En este artículo se identifican las características principales de los denominados delincuentes virtuales o hackers, analizando en qué consisten sus crímenes y por qué incurren en ellos, que normalmente reside en la búsqueda del reconocimiento. Primeramente, se analizan algunos de los casos más sobresalientes de empresas afectadas por este tipo de crímenes como Yahoo, buy.com, amazon.com, ebay.com, cnn.com Microsoft, entre otras, resaltando aspectos como hackers internos a las organizaciones y la técnica de negación de servicio para sobre transitar e inhibir portales como elementos interesantes. También se analiza la situación actual de las empresas en cuestiones de seguridad la cual es escasa, pero recibe cada vez mayor interés por parte de las organizaciones para protegerse a sí mismas y a sus clientes. Por ultimo, se mencionan algunas posibles soluciones ante esta gran problemática.
Palabras Clave: Hackers, Terrorismo Virtual, Seguridad en la Red, Hackers Internos, Negación de Servicio, Internet, Comercio Electrónico, Informática.
1. Introducción
Conforme se globalizan tanto mercados como operaciones empresariales, se recurre cada vez en mayor medida a tecnologías de información que simplifiquen funciones. Con ello, las empresas pretenden ofrecer un mejor servicio a un mayor número de clientes con mejor calidad e incurriendo en menores costos. Por la necesidad de captar mercados globales surge el comercio electrónico como una nueva modalidad para las empresas de hacer negocios, basada en el Internet como punto de encuentro entre clientes y proveedores de bienes y servicios. Las empresas en la actualidad se basan en portales de Internet que proporcionan todo tipo de información electrónica acerca de la compañía. Estos portales a su vez, tienen integrado un proceso de logística de comercialización que incluye catálogos, cobranza, facturación, envío, entre otras operaciones más detalladas. Además, por el volumen tan grande de operaciones y clientes que manejan las empresas, el uso de bases de datos se ha vuelto imprescindible como medida de almacenamiento y procesamiento de información relevante para las empresas. Por tratarse de una manera relativamente nueva de operar, con el manejo de altos contenidos de información, es imperativo el desarrollo de medidas de seguridad que protejan la información clave de la empresa como lo son procesos, clientes e información financiera, y que aseguren el funcionamiento fluido de las operaciones electrónicas.
Con el avance del comercio electrónico y el uso acostumbrado de portales de Internet por parte de las empresas, se ha creado una nueva clase de criminales que amenazan seriamente al crecimiento de dichas compañías ya que cuestionan su seguridad de operación. Estos criminales son conocidos como hackers. A grandes rasgos, un hacker es una persona con vastos conocimientos de computación que busca reconocimiento a través de incursionar en páginas de Internet de acceso restringido para evidenciar la falta de seguridad de las mismas y darse a conocer públicamente. Más adelante, se profundizará acerca de la raz&oiacute;n de ser de un hacker, de sus intenciones, y exactamente que están haciendo para ser considerados como una amenaza para el comercio electrónico.
Muchos han sido los casos de empresas que han sufrido del terrorismo electrónico de hackers, unas en mayor medida que otras, pero es sabido que una gran proporción de este tipo de ataques proviene de su propio personal insatisfecho o de empleados que anteriormente laboraban con ellos y que buscan perjudicar a la empresa como una especie de venganza. Afortunadamente, los casos más comunes de crimen electrónico consisten en la negación de servicio de las empresas afectadas. En general, como menciona Castilleja et al, negación de servicio consiste en atiborrar los servidores de las compañías de Internet con cartas electrónicas hasta bloquear el acceso (12). Es decir, el portal es incapaz de funcionar hasta que logran solucionar el problema. Lo preocupante de esta situación es que empresas líderes en su ramo, con gran reconocimiento tecnológico y que precisamente destinan grandes cantidades de dinero a la seguridad de sus operaciones electr nicas han sido víctimas de este tipo de ataques, lo cual es una clara señal de que ningún negocio esta exento de ser afectado. Existen algunos mecanismos de seguridad que pretenden minimizar este tipo de ataques, mecanismos que se mencionarán más adelante, pero es preciso que se perfeccionen si se desea que el comercio electrónico prospere, dado que existe aun una enorme cantidad de usuarios potenciales con cierto sentimiento de escepticismo por temor a una nueva manera de negociar.
