Las redes y sistemas pertenecientes a empresas son, a priori, las que
mayores ventajas presentan en lo relativo a su protección; en primer lugar,
se trata de redes que suelen ser muy aislables: muchas empresas disponen de una
LAN en el edificio donde están ubicadas, red que se puede aislar perfectamente
del exterior mediante cortafuegos. Incluso si se han de ofrecer servicios hacia
el exterior (típicamente, correo electrónico y web), se pueden
situar los servidores en una zona desmilitarizada entre el router y la
red interna. Además, en muchos casos la LAN de la empresa ni siquiera es
realmente necesario que esté conectada a Internet, aunque esto cada día
es menos habitual más por requisitos humanos que técnicos: aunque no haga
falta para el trabajo la conexión a Internet, el clima de descontento entre
nuestro personal que puede suponer bloquear el acceso hacia el exterior es una
gran traba de cara al aislamiento - y por tanto, a la seguridad -.
Esta es la teoría; como siempre, casi perfecta: vamos a añadirle
problemas reales para comprobar que las cosas no son tan bonitas como las
acabamos de pintar. En primer lugar: imaginemos una empresa con varias
sucursales - oficinas, almacenes...- separadas geográficamente. Si la
distancia entre todas ellas es corta y la empresa solvente, quizás se puedan
permitir una red propia, dedicada, y protegida por los técnicos de la propia
compañía; pero esto rara vez es así: conforme aumenta la
separación, la idea de la red dedicada se va difuminando (simplemente con una
distancia de un par de kilómetros - o menos, dependiendo de la zona - ya
resulta imposible esta aproximación). Ahora entra en juego una red de
propósito general como base de comunicaciones, seguramente la red
telefónica, o incluso Internet; la protección de la red ya no depende
exclusivamente de nuestra organización, sino que entran en juego terceras
compañías - posiblemente Telefónica, con todo lo que ello
implica...-. Es casi indispensable recurrir a redes privadas virtuales
(Virtual Private Networks, VPN), canales de comunicación seguros dentro
de esa red insegura. Al menos podemos mantener comunicaciones seguras entre las
diferentes sucursales...pero no todas las compañías recurren a
estos mecanismos: realmente, es más fácil utilizar la red de propósito
general como si fuera segura, enviando por ella toda la información que
queramos intercambiar entre oficinas, sin proteger. Además, la seguridad no
suele ser tangible: seguramente nuestro jefe estará más contento si en un
día tiene montada la red aunque sea insegura, sin esperar a la
configuración de la red privada - evidentemente, más costosa -, aunque a
la larga resulte una solución mucho peor.
Compliquemos aún más la seguridad de nuestra compañía: ahora entran
en juego estaciones móviles, por ejemplo comerciales con portátiles que
deben comunicarse con los equipos fijos, o ejecutivos que al salir de viaje
de negocios quieren poder seguir leyendo su correo. Estas estaciones están
dando muchos quebraderos de cabeza, tanto a nivel de conectividad como de
seguridad...otro potencial problema para nuestra empresa; realmente, no tan
potencial: seguramente esa persona que está de viaje acabará conectado su
portatil a la línea telefónica de un hotel, y conectando con las
máquinas fijas vía módem. Por supuesto, esa persona ni ha
oído ni quiere oir hablar de conexiones cifradas: es más fácil un telnet o un rlogin contra el servidor para poder leer el correo; a fin
de cuentas, los piratas son algo que sólo existe en las películas...
Hasta ahora todos los ataques contra la empresa eran - en principio -
externos; pero imaginemos que uno de nuestros empleados no está contento con
su sueldo y decide irse a la competencia. Y no sólo quiere irse, sino que
decide llevarse varios documentos confidenciales, documentos a los que ha tenido
un fácil acceso simplemente acercándose a una de las impresoras comunes,
recogiendo los listados, y fotocopiándolos antes de entregarlos a su dueño.
O incluso más fácil: en nuestra empresa
los ordenadores de los empleados utilizan Windows 9x, y todos los puestos
ofrecen los discos duros como recursos compartidos; a fin de cuentas, así
es mucho más fácil el intercambio de información entre empleados. Esa
persona, sin ni siquiera levantarse de su puesto de trabajo, tiene acceso a casi
toda la información de nuestra empresa...Por cierto, esto no pretende ser
un ataque a la seguridad de estos productos (aunque fácilmente
podría serlo),
sino una realidad que se puede ver en muchísimas empresas, sobre todo
pequeñas y medianas.
Como acabamos de ver, ha sido suficiente con plantear un par de situaciones
- de lo más normales - para romper toda la idea de seguridad fácil que
teníamos al principio; y eso sin plantear problemas más rebuscados:
>qué sucede si a una empresa de la competencia le da por sabotear nuestra
imagen atacando nuestras páginas web? >y si le interesa leer nuestros
e-mails? No hace falta que se trate de una multinacional poderosa
dispuesta a contratar piratas profesionales: es suficiente con que el
administrador de la red de nuestra competencia tenga unas nociones sobre
seguridad...y bastantes ganas de fastidiarnos.
© 2002 Antonio Villalón Huerta