Amenazas y riesgos
Los datos personales están en muchos casos amenazados por personas que pretenden acceder a ellos ilícitamente para obtener algún beneficio, pero también, en muchos casos, los datos personales pueden quedar comprometidos simplemente por una mala manipulación o una práctica incorrecta por parte de las personas autorizadas que trabajan con ellos.
Hay abundantes ejemplos de amenazas y riesgos. Por no citar más que uno de cada caso, los ataques de piratas informáticos, llamados hackers, en Internet para acceder a bases de datos, serían un ejemplo de amenazas, mientras que los escándalos relacionados con listados de datos confidenciales que se han dejado en la basura serían un ejemplo de riesgos por malas prácticas.
Se han agrupado los riesgos y amenazas en grupos relacionados con su principal área o ámbito y en cada apartado describimos los principales y las recomendaciones para minimizarlos, independientemente de que éstas amenacen la confidencialidad, la integridad o la disponibilidad de los datos.
Recomendaciones básicas de seguridad
Los usuarios de los datos protegidos son uno de los eslabones más débiles de la cadena de seguridad.
Sería más fácil salvaguardar la seguridad de los datos personales protegidos si éstos no tuvieran que ser extraídos, visualizados y modificados en las operaciones propias de las aplicaciones que los tratan, y sólo hubiera que tenerlos guardados en una caja fuerte. Pero precisamente la finalidad de la recogida y grabación de los datos personales es la de ser tratados por usuarios autorizados para realizar las funciones previstas.
En la mayoría de los casos los datos personales no se comprometen en los servidores centrales o en las bases de datos almacenadas en los servidores de datos, ya que allí las medidas de protección suelen ser muy estrictas. Es más fácil intentar comprometerlos en los puntos donde los usuarios los procesan o los manipulan.
Además, muchas de las más efectivas técnicas de ataque y muchos de los peores riesgos que sufren los datos protegidos, no tienen nada que ver con la tecnología informática, sino más bien con la ingenuidad, desconocimiento, o malas prácticas de algunos usuarios.
Por eso es sumamente importante que los usuarios conozcan éstas amenazas y esos riesgos, asuman su responsabilidad y sean conscientes de su importancia a la hora de salvaguardar los datos.
Hemos agrupado las amenazas y riesgos por áreas relacionadas, analizando en cada caso cómo actúan, a qué aspectos de la seguridad afectan, y cuáles son las recomendaciones y las mejores prácticas para evitarlas.
El puesto de trabajo
La protección física de los puestos de trabajo, así como el evitar que se conviertan en cabezas de puente para un ataque, es una condición importante para la seguridad.
✔ Los puestos de trabajo, pantallas e impresoras deben estar protegidos de las miradas de personas no autorizadas.
✔ No se deben mantener anotaciones sobre contraseñas u otros aspectos de la seguridad en la mesa de trabajo.
✔ No se deben mantener copias de ficheros con datos de carácter personal, ya sea en disco, ya sea en otro soporte o listados en la mesa de trabajo, sin estar bajo llave.
✔ No se debe instalar un software no autorizado, dado el peligro de que contenga programas malignos, como sniffers o “troyanos”.
✔ Los usuarios deben ser responsables de que su puesto de trabajo cumpla esas condiciones, y para ello deberán tener en cuenta las siguientes recomendaciones:
✔ Las pantallas de los terminales u ordenadores personales no deberán ser visibles desde zonas de acceso público o por personal que no esté autorizado.
✔ Las impresoras compartidas no deberán estar ubicadas en zonas de acceso público, y los documentos que se impriman, y que contengan datos protegidos, deberán ser retirados tan pronto como sea posible.
✔ Los ordenadores personales deberán tener un salvapantallas que se active después de un tiempo de inactividad, y que necesite una clave personal para ser desactivado.
✔ Los documentos impresos con los que se esté trabajando deberán ser guardados bajo llave al final de cada jornada de trabajo.
✔ Se evitará el guardar contraseñas en los cajones o, como ocurre frecuentemente, en pegatinas en el propio puesto de trabajo.