2. Contenido
La nueva era de la información trae consigo nuevos criminales conocidos como hackers. Un hacker es una persona con conocimientos técnicos sobre computación que busca darse a conocer evidenciando la falta de seguridad de los portales de Internet. Incluso un grupo desconocido de hackers autodenominado Hackers Unite que se adjudicó un ataque al servidor Hotmail dejando los mensajes de millones de usuarios abiertos y a la vista de todos, dijo que su meta era atraer la atención mundial hacia lo que consideran la pésima seguridad de Microsoft (15). En su artículo, Charles Cooper cita a Janet Reno diciendo que los hackers parecen estar intencionados hacia el trastorno del comercio electrónico (8), y parecen estar consiguiéndolo.
Para efectos de el presente estudio, se maneja el termino hacker de manera indistinta para referirse a criminales virtuales de todo tipo. Sin embargo, es importante hacer mención de lo que muchos expertos consideran la diferencia clave entre un hacker y un cracker.
Los hackers pueden hacer travesuras que impliquen el simple hecho de incursionar en información confidencial, su objetivo final es demostrar inteligencia y poder para incursionar en bases de datos que pudieran estar altamente protegidas, indica Jos Guadarrama atinadamente (13), invaden sistemas simplemente por el reto de trastornar organizaciones de alto nivel dice Julie Chyna (18). Por otra parte, surgen problemas más serios en un portal con el arribo de un cracker, cuyo propósito es llegar a la información sensible y confidencial de las empresas para destruirlas o lucrar (13), desafortunadamente, este tipo de hackers buscan más que notoriedad, buscan números de tarjetas de crédito, cuentas bancarias e información similar que pueda ser utilizada para lograr ganancias ilegales (18). En ambos casos se viola la privacidad de las empresas y se causan pérdidas financieras y en imagen muy severas, por lo que se usar el término hacker para describir todo tipo de actividad ilícita en materia de informática.
Es verdad que los hackers amenazan al funcionamiento adecuado del comercio electrónico y de las operaciones de Internet, por lo cual se hace referencia a ellos como algo negativo, lo cual es correcto especialmente en el caso de los crackers. Sin embargo, si se analiza detenidamente, el caso de los hackers es algo distinto. Por una parte sí obstruyen las operaciones electrónicas de las empresas e incluso causan pérdidas importantes para los negocios, pero también sirven como medida de desarrollo de las empresas para detectar fallas en sus sistemas de información. De esta manera, las empresas están mejorando constantemente sus sistemas de seguridad gracias a los logros de hackers que invaden portales restringidos. Visto de esta manera, los hackers continúan influenciando el desarrollo de la red, pero bajo otras etiquetas como experto, consultor, programador o desarrollador, debido a que la palabra hacker siembra desconfianza (14).
Los problemas causados por hackers más mencionados han ocurrido en compañías prestigiadas de tecnología o basadas en Internet, lo cual tiene mucho sentido dado que esa publicidad es precisamente lo que buscan los hackers. De hecho, Julie Chyna menciona que las organizaciones pequeñas y medianas corren menores riesgos de invasiones de este tipo porque no ofrecen el potencial de publicidad nacional (18) que las empresas grandes sí ofrecen.
Pero la gran pregunta continúa latente, ¿quienes son estos hackers? Miles de ataques provienen de empleados insatisfechos actuales o pasados, muchos de ellos son personas frustradas, empleados enojados dentro de las organizaciones mencionó Humberto García Marín, Director General de CITI en el artículo de Castilleja et al (12). La mayoría de ellos lo hacen por venganza, porque sienten que fueron afectados por la empresa de alguna manera en el pasado, esta sensación de injusticia los lleva a buscar venganza en contra de la compañía. Esta es una situación alarmante para las empresas en cuestión de seguridad, especialmente si se observan algunas estadísticas como la que menciona César Barreiro, Gerente de Alcatel México, con base en estadísticas mundiales, se sabe que el 85 por ciento de los accesos ilegales son realizados por personas que forman parte de la misma empresa, lo que hace más necesaria la aplicación de sistemas de control (17). Es evidente que las empresas deben cuidarse no solo de hackers externos, sino de su mismo personal, y en mucho mayor proporción, dado que éstos representan una seria amenaza por tener acceso cercano a información y sistemas de la compañía. Quizá sea una buena idea controlar dichos accesos, monitorear equipos internos o cambiar constantemente los procedimientos de acceso, pero este dilema tiene también importante relación con cultura organizacional y la percepción de justicia de la gente de la organización.
