Ni los smartphones están a salvo de los virus, o “malwares”, pero se estima que en Latinoamérica el 80 por ciento de estos dispositivos no cuentan con una solución de seguridad.
Y es que aún falta crear conciencia de la importancia del uso de medidas de seguridad informática, apunta Raphael Labaca Castro, especialista en seguridad informática de la empresa ESET Latinoamérica, la cual ofrece soluciones de protección antivirus y seguridad informática a nivel mundial.
A su criterio, en Latinoamérica sí hay buen porcentaje de protección contra estas amenazas de inseguridad informática, pero falta educación en los usuarios.
*¿Cuáles son las amenazas más frecuentes?
Las mayores amenazas son el robo de credenciales, eso se da mucho en el caso de los perfiles de las redes sociales, el robo de contraseñas y usuarios para los bancos —lo cual puede llevar a la pérdida de dinero directa—, hay mucho spam, correos de propaganda, avisos no deseados; en nuestra lista de las diez amenazas más importantes está la del auto RAM de la memoria extraíble, de auto ejecución, que utilizando memoria USB, al conectarla en la máquina eso se ejecuta automáticamente y abre una ventanita para poder ingresar directamente. Lo que hacen los atacantes es crear una opción falsa cuando el usuario hace clic en esa ventana para poder abrir, entonces el computador del usuario se infecta.
*¿Qué opciones de seguridad existen para los clientes corporativos?
Además del antivirus tienen otras medidas de protección como firewall , protección antispyware , también tienen diversas herramientas que pueden ayudar a que el usuario de la empresa pueda tratar de encontrarse protegido.
*¿Cómo funciona la seguridad informática en el caso de las redes sociales?
Las redes sociales están en un momento muy grande, en Centroamérica también, en Latinoamérica y es importante dejar claro que existen medidas, existen determinadas sugerencias que puede tomar el usuario para poder prevenir este tipo de ataques.
*¿Cómo cuáles?
- Según la empresa ESET, a raíz de los Wikileaks e intrusiones a bases de datos de grandes empresas, se debe tomar mayor conciencia sobre el riesgo de fuga de información. Los “diez mandamientos” de la seguridad de la información en la empresa son:
2. Utilizarás tecnologías de seguridad: una red que no cuente con protección antivirus, un o una herramienta antispam estará demasiado expuesta como para cubrir la protección con otros controles.
3. Educarás a tus usuarios: según estadísticas de ESET, el 45 por ciento de los ataques informáticos detectados en la región se dan por el desconocimiento del usuario.
4. Controlarás el acceso físico a la información: la seguridad de la información no es un problema que deba abarcar sólo la información virtual, sino también los soportes físicos donde ésta es almacenada.
5. Actualizarás tu software: las vulnerabilidades de software son la puerta de acceso a muchos ataques que atentan contra la organización.
6. No utilizarás a IT (Tecnología de la Información) como tu equipo de Seguridad Informática: debe existir un área cuyo único objetivo sea la seguridad de la información.
7. No usarás usuarios administrativos: así se limita el daño que pueda causar una intrusión al sistema.
8. No invertirás dinero en seguridad sin un plan adecuado: hacer inversiones en seguridad sin medir el valor de la información que se está protegiendo y la probabilidad de pérdidas por incidentes puede derivar en dinero mal invertido o, básicamente, en dinero perdido.
9. No terminarás un proyecto en seguridad: la seguridad debe ser concebida como un proceso continuo, no como un proyecto con inicio y fin.
10. No subestimarás a la seguridad de la información: muchas empresas, especialmente las pequeñas y medianas, no pueden recuperarse de un incidente de gravedad contra la seguridad de la información.
[/doap_box]
Primero, utilizar contraseñas fuertes. Que la contraseña no sea una palabra, que no sea por ejemplo el nombre del hijo, la fecha de nacimiento, el teléfono de la casa, sino hacer una combinación entre palabras y números, y en lo posible, dentro de esa palabra que haya mayúsculas y minúsculas. Si es así, tratar de adivinarla va a ser mucho más difícil, y si a eso le sumo un carácter especial, por ejemplo un símbolo de dinero, o un asterisco, una barra, entonces se vuelve más complejo para un atacante romper una contraseña de ese estilo.
*¿Y en el caso de clientes corporativos?