✔ El puesto de trabajo no debe tener más acceso remoto que el que esté autorizado a través de la red local del organismo.
✔ Los puestos de trabajo deberán estar ubicados en locales protegidos las 24 horas del día, para evitar el acceso a ellos por parte de personas no autorizadas.
El factor humano y las técnicas de engaño
Se ha comprobado que una forma frecuente de burlar las barreras tecnológicas de seguridad es acudir a técnicas de engaño basadas en el factor humano.
No dar NUNCA las contraseñas a nadie por teléfono ni por cualquier otro medio.
Desconfiar de cualquiera que nos pida información interna, aunque parezca inocua.
Los datos protegidos deben ser manejados por los usuarios o por personas que están autorizadas a hacerlo de acuerdo con el objeto que se haya declarado en la creación del fichero. La experiencia ha demostrado en estos últimos años que frecuentemente han sido esas personas el eslabón débil de la cadena de seguridad de los datos.
La utilización de técnicas de engaño, por parte de personas que pretenden el acceso fraudulento a datos protegidos, basadas en la explotación de la ingenuidad o de la escasa convicción en la necesidad de la protección de los datos por parte de los usuarios ha sido una constante en la mayor parte de los ataques a la seguridad que se han realizado en los últimos tiempos.
Uno de los más famosos hackers informáticos, el norteamericano Kevin Mitnick, ha reconocido que su éxito se debió a la utilización de técnicas de ingeniería social o engaño (social engineering en inglés) que le permitían obtener datos que luego explotaba con instrumentos técnicos.
La técnica utilizada es la siguiente:
Mediante técnicas de engaño, como las que exponemos como ejemplo más adelante, se consigue una información, a veces aparentemente inocua, pero que permite un cierto acceso al entorno protegido. Esa información puede ser, por ejemplo, una contraseña de un PC, una contraseña de dirección de correo o, incluso, alguna información personal sobre alguna persona clave.
Con la utilización de ese dato se planea un ataque de mayor alcance, que, a su vez, permite conseguir otras informaciones o datos de mayor valor.
Si se continúa con ese proceso, y procurando mantener oculta esa actividad, se consigue al fin tener acceso a los datos protegidos, aunque estén en un servidor.
Las técnicas de engaño explotan diversos puntos débiles que tiene el carácter humano, junto con la falta de concienciación sobre la importancia de la protección de los datos. Algunos ejemplos, como los que se mencionan a continuación, pueden ayudar a comprender cómo actúan:
Alguien, con voz decidida y apremiante, llama a un usuario y le dice que es un técnico del departamento central informático y que están confirmando las contraseñas de seguridad, por lo que le pide que le diga la suya para realizar esa comprobación. Este truco tan burdo, aunque resulte increíble, funciona.
Una mujer, con voz de secretaria angustiada, llama al departamento central informático, diciendo que su jefe (puede citarse a algún alto cargo de la organización) está enfadadísimo porque en plena presentación delante de muchas personas importantes está haciendo el ridículo por no poder acceder a un sistema al haber olvidado su contraseña. Les urge a que se la den inmediatamente para que pueda continuar su presentación.
Una persona con aspecto decidido y caracterizado adecuadamente se presenta en un departamento haciéndose pasar por un técnico de hardware del departamento central que viene a revisar determinada instalación o servidor. El hecho de que conozca nombres o datos de personas de la organización puede ayudarle a tener más credibilidad.
Se recibe un email, aparentemente proveniente del departamento central de informática, en el que se aduce una comprobación de seguridad y se conmina al usuario a teclear en un formulario sus contraseñas de seguridad. Naturalmente, este formulario es falso y sus datos son recogidos por el atacante. Este ejemplo de engaño es el que se conoce como "phishing" en inglés. Ha proliferado mucho en los últimos años, sobre todo para obtener códigos de acceso a cuentas bancarias, pero la técnica puede ser utilizada igualmente para la obtención de datos protegidos.