Entre los problemas más severos se encuentra el de los mencionados crackers que intentan lucrar o robar información con intenciones de dolo. Un caso sobresaliente de ello ocurrió cuando un hacker robó los números de tarjetas de crédito de los clientes de un minorista de música en Internet (CDD Universe) y los publicó en un portal dado que el minorista se negó a pagar una recompensa de $100,000 dólares por ellos (7). Esta situación es alarmante si se llega a hacer un mal uso de las tarjetas de crédito ya que podría significar perdidas para los clientes, los bancos y las tiendas.
Afortunadamente, muchos de estos ataques a portales de Internet solo han consistido en una negación de servicio hacia los clientes de dichas compañías. Esta negación de servicio consiste en el bombardeo a un portal con tráfico simulado, lo que resulta en un congestionamiento de dicho portal que impide el acceso a los usuarios (3). Sin embargo, este simple congestionamiento ha causado pérdidas importantes, especialmente a empresas cuyos ingresos dependen directamente de sus usuarios. Tal es el caso de buy.com quien es un minorista de Internet con múltiples categorías como computadoras, libros, software y productos electrónicos. Cuando se bloqueó el acceso de la gente a su portal durante varias horas, se le causó a buy.com pérdidas significativas a través de la pérdida de clientes potenciales que fueron incapaces de entrar al portal y realizar compras. El mismo caso ocurrió con amazon.com, tienda minorista de ventas en línea de libros, música y video. Empresas de servicios financieros en línea como etrade.com y datek.com sufrieron daños similares al obstruirse el acceso a sus portales y así ser incapaces de prestar servicios de compra y venta de acciones, esto trajo consigo pérdidas vía comisiones.
Además del daño directo de perder clientes por falta de acceso y así posibles ventas para las empresas, un daño quizá mayor que se deriva del terrorismo virtual es la imagen negativa que transmiten las empresas al público en cuanto a su inseguridad e inconsistencia en sus servicios. Gran parte de los ingresos de las compañías de Internet se basan en el número de personas que accesan su portal y en los patrocinadores que se anuncian en dichos portales gracias a este tráfico de personas. Entre mayor sea el número de personas que accesan un portal, mayor el potencial de ese portal de captar patrocinadores que se anuncien en ellas, por la gran cantidad de clientes potenciales que existen para todo tipo de industria. Esta atractividad se ve afectada cuando la página deja de funcionar. De esta manera el flujo de usuarios de reduce y la captación de patrocinios podría hacerlo también. La compañía Yahoo también sufrió recientemente un ataque de negación de servicios en lo que aparentemente fue un esfuerzo coordinado originado de tantas localidades distintas al mismo tiempo que le fue imposible a Yahoo detenerlo (3). De esta manera uno de los portales más grandes y populares del Internet fue inaccesible a usuarios durante varias horas.
Lo alarmante de esta situación es que empresas que dedican una fuerte inversión a la seguridad de su comercio electrónico están siendo víctimas de este tipo de ataques. Hasta las empresas con la mayor cantidad de recursos son vulnerables a de interrupciones de servicio.... esto es una indicación de que no importa cuanta preparación se haga, cuantos planes de contingencia se tengan o que tan bien se diseñe el sistema, siempre es posible que algo falle (3). Si alguien como Yahoo, que es el portal número 1 en cuanto a tráfico de red se refiere y que ha invertido mucho dinero en su infraestructura para manejar dicho tr fico puede ser sacada de línea, esto significa que prácticamente cualquier empresa puede ser sacada tambié dice Elías Levy, Jefe de Tecnología de SecurityFocus.com (3).
