El Congreso Iberoamericano de Seguridad pide constante vigilancia y actualización

"Internet es un mundo de absoluta impunidad", denunció el magistrado del Tribunal Supremo, José Manuel Maza, en el primer Congreso Iberoamericano de Seguridad y Desarrollo de la Sociedad de la Información, celebrado en Madrid. Lo confirmaron algunos de los primeras espadas en el amplio frente de la inseguridad tecnológica.

La Cátedra Applus+ de la Universidad Politécnica de Madrid, la primera en España sobre seguridad informática, organizó la reunión, donde destacó la intervención de Maza quien se maravilló de que "con lo fácil que es defraudar en Internet, el fraude es porcentualmente pequeño".

Maza denunció: "La Justicia tiene graves dificultades para perseguir y castigar los delitos informáticos". Sobre todo a la hora de investigarlos e identificar a sus autores: "No entiendo cómo para dormir en un hotel me toman los datos y, para usar un ordenador en un cibercafé, no hay ningún control".

El juez lo achacó a las lagunas legislativas, como que no existe regulación para la obtención de pruebas, la falta de peritos informáticos, los pocos medios de la policía y las carencias de formación de jueces y fiscales: "No tenemos cursos, sólo algunos aislados, cuando debería ser una materia constante".

eDNI para bonobús

Destacó también la ponencia de Carlos Jiménez, de Secuware, sobre el DNI electrónico, quien lo presentó como la panacea contra el robo de identidad en la Red y "una gran oportunidad para exportar tecnología española", pues son pocos los países europeos que lo tienen. Jiménez propuso usarlo como entrada para grandes eventos, en banca virtual, para rellenar formularios o incluso como bonobús. "Hay 100.000 eDNI en la calle y en 2007 habrá cuatro millones", vaticinó.

Los asistentes criticaron unánimemente la seguridad de este DNI: su diseño no es público, los algoritmos que usa son viejos y hay poca información. Jiménez respondió: "Me apuesto 100.000 euros a que nadie rompe el sistema en 16 años". Y añadió: "Es más probable que me caiga un meteorito encima a que rompan los algoritmos".

La banca fue otra protagonista. José Manuel Colodrás, de ING Direct, advirtió de una nueva estafa: "Hay gente que juega en casinos virtuales y después denuncia al banco que alguien ha usado su tarjeta en el casino, para que le devuelvan el dinero". Colodrás también denunció: "Nos usan como intermediarios del phishing. Hay clientes que utilizan sus cuentas para mandar dinero fraudulento a países del este. Si les descubrimos, rompemos la relación contractual con ellos".

Jesús Cea, de Hispasec, explicó que el gran peligro para la banca no es el phishing sino los troyanos: "Sólo en octubre detectamos 3.000 contra más de 30 entidades españolas".

Estos programas infectan el PC al descargar algo de un sitio web o visitarlo, aprovechando un fallo del navegador. Graban las pulsaciones del teclado o imágenes de la pantalla, cuando la víctima accede al banco. "Antes te llegaban por correo y podías filtrarlos, pero ahora te mandan un spam con un enlace al sitio".

Según Cea, "las barras anti-phishing no funcionan, los antivirus y suites de seguridad no detectan los troyanos, los teclados virtuales no sirven para nada si tienes uno. Nada está a prueba de bombas y sólo es seguro lo nuevo, que pronto caerá".

El experto criticó a la banca: "Les diagnosticas el problema y no lo solucionan porque tienen que cambiar cosas y dicen que nadie se ha quejado". Les pidió implicación en la lucha contra el phishing, dando listas de enlaces maliciosos, y transparencia sobre los costes del fraude en línea. Según RSA Security, España es el segundo país más afectado del mundo.

Las empresas también recibieron mensajes. "El discurso de la seguridad debe ser de negocio, no tecnológico", según Laura Prats, de Applus+. "Los problemas de seguridad no son técnicos sino de gestión", dijo Juan Miguel Velasco, de Telefónica. "La dirección es la primera responsable de la inseguridad", remató Jeimy Cano, consultor del Banco de la República de Colombia.

"Hay que aprender a desaprender las prácticas de riesgo", dijo Cano y criticó que las empresas inviertan en zonas como la red y su perímetro, con menos vulnerabilidades que los datos y las aplicaciones, en cambio desatendidos. Cano advirtió contra herramientas que borran los rastros de los intrusos, como los navegadores que no dejan huella, el cifrado de discos por hardware o la manipulación de la memoria del equipo y parafraseó al hacker Simple Nomad: "Si sabemos cómo funcionan las herramientas forenses podemos controlar la dirección de la investigación forense".

Nuevos problemas

Gonzalo Álvarez Marañón, del CSIC, explicó que la Web 2.0 "acarrea los problemas de antes, más otros", como el cross-site-scripting, al que son vulnerables el 80% de sitios: "Permite modificar el contenido y robar las credenciales de un usuario, sus cookies o lo que escribe en formularios".

Marañón avisó contra los gusanos que entran en el PC cuando se visita un web 2.0 infectada: "Son los más rápidos y limpios de la historia. En 20 horas, uno en Myspace infectó a más de un millón de usuarios". El investigador destacó su difícil detección y recomendó: "No clicar en enlaces sospechosos".

Fernando Bahamonde, de ISSA, aportó el punto de alta seguridad: el espionaje de las radiaciones electromagnéticas de los equipos: "Con un equipo comprado en eBay capturamos el tránsito de datos de una oficina a 200 metros. Los profesionales lo hacen a dos kilómetros".

También explicó que en Internet hay planos gratuitos de microondas modificados y rifles direccionales de pulsos electromagnéticos, que pueden comprarse ya montados por 1.500 euros, cuya potencia "freiría el Centro de Proceso de Datos de una compañía". Otra realidad son las bombas electromagnéticas que "cuestan 400 euros y destruyen los equipos en 1,5 kilómetros".

Chema Alonso, experto en seguridad de Windows, cerró la reunión con un asalto a bases de datos SQL en producción y consiguió, en segundos, nombres y datos de sus usuarios. Alonso concluyó: "Muchos ataques no podrían hacerse si hubiesen aplicado la Ley de Protección de Datos".