Esta muestra de ejemplos puede ayudar a comprender el tipo de amenazas que supone la llamada "ingeniería social". Evidentemente, es imposible citar todas las posibles técnicas o engaños que se pueden producir, ya que el número de posibles trucos es innumerable, pero, en general, podemos sugerir las siguientes recomendaciones:
Es importante que los usuarios sean conscientes de la importancia de mantener secretas sus contraseñas, incluso aunque sólo sirvan para acceder a su propio PC.
No debe comunicarse nunca una contraseña por teléfono ni por correo electrónico. Como norma general, no se debe comunicar la contraseña de acceso a nadie, ni siquiera a petición expresa de los administradores o superiores, ya que, normalmente, esta petición suele ser falsa. No existe ninguna razón para que se hagan esos requerimientos, porlo que, cuando se reciban, puede asegurarse que son falsos.
No deben comunicarse datos personales de usuarios del departamento a desconocidos o personas no acreditadas. A veces, el mero hecho de saber que determinado usuario va a tomarse las vacaciones en determinados días puede ayudar a fraguar un engaño.
El tratamiento correcto o la destrucción de los desechos informáticos como listados, disquetes, CD, etc., puede evitar la obtención de datos que, a su vez, permitan la ejecución de engaños.
Programas de cifrado y firma electrónica
El cifrado de ficheros es una práctica muy recomendable que garantiza la protección de los datos.
Es además un procedimiento muy sencillo de aplicar, aunque desgraciadamente no se usa todo lo que se debiera.
Siempre que se traten datos personales fuera del entorno habitual declarado en el registro del fichero, los datos deberían estar cifrados.
Aunque esta práctica no es siempre legalmente obligatoria, sin embargo, dada la facilidad con que hoy en día todos los sistemas admiten el cifrado, es una recomendación muy sencilla de aplicar
Utilizar de forma sistemática el cifrado y la firma electrónica en los correos y en los documentos que contengan datos protegidos de cualquier tipo.
El cifrado es una técnica que, aunque es muy compleja en su funcionamiento, es sumamente sencilla de utilizar mediante los programas especializados que existen en la actualidad. Es sin duda una de las mejores herramientas con las que podemos contar para proteger la confidencialidad y la integridad de los datos personales.
El cifrado está integrado hoy en día en prácticamente todos los productos y sistemas se uso común, tanto sistemas operativos como manejadores de ficheros, correo electrónico, etc... Se basa en la llamada criptografía asimétrica, que es el fundamento también de la firma electrónica.
Cada usuario tiene una frase secreta mediante la que esos productos de cifrado acceden a su clave privada, que está guardada de forma cifrada en los ordenadores donde trabaja ese usuario.
En muchos sistemas operativos como Windows la clave de cifrado, que puede ser de centenares de bytes e imposible de memorizar, está protegida por la propia clave nemotécnica de acceso al ordenador. Es decir está a disposición del usuario para cifrar ficheros o enviar emails firmados, desde el mismo momento en que se ha accedido con la clave correcta al ordenador.
Si se quiere cifrar un fichero basta con indicarlo cuando se crea. El fichero se descifrará automáticamente cuando accedamos a él, de forma que no notaremos ninguna diferencia con el acceso a un fichero no cifrado.
Si lo que se quiere es, por ejemplo, enviar un mensaje cifrado a otro usuario, del cual tenemos su clave pública, el propio programa de correo accede al directorio de claves públicas, recoge la de ese usuario y cifra el correo para él. De igual forma si se recibe un correo cifrado para uno mismo, el propio programa de correo lo descifra automáticamente utilizando nuestra clave privada.
Para firmar digitalmente un correo, o un archivo, de forma que nadie pueda falsificarlo ni retocarlo y que además todo el mundo sepa que ha sido escrito por uno mismo, el producto de cifrado integrado en nuestro programa de correo o en el manejador de archivos nos pedirá nuestra frase secreta y accederá a nuestra clave privada para realizar el trabajo.
En resumen, el uso de programas de cifrado y firma electrónica es sumamente fácil para los usuarios, por lo que no se debe tener miedo a utilizarlos, eso sí, bajo la dirección de los administradores informáticos.
