Entrevista

Jorge Ortiz, experto en seguridad de Internet

Algunos sistemas anticopia empujan a los usuarios a las redes P2P
Por Jordi Sabaté 3 de marzo de 2006
Img ortiz
Imagen: FreeFoto.com

Las credenciales de Jorge Ortiz a la hora de hablar de seguridad de los sistemas informáticos son las más altas que un profesional de su ámbito pueda tener. De hecho, solo hay tres personas más en el mundo tan acreditadas como él. Ortiz es un GSE (‘GIAC Security Expert’), una certificación otorgada por el Sans Institute, el organismo que asesora al Gobierno de Estados Unidos y que periódicamente publica las 20 vulnerabilidades más críticas de Internet. Ortiz, que también trabaja como asesor en Hewlett Packard, opina que «no se puede proteger uno de la copia de su obra intelectual a base de profanar la propiedad de los demás», refiriéndose a ciertos sistemas anitcopia puestos en marcha recientemente por algunas compañías de la industria del entretenimiento.

¿Es la Red tan insegura como dicen algunos?

Internet es un medio inseguro si no se toman las precauciones adecuadas. Si se usan los medios que están al alcance del usuario para dificultar las acciones de personas o programas nocivos, el nivel de seguridad puede ser bastante alto y se reduce considerablemente el riesgo.

¿Y estadísticamente?

El ‘Phishing’ es más un caso de ingeniería social que informática
Estadísticamente sí lo es, porque se producen numerosos ataques a diario, tanto a particulares como a empresas. Lo que pasa es que no se tiene noticia de muchos de ellos a no ser que, por su dimensión, sean relevantes para los medios de comunicación, o bien se produzcan sobre empresas importantes y afecten a un gran número de usuarios.

La preocupación por la seguridad en Internet ha sido casi una constante desde que la Red se hizo pública. ¿Ha habido mejoras significativas durante la primera ‘década online’?

Ha habido cambios de filosofía en lo relativo a la seguridad: en un principio la Red se concebía como algo publico, donde no se intercambiaban tantos datos ni dinero; era más bien un muestrario de páginas con información de instituciones o publicidad de empresas. Por lo tanto no se concebían los ataques que hoy se dan. A medida que se desarrolló el comercio y los servicios virtuales, los niveles de seguridad han subido, pues los ataques a ordenadores o a datos privados se han multiplicado. Esto ha generado una sofisticación tanto de los métodos de protección de los datos sensibles como de las estrategias para robarlos. Así, se ha llegado al ‘Phishing’, que es más un caso de ingeniería social que informática.

¿Ha variado el tipo de pirata informático durante este tiempo? ¿Cómo lo ha hecho?

Sí ha variado, y mucho. Ha pasado por tres fases: en un principio el pirata informático era una persona que sabía muchísimo y hacia maravillas con el ordenador; su acción, entonces, consistía en explotar sus conocimientos para demostrar su pericia y adquirir notoriedad. Más tarde han aparecido programas que facilitan enormemente las acciones de piratería informática, con lo que usuarios avanzados, pero en absoluto expertos, han podido incorporarse al grupo de los piratas o ‘crackers’, siempre con un afán más o menos subversivo y de adquirir notoriedad; son los conocidos como ‘scriptkiddies’, generalmente jóvenes. Más recientemente se ha producido la entrada del crimen organizado en la piratería, que es la responsable de los ataques de ‘Phishing’. Estas mafias igual tratan con blancas, con drogas o estafan en Internet, simplemente porque es un negocio muy lucrativo.

Internet ha globalizado muchas cosas que antes eran regionales o tenían un alcance mucho más reducido. ¿También se ha globalizado la inseguridad en la Red?

Las mafias igual tratan con blancas, con drogas o estafan en Internet simplemente porque es un negocio muy lucrativo
Parcialmente sí. La naturaleza de Internet, que es deslocalizada, la hace ideal para personas que quieran operar de manera ilegal, pues gracias a su globalización, la Red ha entrado en países con legislaciones laxas respecto a determinados temas. Así, las personas que podrían infringir la Ley en determinados países, trasladan sus servidores a otros donde no se regulan sus acciones. Esto propicia la pervivencia de sujetos y bandas con intenciones agresivas hacia los demás usuarios. Por ejemplo, en algunos países no existe un control de datos históricos sobre los usuarios, con lo que es difícil localizar a un delincuente informático en ellos. En este sentido, y para los casos claramente delictivos, los gobiernos deberían llegar a un acuerdo, aunque es algo que llevará bastante tiempo.

¿Cómo juzgaría el nivel de seguridad de las empresas españolas: medios de prensa online, financieras, tiendas y todo tipo de servicios donde el ordenador se exponga a ataques o se ofrezcan datos privados de interés?