En realidad, hasta hace poco, se había prestado poca atención al tema de seguridad como prioridad de las empresas con operaciones en red, pero rápidamente se reconoce como una principal preocupación, especialmente tras observar una cantidad de víctimas cada vez mayor. Bill Spernow, Director de Investigación de Seguridad de la consultora Gartner indica que la mayoría de las empresas que ha entrevistado invierten solo del 1 al 3 por ciento de su presupuesto para atacar este problema.... pero la mayor a de ellas planean incrementar esta inversión en un futuro cercano (4). Cabe mencionar además, que expertos en informática e Internet calculan que entre 80 y 90 por ciento de las dependencias públicas y empresas carecen de sistemas de seguridad; además de que son altamente vulnerables a los hackers por utilizar versiones viejas y, sobre todo, por carecer de una política de seguridad y de administración informática (13).
Esta nueva modalidad de vandalismo ha originado investigaciones por parte de las autoridades competentes, especialmente en Estados Unidos. El FBI ha lanzado una investigación a fondo en la materia, a raíz del ataque de ocho portales altamente reconocidos (ebay, buy.com, Yahoo, amazon.com, CNN.com, msn, E*trade y ZDnet) (8). El Jefe de Sección de la FBI Ronald Dick dijo: "..estamos siguiendo cada pista que tenemos y emplearemos a tantos agentes como sean necesarios .." (8).
El problema también reside en que por la novedad de la situación, existe poca reglamentación en la materia. Para Humberto García Marín, Director General de CITI este tipo de ataques son reflejo de la falta de reglamentos, que facilita el vandalismo en el ciberespacio (12). En Estados Unidos comienzan a darse las bases para regular y castigar dichos delitos. En el artículo de Charles Cooper, se dice que un criminal que por primera vez incurre en este tipo de delitos se enfrenta a una pena de entre seis meses y cinco años en prisión, mientras que si se trata de recurrencia podría enfrentar hasta diez años en prisión. Multas para estos crímenes pueden ser de hasta $250,000 dólares, o bien, de hasta el doble de las péerdidas ocasionadas a las víctimas (8).
Se han desarrollado soluciones tecnológicas que pretenden ayudar a las organizaciones a protegerse.
Herramientas como filtros, firewalls, software de autenticación (que no solo codifica los datos que se transmiten sino además verifica al destinatario antes de la transmisión), y software de anti-virus proactivo, son de las herramientas más comunes (18). Otra medida aún mas poderosa en la prevención de estos ataques es la educación de los empleados.
Si ellos están conscientes de los riesgos y las políticas de privacidad alrededor de la seguridad de Internet y motivados a atacarlos, los empleados pueden ser una importante línea de defensa (18). Además de educar a los empleados, es recomendable contratar a un consultor o empleado de tiempo completo con experiencia en una amplia gama de temas de seguridad tecnológica. También sería útil comprar una póliza de seguro contra fallas en la seguridad (18). Todo ello con la finalidad de ofrecer servicios seguros a los clientes y proteger la información clave de la empresa.
3. Conclusiones
Toda esta nueva modalidad de delitos en Internet surgen por la novedad en este tipo de servicios y la falta de regulación que existe. Conforme se siga desarrollando el comercio electrónico se perfeccionar tanto la seguridad como las políticas de operación y reglamentos correspondientes.
Es evidente que los hackers representan una seria amenaza para las empresas por ser posibles causantes de pérdidas millonarias y de imagen. Sin embargo, de la misma manera, los hackers representan una especie de consultores que advierten a las empresas de fallas en sus sistemas de información y sirven de indicador de la necesidad de mejora en dichos sistemas. En esta medida, los hackers están impulsando al comercio electrónico y perfeccionándolo cada vez más.
Cada vez en mayor medida las empresas desarrollan conciencia de la importancia de invertir en sistemas de seguridad efectivos, lo cual es correcto, pero también deben enfocarse en su gente, en capacitarlos y crear un ambiente de trabajo propicio para su desarrollo y con justicia ya que se crean así barreras de seguridad por convertirse los empleados en defensores de la información y además por disminuir las probabilidades de tener hackers internos a la empresa.