques de la red se llama: Ingeniería Social. Esto consiste en tratar de convencer a una persona, a través del engaño, para que revele información personal. “La Ingeniería Social hace un estudio profundo de nuestro comportamiento. Todos tenemos características iguales: nos gusta ayudar, nos cuesta mucho decir que no y somos de confiar. Esas tendencias bien usadas siempre hacen caer a alguno”, explicó Ambrosoni.

Hay 1000 millones de usuarios en internet. “Si yo tiro un mail y logro llegar a todos diciendo que mañana el número que va a salir en la lotería va a ser par y pasado mañana impar, en algún lado le voy a errar. Pero en otros no y esa gente ya tiene más confianza en mí. Seguramente, a partir de esa confianza y tirando mails pidiendo datos me acerque a ellos. Agarrando el 0,005% soy millonario”, explicó Ambrosoni.

Este tipo de ataque se da en diferentes ámbitos, ya sea particular o empresarial. “A veces pasa que llega un correo diciendo que el administrador precisa el número de usuario y la contraseña para chequearla o verificarla y la gente inocentemente contesta. Algunos hasta pasan el número de la tarjeta de crédito”, señaló Ambrosoni. Incluso, a veces algún conocido reenvía una cadena y como se sabe quién es el remitente la se la gente se confía.

La Ingeniería Social puede conseguir información, por ejemplo, de lugares donde tenemos una conexión gratuita, como es el caso de los shoppings. Viendo los lugares por dónde navega una persona se pueden descubrir sus gustos y así enviarle mails que sean de su interés. Todo vale, desde grupos de música hasta piques para apuestas.

Por otro lado, hay ataques más avanzados como los Fishings. Estos programas, por ejemplo, diseñan un sitio igual al que la persona utiliza todos los días para hacer sus transacciones bancarias. “Entonces resulta que el sitio que primero te recibe es el falso y cuando ponés tu usuario y contraseña te da error. Todos al escribir rápido puede que nos equivoquemos. Sin embargo, lo hicimos bien y no sabemos que acaban de obtener nuestros datos”, contó Ambrosoni. En ese caso, lo mejor es cambiar enseguida la clave. Cuando un banco manda un mail a sus usuarios para avisarles que no están pidiendo datos, es porque seguramente uno de sus clientes sufrió un ataque de este tipo.

Además, hay programas para averiguar claves de correo electrónico que se pueden bajar de forma gratuita en internet. Se llaman “Crackeadores” y lo que hacen es combinar caracteres para ver cuál es compatible con la contraseña de un usuario determinado. También están los “Keyloggers”, que se instalan en el servidor y registran todo lo que se hizo en el ordenador hasta el momento. Por ejemplo, una computadora de un ciber con Keyloggers instalado sería muy peligrosa.

Facebook, un arma de doble filo

Muchos usan redes sociales para compartir su manera de pensar con otros o mostrar qué cosas son las que están pasando, pasaron o van a pasar en su vida. Sin embargo, para Ambrosoni, los “líos” empiezan a aparecer aquí. “He visto gente que pone: nos quedan tres días para irnos el mes a afuera. Capaz que esa gente se va y deja una luz prendida para que nadie piense que la casa está vacía y no se da cuenta que al ponerlo en Facebook todo el mundo sabe que la casa está sola por determinada cantidad de tiempo”, explicó.

Ambrosoni señaló que para la Ingeniería Social ese tipo de datos valen mucho. “Quizás para conseguir esa información habría que vigilar durante mucho tiempo a una persona y, de repente, al ponerlo en una red social se lo expone a todo el mundo”, dijo.

Sobre todo, en las redes sociales se monitorea a los adolescentes para inducirlos a situaciones complicadas, ya sea pornografía infantil o drogas. “¿Para que irlos a buscar a la puerta del liceo o a la escuela, donde alguien puede verlos, si los pueden agarrar desde su casa chateando un rato?”, es la pregunta que se hace el experto. “Yo sé cosas de mis sobrinos por Facebook, cosas que cuando voy a visitarlos no me entero”, dijo.