Los datos personales están en muchos casos amenazados por personas que pretenden acceder a ellos ilícitamente para obtener algún beneficio, pero también, en muchos casos, los datos personales pueden quedar comprometidos simplemente por una mala manipulación o una práctica incorrecta por parte de las personas autorizadas que trabajan con ellos.
Hay abundantes ejemplos de amenazas y riesgos. Por no citar más que uno de cada caso, los ataques de piratas informáticos, llamados hackers, en Internet para acceder a bases de datos, serían un ejemplo de amenazas, mientras que los escándalos relacionados con listados de datos confidenciales que se han dejado en la basura serían un ejemplo de riesgos por malas prácticas.
Se han agrupado los riesgos y amenazas en grupos relacionados con su principal área o ámbito y en cada apartado describimos los principales y las recomendaciones para minimizarlos, independientemente de que éstas amenacen la confidencialidad, la integridad o la disponibilidad de los datos.
Recomendaciones básicas de seguridad
Los usuarios de los datos protegidos son uno de los eslabones más débiles de la cadena de seguridad.
Sería más fácil salvaguardar la seguridad de los datos personales protegidos si éstos no tuvieran que ser extraídos, visualizados y modificados en las operaciones propias de las aplicaciones que los tratan, y sólo hubiera que tenerlos guardados en una caja fuerte. Pero precisamente la finalidad de la recogida y grabación de los datos personales es la de ser tratados por usuarios autorizados para realizar las funciones previstas.
En la mayoría de los casos los datos personales no se comprometen en los servidores centrales o en las bases de datos almacenadas en los servidores de datos, ya que allí las medidas de protección suelen ser muy estrictas. Es más fácil intentar comprometerlos en los puntos donde los usuarios los procesan o los manipulan.
Además, muchas de las más efectivas técnicas de ataque y muchos de los peores riesgos que sufren los datos protegidos, no tienen nada que ver con la tecnología informática, sino más bien con la ingenuidad, desconocimiento, o malas prácticas de algunos usuarios.
Por eso es sumamente importante que los usuarios conozcan éstas amenazas y esos riesgos, asuman su responsabilidad y sean conscientes de su importancia a la hora de salvaguardar los datos.
Hemos agrupado las amenazas y riesgos por áreas relacionadas, analizando en cada caso cómo actúan, a qué aspectos de la seguridad afectan, y cuáles son las recomendaciones y las mejores prácticas para evitarlas.
El puesto de trabajo
La protección física de los puestos de trabajo, así como el evitar que se conviertan en cabezas de puente para un ataque, es una condición importante para la seguridad.
✔ Los puestos de trabajo, pantallas e impresoras deben estar protegidos de las miradas de personas no autorizadas.
✔ No se deben mantener anotaciones sobre contraseñas u otros aspectos de la seguridad en la mesa de trabajo.
✔ No se deben mantener copias de ficheros con datos de carácter personal, ya sea en disco, ya sea en otro soporte o listados en la mesa de trabajo, sin estar bajo llave.
✔ No se debe instalar un software no autorizado, dado el peligro de que contenga programas malignos, como sniffers o “troyanos”.
✔ Los usuarios deben ser responsables de que su puesto de trabajo cumpla esas condiciones, y para ello deberán tener en cuenta las siguientes recomendaciones:
✔ Las pantallas de los terminales u ordenadores personales no deberán ser visibles desde zonas de acceso público o por personal que no esté autorizado.
✔ Las impresoras compartidas no deberán estar ubicadas en zonas de acceso público, y los documentos que se impriman, y que contengan datos protegidos, deberán ser retirados tan pronto como sea posible.
✔ Los ordenadores personales deberán tener un salvapantallas que se active después de un tiempo de inactividad, y que necesite una clave personal para ser desactivado.
✔ Los documentos impresos con los que se esté trabajando deberán ser guardados bajo llave al final de cada jornada de trabajo.
✔ Se evitará el guardar contraseñas en los cajones o, como ocurre frecuentemente, en pegatinas en el propio puesto de trabajo.
