SOMEWHERE OVER THE RAINBOW

encontraremos la ….. Privacidad.

Esta es una selección de extractos de boletines de CRIPTONOMICON:

          http://www.iec.csic.es/criptonomicon/info.html.

PARA LOS INCREDULOS:

• http://privacy.net/anonymizer/

• https://grc.com/x/ne.dll?bh0bkyd2

• http://onlinescanner.com/

PONEOS CASCO:

• http://www.dslreports.com/scan

• http://suicide.netfarmers.net/

• http://hackerwhacker.com/

• http://www.jtan.com/resources/winnuke.html

LISTADO DE PUERTOS:

• http://www.cis.ohio-state.edu/cgi-bin/rfc/rfc1700.html

• http://www.iana.org/assignments/port-numbers

Los servicios de información de los países, con ECHELON espiando desde el Reino Unido a toda Europa, ENFOPOL, el proyecto de la versión europea de lo mismo, o el CARNIVORE, un complejo sistema desarrollado por el FBI.

El presidente de Sun Microsystems, Ed Zander, resumió la situación de falta de anonimato y privacidad en Internet afirmando:

"La privacidad no es un problema. Olvídese de él. La privacidad ya no existe".

Sangri-la es una utopía, pero no por ello hemos de dejar de preocuparnos en incrementar nuestra seguridad. Siempre seremos vulnerables, por lo que nuestros datos deben quedar a salvo con cifrado fuerte.

Hemos de crear identidades falsas (si es necesario utilizaremos GENERADORES DE NIF, diferentes cuentas de correo con nombres supuestos tipo jluis1@ ,tinman@ , leon2@ . Esa identidad falsa ya se debería utilizar desde un principio, cuando instalemos el S.O. y el OFFICE. Para autentificar nuestro correo, podemos poner el nombre en la cabecera y/o firmarlo digitalmente con el PGP o GNUPG. Así, si obtienen datos personales, éstos serán falsos.

"La verdadera agenda debe estar en bit papel".

La comodidad está reñida con la seguridad (autocompletar, guardado de contraseñas,...). Por ello es IMPRESCINDIBLE usar OPERA o MOZILLA y la libreta de direcciones de THE BAT!

Esto es sólo una pincelada de los diferentes matices que implica el término seguridad. Por supuesto, que el factor primordial no es el software, si no el HUMANO y su inercia. 

Cuanto más sabes, más te das cuenta de lo peligroso que puede ser la red. Ahora los datos que puedan obtener de la mayoría de los visitantes de este foro no tienen tanto valor, pero es que ESTA EN PELIGRO LA LIBERTAD EN LA RED Y POR ENDE EN LOS SISTEMAS POLITICOS OCCIDENTALES. AHORA CUANDO EL CAPITALISMO YA NO TIENE ALTERNATIVA cada vez más los oligopolios financieros predominan más sobre nuestras fragilísimas democracias. La RED puede (ya es) el medio para fortalecer la sociedad. Si dejamos que la controlen en exceso, el GRAN HERMANO de Orwell se hará realidad.

Cuanto más lees acerca de la red ECHELON -la misma que Bush le ha ofrecido a Aznar- más se acongoja uno. Yo me rebelo. El 90% de las comunicaciones radioeléctricas europeas están CONTROLADAS. Con un potente software, introduciendo palabras clave pueden controlar en TIEMPO REAL las comunicaciones. Si se lo ponemos difícil empleando cifrado fuerte tanto mejor.

Lo importante es implantar la idea de la necesidad de tener en cuenta la seguridad. Plantearse métodos de trabajo, que se pueden aplicar al instalar un S.O. Simplemente, es hacer las cosas de forma limpia. Cuando te enteras de todos los robos informáticos que hay, es para encerrarse en casa. Cuando uno realiza compras en Internet quiere que sean seguras y que sus datos sean confidenciales.

¿Te has planteado al comprar, que haya una entidad financiera SOLVENTE que haga de intermediario, de forma que la tienda nunca disponga de los datos confidenciales?. Sí ya sé que en España utilizamos el contrareembolso y la transferencia bancaria.

JAMAS UTILIZARE UNA TARJETA DE CREDITO EN INTERNET -si la seguridad no mejora drásticamente-. NI TAMPOCO LOS TELEFONOS CELULARES PARA PAGAR, CUANDO EN LA IMPLEMENTACION DEL GSM EUROPEO SE EMPLEO CRIPTOGRAFIA DEBIL ROTA HACE MAS DE UN AÑO.