Existe una parte técnica de la seguridad que es manejada por expertos y consiste en una serie de medidas aplicadas, generalmente, en empresas o bancos para proteger el sistema de gestión interno. Además, esas empresas deben definir una “política de gestión” que se traslade a la totalidad de los empleados, sino todo lo anterior carecerá de sentido. “Si yo pongo una puerta blindada en mi casa, pero no genero la conciencia en la gente que está adentro de que la llave no se puede dejar tirada en cualquier lado, es mucho más fácil acceder a esa llave que romper la puerta”, explicó Ambrosoni.

Sin embargo, los usuarios particulares también pueden tener sus propios procedimientos de seguridad para estar más protegidos:

Atención. Lo primero es no estar distraído cuando vamos a otorgar información a alguien a través de la web. Después, es importante no confiarse en que al poner una contraseña para ingresar a algún sitio particular, como por ejemplo el mail, el problema está solucionado. A partir de allí viene todo un proceso para controlar esa clave y su manejo.

Contraseña. En muchos casos, los usuarios manejan más de un correo. Tener la misma contraseña para todos no es una buena política. Además, la premisa número uno es tratar de que las contraseñas no se queden estáticas, porque cuanto más perduran en el tiempo, más vulnerables se vuelven. Una estadística revela que la contraseña más usada es “123456” y la segunda es “12345”, como también es muy utilizado el nombre de la mascota. “Eso es producto de que la gente no está acostumbrada a mantener las cosas dinámicas”, explicó Ambrosoni.

Coherencia. De nada sirve cambiar la contraseña cada tres meses, si esa contraseña no es fuerte. Algunos sitios exigen como requisitos mínimos que tengan ocho caracteres y se mezclen números y letras. Aún así, la política de cambiarla cada tres meses es necesaria, porque en ese lapso de tiempo alguien podría acceder a la información.

Correo. Es importante que el sitio genere confianza en el usuario. Cuando aparece un servidor nuevo, Ambrosoni no aconseja ser el primero en usarlo. “Hay gente que tiene ansiedad de ir a probar, lo que no quiere decir que siempre salga mal, pero no es lo recomendable”, señaló. Sitios como Hotmail, Gmail o Yahoo, tuvieron épocas en los que uno estuvo más atrás que otro en materia de seguridad. Sin embargo, hoy se ganaron esa confianza. “De todas formas, la gente tiene que tener claro que son servicios tercerizados, por lo tanto siempre alguien puede ver lo que pasa en el correo. Si vos dejás tu plata en tu casa, tenés la seguridad de que la administrás vos. Si la llevás a un banco, te puede pasar que un día no esté porque el banco se fundió o alguien se la llevó”, contó. También es recomendable tener más de un correo.

Cifrados. Una forma de proteger datos es cifrándolos. Lo bancos utilizan mucho este tipo de medidas que consisten en hacer viajar los datos por la red de forma alterada, para que si alguien tiene acceso a ellos se le resulte difícil comprenderlos.

Cibers. Las personas que hacen pagos on-line no deben hacerlo en equipos públicos. En caso de no tener opción, tendrán que elegir un lugar confiable. El peligro radica en que existen componentes de la informática, como los utilizados por la justicia para hacer análisis forenses en ordenadores, que permiten buscar “pedazos” de información que hayan quedado, a pesar de que ésta haya sido borrada.

Uruguay aprobó en diciembre la ley 18.331, que hace referencia a la protección de datos personales. Esta ley, exige a todas las empresas registrar las bases de datos de sus empleados y les prohíbe revelar la información “sensible”, que, por ejemplo, hace referencia a aspectos sexuales, médicos o políticos. Sólo se pueden usar con el consentimiento de las personas. Ambrosoni explicó que Uruguay hace esto porque se quiere posicionar diferente ante el mundo, buscando generar confianza. “Y después resulta que la gente va a Facebook y cuenta hasta porque partido votó, sin medir lo que puede pasar”, expresó.