✔ El puesto de trabajo no debe tener más acceso remoto que el que esté autorizado a través de la red local del organismo.
✔ Los puestos de trabajo deberán estar ubicados en locales protegidos las 24 horas del día, para evitar el acceso a ellos por parte de personas no autorizadas.
El factor humano y las técnicas de engaño
Se ha comprobado que una forma frecuente de burlar las barreras tecnológicas de seguridad es acudir a técnicas de engaño basadas en el factor humano.
No dar NUNCA las contraseñas a nadie por teléfono ni por cualquier otro medio.
Desconfiar de cualquiera que nos pida información interna, aunque parezca inocua.
Los datos protegidos deben ser manejados por los usuarios o por personas que están autorizadas a hacerlo de acuerdo con el objeto que se haya declarado en la creación del fichero. La experiencia ha demostrado en estos últimos años que frecuentemente han sido esas personas el eslabón débil de la cadena de seguridad de los datos.
La utilización de técnicas de engaño, por parte de personas que pretenden el acceso fraudulento a datos protegidos, basadas en la explotación de la ingenuidad o de la escasa convicción en la necesidad de la protección de los datos por parte de los usuarios ha sido una constante en la mayor parte de los ataques a la seguridad que se han realizado en los últimos tiempos.
Uno de los más famosos hackers informáticos, el norteamericano Kevin Mitnick, ha reconocido que su éxito se debió a la utilización de técnicas de ingeniería social o engaño (social engineering en inglés) que le permitían obtener datos que luego explotaba con instrumentos técnicos.
La técnica utilizada es la siguiente:
Mediante técnicas de engaño, como las que exponemos como ejemplo más adelante, se consigue una información, a veces aparentemente inocua, pero que permite un cierto acceso al entorno protegido. Esa información puede ser, por ejemplo, una contraseña de un PC, una contraseña de dirección de correo o, incluso, alguna información personal sobre alguna persona clave.
Con la utilización de ese dato se planea un ataque de mayor alcance, que, a su vez, permite conseguir otras informaciones o datos de mayor valor.
Si se continúa con ese proceso, y procurando mantener oculta esa actividad, se consigue al fin tener acceso a los datos protegidos, aunque estén en un servidor.
Las técnicas de engaño explotan diversos puntos débiles que tiene el carácter humano, junto con la falta de concienciación sobre la importancia de la protección de los datos. Algunos ejemplos, como los que se mencionan a continuación, pueden ayudar a comprender cómo actúan:
Alguien, con voz decidida y apremiante, llama a un usuario y le dice que es un técnico del departamento central informático y que están confirmando las contraseñas de seguridad, por lo que le pide que le diga la suya para realizar esa comprobación. Este truco tan burdo, aunque resulte increíble, funciona.
Una mujer, con voz de secretaria angustiada, llama al departamento central informático, diciendo que su jefe (puede citarse a algún alto cargo de la organización) está enfadadísimo porque en plena presentación delante de muchas personas importantes está haciendo el ridículo por no poder acceder a un sistema al haber olvidado su contraseña. Les urge a que se la den inmediatamente para que pueda continuar su presentación.
Una persona con aspecto decidido y caracterizado adecuadamente se presenta en un departamento haciéndose pasar por un técnico de hardware del departamento central que viene a revisar determinada instalación o servidor. El hecho de que conozca nombres o datos de personas de la organización puede ayudarle a tener más credibilidad.
Se recibe un email, aparentemente proveniente del departamento central de informática, en el que se aduce una comprobación de seguridad y se conmina al usuario a teclear en un formulario sus contraseñas de seguridad. Naturalmente, este formulario es falso y sus datos son recogidos por el atacante. Este ejemplo de engaño es el que se conoce como "phishing" en inglés. Ha proliferado mucho en los últimos años, sobre todo para obtener códigos de acceso a cuentas bancarias, pero la técnica puede ser utilizada igualmente para la obtención de datos protegidos.