NO SALE EN LAS NOTICIAS PERO ES VERDAD. SON YA CERCA DE 500.000 USUARIOS CON EL SERVICIO ACTIVADO EN SUS MOVILES. PASADA LA CAMPAÑA DE NAVIDAD DEL 2001 SERAN MUCHOS MAS. Y EL AÑO QUE VIENE CON LA IMPLANTACION DEFINITIVA DEL WAP -se ha ido retrasando- (PASO TRANSITORIO HACIA LA SIGUIENTE TECNOLOGIA, PERO HAY QUE AMORTIZAR EL GASTO) TODO EL MUNDO LO USARA. SERA HABITUAL. ENTONCES SI QUE SERA IMPORTANTE PARA LOS GRUPOS FINANCIEROS/EMPRESARIALES CONTROLAR LA INFORMACION, PUES LES DARA MUCHO PODER. Y ESA INFORMACION SOBRE GUSTOS PUEDE SER UTILIZADO PARA FINES POLITICOS Y DE ESTAFAS.

En este país estos temas la gente no se lo toma nada en serio. Las Administraciones Públicas apenas invierten dinero para formar a los investigadores, muchos de los cuales, como el resto de los europeos, se van a los EE.UU. Las empresas españolas apenas invierten en el tema.

Todavía no hay ningún algoritmo de cifrado fuerte que podamos decir que sea español. Una vergüenza. Y si aquí estamos mal, en los países iberoamericanos todavía es peor el panorama, pues se les dan las cosas hechas con llaves en mano, es decir para que lo utilicen como si fuesen cajas negras. Deprimente.

SELECCION DE ARTICULOS:

¡¡¡¡A LA CAZA DEL TROYANO!!!!----------------------

Internet ... Red de redes ..., donde podemos encontrar prácticamente cualquier utilidad que queramos para nuestro ordenador. Pero hay que tener un poco de cuidado, cualquier programa que descarguemos puede contener un virus o un troyano.

¿Pero, qué es un troyano? Es sencillamente un programa que se oculta dentro otro programa potencialmente peligroso para nuestro ordenador y que, de no ir disimulado en otro, probablemente nunca instalaríamos en nuestro PC. Al intentar ejecutar esa utilidad que tantas ganas teníamos de obtener y que por fin hemos conseguido encontrar en Internet, no funciona correctamente (esto es una generalidad pero no es así en el 100% de los casos) y para colmo hemos infectado nuestro ordenador.

Al igual que en la ciudad de Troya ... hemos metido al enemigo dentro de nuestro ordenador, en un bello envoltorio, y dejado a este a merced de la persona que escribió el troyano. Los últimos troyanos aparecidos permiten a terceras personas tomar el control TOTAL de nuestro ordenador de forma remota, pueden escribir, borrar, cambiar archivos, configuraciones ... etc., al igual que nosotros mismos delante de nuestra pantalla.

En estos programas, a diferencia de los virus, su fin no es reproducirse. Por tanto, la mayoría de los scaners heurísticos de los antivirus no detectan estos programas como peligrosos a menos que hayan sido actualizados convenientemente.

Bueno ... y ¿qué puedo hacer para saber si el programa que acabo de ejecutar es un troyano o no?. Daremos unas pequeñas pautas generales para intentar descubrir si oculta o no un troyano.

1. Comprobar la nueva aparición de DLLs o EXEs en c:\windows o c:\windows\system. Hay diversos métodos. Uno de ellos es usar find con la opción de búsqueda por fecha de modificación o creación. Otra es usar utilidades específicas como FileMon, un utilísimo programa gratuito que podemos obtener de http://www.sysinternals.com/filemon.htm y que ayuda a monitorizar cualquier cambio en el sistema de ficheros.

2. La única manera de mantener el control de nuestra maquina por un troyano es abriendo alguna conexión con nuestro ordenador , para ello comprobaremos las conexiones abiertas con un netstat -an. Cualquier conexión sospechosa debe ser analizada en profundidad.

3. Comprobaremos el Registro de Windows, desconfiando de nuevas entradas que aparecen espontáneamente al ejecutar cualquier programa. Hay que tener especial cuidado con las claves que cuelguen de: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, ya que suele ser el lugar escogido por la mayoría de troyanos para instalar una clave que apunte al fichero que quieren que se ejecute cada vez que se reinicia Windows. En cualquier caso, también nos será de gran ayuda la utilidad gratuita RegMon que podemos obtener en: http://www.sysinternals.com/regmon.htm y que ayuda a monitorizar cualquier cambio en el Registro de Windows.