Hoy en día existen garantías bastante razonables de que se está en un entorno seguro si se hace un uso debido de Internet, pero el usuario debe conocer bien lo que es el proceso de compra en la Red para no cometer errores que a veces se achacan a la inseguridad y realmente no lo son. Yo recomendaría estudiar bien el proceso antes de operar para luego realizarlo con eficacia. Para la tranquilidad del usuario, tengo que decir que las empresas están trabajando también en mecanismos que suavicen la complejidad de los procesos de transferencia de datos para hacerlos más comprensibles y eficaces. A la vez, refuerzan bastante bien la seguridad con nuevos sistemas que eviten al usuario exponer ningún tipo de datos. Por ejemplo, en las operaciones online de muchos bancos ya no se escriben los códigos, sino que el usuario selecciona números de casillas. Hay que pensar que la seguridad en el comercio online es tan importante para el que presta el servicio como para el que lo recibe.

¿Deberían establecerse por ley unos niveles de seguridad mínimos para las páginas que ofrecen servicios online?

No tengo una opinión hecha al respecto; por un lado creo que la gente debe ser consciente de que poner un servicio requiere seguridad. Pero por otro lado, otras páginas que realizan servicios sin afán económico pueden ser utilizadas como punto de ataque. Es un paso intermedio, tal vez no legislativo, pero sí de presión sobre los fabricantes de software para que incluyan protocolos de seguridad, si bien hay que reconocer que éstos tienen hoy en día mucho más en cuenta la seguridad que hace cinco años.

¿Se puede pagar online con tarjeta de crédito con la misma tranquilidad con que lo haríamos en una tienda física?

No es lo mismo pagar en Amazon que hacerlo en un comercio del que nunca antes habíamos oído hablar
Yo la uso con la misma tranquilidad, pero igual que en el mundo físico no le doy a cualquier tienda los datos de mi tarjeta, en la Red también hay parámetros que nos indican las cautelas que debemos tener a la hora de dejar nuestros datos. No es lo mismo pagar en Amazon que hacerlo en un comercio del que nunca antes habíamos oído hablar.

¿Qué piensa de la polémica surgida en torno al ‘rootkit’ (programa que se oculta en el ordenador) que Sony implantó en sus discos CD con protección anticopia y que propició la propagación de virus por algunos ordenadores que intentaban reproducir los CD?

Primero hay que decir que Sony retiró los CD que contenían este sistema y compensó a los usuarios. Ahora bien, en mi opinión no se puede proteger uno de la copia de su obra intelectual a base de profanar la propiedad de los demás. Creo que estos sistemas no sólo son incorrectos, sino que van en contra de los propios intereses de las empresas que los aplican, pues de alguna manera empujan al consumidor a las redes de intercambio P2P, donde no se le ponen tantas trabas para conseguir lo que desea.

Los virus, el spam, algunos tipos de publicidad molestos e incluso intrusivos…, ¿son males crónicos con los que debemos aprender a convivir o se remediarán con el tiempo?

No es conveniente que el usuario incorpore sistemas de seguridad superiores a sus necesidades
Debemos partir de que no hay remedios mágicos. Siempre, cualquier sistema protegido contra una determinada intromisión es susceptible de ser atacado de cualquier otra forma. Esto es así tanto para usuarios como para sistemas profesionales. La panacea no existe; es más bien es un tema de los niveles de riesgo a los que nos exponemos. Hay que tomar las medidas que se correspondan con el riesgo que corremos. Si se asumen altos riesgos, se deben tomar altas medidas de seguridad. Hay que evaluar qué riesgos se asumen; no es lo mismo perder las fotos de la familia que la contabilidad de un año. Por otro lado, tampoco es conveniente que el usuario incorpore sistemas de seguridad superiores a sus necesidades. Por ejemplo, las versiones profesionales de algunos antivirus son complejas de configurar; si no se hace bien la instalación el resultado es un ordenador prácticamente inmovilizado.

Uno de los principales problemas de Kazaa en cuanto a seguridad era que por su canal de intercambio se podía infectar un ordenador con facilidad. Con Emule la seguridad ha mejorado mucho, pero existe riesgo. ¿Son las redes P2P un talón de Aquiles del ordenador? ¿Hay que tomar precauciones extra cuando se las utiliza?

De nuevo aquí los peligros van relacionados con el desconocimiento, porque con un P2P se abre un puerto al mundo que aumenta la vulnerabilidad del sistema; pero hay métodos de prevención. Es conveniente invertir en seguridad. En general, las redes de intercambio están lejos de la seguridad ideal, pero van mejorando. Una solución eficaz son los programas de ‘virtualización de entornos’, que aíslan la parte del ordenador dedicada a las redes de intercambio del resto del sistema; los hay tanto de pago como gratuitos en Internet.

¿Qué balance entre inversión y protección cree que es el adecuado para un usuario normal? ¿Cuánto debería gastarse para asegurarse un nivel de protección eficiente?

La gente suele ser consciente de cuáles son los mínimos, pero no significa que los use. Yo creo que para un usuario basta con un ‘parcheador’ [actualizador de las innovaciones en seguridad que las empresas ofrecen a través de Internet] al día, un ‘cortafuegos’ [monitorizador de páginas y programas en descarga] actualizado, un antivirus al día y una copia de seguridad que sea actualizada con frecuencia. La gente no da importancia a la copia de seguridad, pero tal vez sea lo más eficaz.

Sigue a Consumer en Instagram, X, Threads, Facebook, Linkedin o Youtube