Esta muestra de ejemplos puede ayudar a comprender el tipo de amenazas que supone la llamada "ingeniería social". Evidentemente, es imposible citar todas las posibles técnicas o engaños que se pueden producir, ya que el número de posibles trucos es innumerable, pero, en general, podemos sugerir las siguientes recomendaciones:
Es importante que los usuarios sean conscientes de la importancia de mantener secretas sus contraseñas, incluso aunque sólo sirvan para acceder a su propio PC.
No debe comunicarse nunca una contraseña por teléfono ni por correo electrónico. Como norma general, no se debe comunicar la contraseña de acceso a nadie, ni siquiera a petición expresa de los administradores o superiores, ya que, normalmente, esta petición suele ser falsa. No existe ninguna razón para que se hagan esos requerimientos, porlo que, cuando se reciban, puede asegurarse que son falsos.
No deben comunicarse datos personales de usuarios del departamento a desconocidos o personas no acreditadas. A veces, el mero hecho de saber que determinado usuario va a tomarse las vacaciones en determinados días puede ayudar a fraguar un engaño.
El tratamiento correcto o la destrucción de los desechos informáticos como listados, disquetes, CD, etc., puede evitar la obtención de datos que, a su vez, permitan la ejecución de engaños.
Programas de cifrado y firma electrónica
El cifrado de ficheros es una práctica muy recomendable que garantiza la protección de los datos.
Es además un procedimiento muy sencillo de aplicar, aunque desgraciadamente no se usa todo lo que se debiera.
Siempre que se traten datos personales fuera del entorno habitual declarado en el registro del fichero, los datos deberían estar cifrados.
Aunque esta práctica no es siempre legalmente obligatoria, sin embargo, dada la facilidad con que hoy en día todos los sistemas admiten el cifrado, es una recomendación muy sencilla de aplicar
Utilizar de forma sistemática el cifrado y la firma electrónica en los correos y en los documentos que contengan datos protegidos de cualquier tipo.
El cifrado es una técnica que, aunque es muy compleja en su funcionamiento, es sumamente sencilla de utilizar mediante los programas especializados que existen en la actualidad. Es sin duda una de las mejores herramientas con las que podemos contar para proteger la confidencialidad y la integridad de los datos personales.
El cifrado está integrado hoy en día en prácticamente todos los productos y sistemas se uso común, tanto sistemas operativos como manejadores de ficheros, correo electrónico, etc... Se basa en la llamada criptografía asimétrica, que es el fundamento también de la firma electrónica.
Cada usuario tiene una frase secreta mediante la que esos productos de cifrado acceden a su clave privada, que está guardada de forma cifrada en los ordenadores donde trabaja ese usuario.
En muchos sistemas operativos como Windows la clave de cifrado, que puede ser de centenares de bytes e imposible de memorizar, está protegida por la propia clave nemotécnica de acceso al ordenador. Es decir está a disposición del usuario para cifrar ficheros o enviar emails firmados, desde el mismo momento en que se ha accedido con la clave correcta al ordenador.
Si se quiere cifrar un fichero basta con indicarlo cuando se crea. El fichero se descifrará automáticamente cuando accedamos a él, de forma que no notaremos ninguna diferencia con el acceso a un fichero no cifrado.
Si lo que se quiere es, por ejemplo, enviar un mensaje cifrado a otro usuario, del cual tenemos su clave pública, el propio programa de correo accede al directorio de claves públicas, recoge la de ese usuario y cifra el correo para él. De igual forma si se recibe un correo cifrado para uno mismo, el propio programa de correo lo descifra automáticamente utilizando nuestra clave privada.
Para firmar digitalmente un correo, o un archivo, de forma que nadie pueda falsificarlo ni retocarlo y que además todo el mundo sepa que ha sido escrito por uno mismo, el producto de cifrado integrado en nuestro programa de correo o en el manejador de archivos nos pedirá nuestra frase secreta y accederá a nuestra clave privada para realizar el trabajo.
En resumen, el uso de programas de cifrado y firma electrónica es sumamente fácil para los usuarios, por lo que no se debe tener miedo a utilizarlos, eso sí, bajo la dirección de los administradores informáticos.