Por último, no está de más recordar que existen herramientas creadas especialmente para la detección y/o eliminación de troyanos. Aunque muchos antivirus hoy en día detectan y eliminan muchos troyanos, la protección que ofrecen no puede considerarse, en ningún caso, suficiente. Las herramientas anti-troyanos específicas, aunque aún tienen mucho que mejorar, son en general muy superiores con respecto a los antivirus. Mencionaremos dos de ellas: 

Jammer 1.7, que tiene una versión freeware que puede obtenerse en http://jammer.comset.net/download.html.

LockDown2000, disponible en http://lockdown2000.com/download.html. 

TCDUMP WINDUMP 
He aquí una herramienta que no debería faltar en el kit de todo administrador Unix: TCPDUMP. Constituye una versátil herramienta para análisis de tráfico y redes, al estilo de los mejores sniffers. Permite filtrar los paquetes que transitan por la red atendiendo a ciertos patrones en las cabeceras, por lo que resulta muy útil para detectar ciertos ataques como pings, traceroutes, etc., o simplemente para monitorizar el tráfico de la red.

Se puede descargar desde http://www.tcpdump.org.

Por una vez, los usuarios de Windows no se verán privados de estas genialidades del mundo Unix. Existe una versión portada para todas las plataformas Windows, llamada WinDump, que se puede descargar, junto con el código fuente, en http://netgroup-serv.polito.it/windump/.

*Los antivirus AVP / KAV y el McAFEE destacan como antitroyanos (por maty).

--------------------------------------------------------------------
SI QUEREIS SABER SI ALGUIEN OS CONTROLA O LO QUEREIS CONTROLAR AQUI TENEIS UNOS CUANTOS SNIFFERS.

- - SurfControl (www.surfcontrol.com), para la gestión responsable del uso de Internet en el hogar, en la escuela o en el trabajo.

- - Stealth Activity Recorder & Reporter ("STARR") (www.iopus.com), para saber lo que un usuario de cualquier ordenador de la red está haciendo en un momento dado en su máquina.

- - spIE (www.satacoy.com/spie/main.htm), que integrado con Internet Explorer, permite monitorizar y restringir el uso del navegador.

- - TrafficMax (www.intellimax.com), para la monitorización proactiva de tráfico de redes y de Internet, incluyendo el bloqueo de direcciones e informes de actividad.

- - Websense (www.websense.com), el producto estrella de gestión, monitorización y generación de informes sobre el uso de Internet en el trabajo.

- - El Espía (www.el-espia.com), producto español para controlar de forma sigilosa lo que los usuarios hacen en el ordenador.

*Falta el más famoso: SNORT (por maty).

Protección integral de la información de la empresa --------

Este artículo fue escrito por Ángel Ripoll , detective privado, criminólogo y director de seguridad. Imparte clases sobre la protección de la información en el ICADE, institutos de criminología, en la Autónoma, y en varias escuelas de Seguridad Pública. Su trabajo está centrado en la Protección de la Información, así como búsqueda e investigación de escuchas, medidas de seguridad físicas, etc. Nos ofrecerá una visión distinta a la que estamos acostumbrados hasta el momento sobre la seguridad de la información, ocupándose además de los aspectos directamente relacionados con las redes de ordenadores de otros aspectos a menudo incluso más descuidados, como las escuchas telefónicas, la búsqueda de información en documentos desechados, el espionaje industrial y mucho más. No os perdáis esta excepcional guía, suministrada en dos entregas:



La protección de la información es, hoy, vital para la supervivencia de cualquier organización. Esto no es un secreto. Sin embargo, descuidamos esta faceta de nuestra seguridad, regalando oportunidades, a cualquiera que quiera saber algo de nosotros. Estamos acostumbrados a tener alarmas, cerraduras, etc. para proteger nuestros bienes, pero descuidamos lamentablemente, la protección de algo intangible, pero mas importante, nuestra intimidad. En estas breves hojas, lo único que pretendo es alertarle sobre algunos riesgos, y darle algunas soluciones sencillas. Le ruego que las lea con detenimiento, y las aplique, ya que son de práctica general en aquellas Organizaciones que están concienciados sobre estos temas (y que suelen funcionar mejor que el resto).

Antes de empezar

No es mi intención el darle una información suficiente para que usted pueda transformarse en un técnico, sino darle algunos conceptos, para lo que se conoce como "Protección de la Información", que es algo más amplio que la detección de escuchas, sea algo más que un nombre raro, y usted y su Organización puedan vivir un poco mas seguros.