Facebook ha abierto un segmento de su producto que es exclusivamente para este tipo de clientes corporativos y ocurre lo mismo. Imagínense que un cliente corporativo tenga su contraseña vulnerada y logren tener acceso a sus datos, y a sus productos y, por ejemplo, hagan falsas ofertas dentro de su perfil; eso puede tener una incidencia muy grande para la empresa y puede provocar una pérdida importante, así como la pérdida del prestigio, de la marca, que son bienes no tangibles pero que pueden tener a la larga una repercusión importante.
*¿Qué tanta conciencia hay sobre la necesidad de usar este tipo de herramientas de seguridad?
Lamentablemente baja, la conciencia es baja, siempre pasa que los usuarios tienen que tener el problema primero para luego pensar que tienen que usar una herramienta de seguridad, ese es un problema a nivel regional, en todo Latinoamérica pasa. A su vez, el usuario que tiene una herramienta de seguridad necesita mayor educación. Es bueno que el usuario tenga una contraseña fuerte y la cambie periódicamente, sin embargo, no es bueno que el usuario, si la contraseña del trabajo es fuerte, la anote abajo del teclado… entonces, si la política de seguridad es robusta y el usuario no esté educado, es lo mismo que la nada.
*¿Hay países con mayor incidencia de inseguridad informática?
Sí. Los números cambian en función de un país a otro, pero en Latinoamérica hemos observado que hay una tendencia similar en la utilización del software, similar entre los diferentes países… Por ejemplo, en Brasil hay mayor incidencia de troyanos bancarios que en el resto de Latinoamérica.
*¿Cómo pueden protegerse los clientes corporativos?
A las empresas siempre sugerimos que utilicen la seguridad de la información en tres niveles. La primera es la tecnología, que se utilice siempre una tecnología de información. El segundo es educar a los usuarios; aunque se tenga el mejor sistema de seguridad y el empleado copia la clave en el teclado, ese sistema sigue siendo vulnerable… por último utilizar política de gestión de la seguridad, es decir, la seguridad informática no debe ser algo que se realiza una vez, debe ser un plan continuo y no tener nunca fin.
*¿A qué costos incurren las empresas cuando no están protegidas?
Altísimos. En una de las conferencias hablamos de conficker , que es un gusano que afectó durante el 2010 mayoritariamente a muchísimas organizaciones aprovechando una vulnerabilidad de Windows Server. Ese gusano generó globalmente 9,100 millones de dólares en pérdidas a las organizaciones. El costo de no utilizar una herramienta de seguridad es mucho más alto que el de pagar una licencia. Los empresarios deberían pensar que gastan mucho menos comprando una solución de seguridad que resarcir los gastos de un ataque.
*¿Hay límites para la inseguridad informática?
Uno desconoce ese límite, siempre podría haber un nivel más de amenazas o ataques… las redes sociales se están utilizando cada vez más, antes era solamente usuarios, ahora son empresas, por lo tanto tenemos un foco y ha crecido para abarcar las empresas, organizaciones de todo tipo de índole están en las redes sociales. Después que se termine de explotar las redes sociales va a haber otro tipo de tecnología que también va a surgir y va a seguir aumentando, por lo tanto la seguridad tiene que estar en todas las tecnologías que existen.
*¿Y esto es solo para las computadoras o aplica también a celulares?
Los teléfonos celulares también; hoy por hoy un teléfono celular tiene la capacidad de una computadora, maneja información como una computadora, se pueden checar los correos, navegar por internet, realizar pagos, todo. Entonces, ahí tenemos otro foco de seguridad y el usuario lamentablemente, como estas tecnologías son nuevas, todavía no está acostumbrado a protegerlo como que fuera un computador o su casa con una alarma.
*Y en el caso de los teléfonos móviles, ¿qué tipo de protección se puede aplicar?
También existen soluciones de seguridad para dispositivos móviles, antivirus, sitios de antispam, hay una funcionalidad antirrobo para que cuando el celular sea robado o perdido, hay mecanismos de borrado remoto, se puede enviar un mensaje de texto desde otro celular a tu número para que se borre toda la información que tiene.
*¿Y qué tanto se está usando esto?
Todavía es un nivel bajo. El 80 por ciento de los smartphone no cuentan con una solución de seguridad (…) desde hace un par de años se está ofreciendo (…) vino de la mano con la masificación de los dispositivos móviles, eso siempre va de la mano, al momento en que se crea la necesidad se va creando la forma de mitigar la amenaza y como todo, las amenazas van aumentando de forma exponencial, las amenazas que hay hoy son mucho menores a las que había el año pasado en smartphone o las que había hace dos años que eran contadas.
Ver en la versión impresa las páginas: 10 A