Lo que pretendo es dar la información imprescindible a cualquier responsable de Protección, para que sepa lo que debe hacer, pueda leer otros textos ampliatorios, y obtenga el máximo de los servicios que le puedo prestar.

Lo que sí es importante, es que todas aquellas medidas preventivas que se relacionan, las conozca, y sea capaz de obligar a ponerlas en práctica a su Organización, como manera más sencilla y barata de evitar las escuchas. Y evitar la "cara de tonto", que se le pone a la gente, cuando descubre que hace meses que le están escuchando sin darse cuenta.

Es importante destacar que de lo que se trata es de proteger un "intangible", y normalmente será lo más valioso de una empresa, es decir, el conocimiento, o como normalmente se conoce: la información.

Pasó la época en la que el principal papel de la Seguridad era la protección de unas instalaciones, de unas materias primas o elaboradas, de unos medios de producción. Hoy, en plena economía de la "tercera ola", el principal capital de una organización son las personas y sus conocimientos, y los conocimientos de producción, ventas, mercado, etc. que la Empresa posee. Hoy es mucho más ruinoso para una fábrica la pérdida del "backup", que la destrucción física de las instalaciones de producción. Y eso que es del sector secundario. En el terciario la pérdida es absoluta. Hoy la única diferencia entre una empresa de éxito y las demás, es que "saben" más, y lo aplican con mejores métodos. Y como es lógico, las demás intentaran saberlo, y por cualquier medio.

1- Importancia de la protección de la información

La relativa tranquilidad existente en España en materia de espionaje industrial y comercial lleva a que sistemáticamente se diagnostique como paranoico a todo aquel que manifieste una mínima preocupación por la seguridad en el tratamiento de la información.

No obstante, lo cierto es que en la empresa actual el valor más importante radica en la información. Han pasado ya los tiempos en que los elementos productivos eran la base efectiva del negocio y hoy, más importante que la máquina es la información que permite saber qué, cómo y cuándo hacer algo. Sin consideración a la bondad o maldad de dicha situación, la sociedad americana viene a ser el paradigma de la asignación de recursos bajo criterios de imprescindibilidad. Desde el momento en que la industria americana destina importantes sumas de dinero a cuidar su seguridad, resulta evidente que por algo lo hará. Y ese algo es que muchas empresas han sufrido el daño que causa una fuga incontrolada de información.

El principal problema que plantea esta cuestión es que todos estamos de acuerdo en que la falta de control sobre la información es un riesgo latente, pero muchos ven difícil la materialización del mismo en un momento dado. Que en un determinado momento no se den las circunstancias propicias para temer un intento de acceso a nuestra información interna no significa que éste no vaya a producirse, ello independientemente de que el número de posibles amenazas es, generalmente, desconocido por nosotros mismos.

Es evidente que un competidor puede estar interesado en nuestros secretos. Pero no es el único que puede estarlo. Un trabajador resentido, un periodista ávido de escándalos, un grupo de investigación estatal, un miembro de nuestro propio equipo de trabajo, etc., pueden estar interesados en determinada información, sea para fines lícitos o ilícitos. Podemos tener una relativa tranquilidad de que nuestros competidores no iniciarán una guerra ni utilizarán tácticas ilegales para apoderarse de nuestros secretos. Pero no podemos presumir lo mismo de cuantas personas crean que podrán obtener un beneficio por el conocimiento de nuestra información. Sencillamente porque no podemos saber quién puede creer eso.

Incluso respecto de compañías competidoras en un mercado tranquilo tal presunción es temeraria y la historia reciente lo demuestra. El hecho de que una persona no considere determinadas prácticas como propias del mercado no significa que otra, carente de tales escrúpulos, no las utilice, ahora o en el futuro. Y nadie puede determinar la fecha, exacta o aproximada, de ese futuro.

La moderna tecnología permite llevar a cabo sistemas de espionaje con un ámbito extraordinario, de forma imperceptible y con total impunidad. Baste como ejemplo señalar que, hoy en día, por menos de 15 millones de pesetas se puede adquirir en el mercado un equipo capaz de monitorizar todas las conversaciones mantenidas a través de un teléfono móvil GSM, independientemente del lugar donde esté su usuario. O un dispositivo para intervenir teléfonos (de la mejor tecnología), no llega a las 100.000. Si comparamos estas cifras con el presupuesto invertido por la modernas compañías en estudios de mercado veremos lo irrisorio de su importe. 

¿De verdad alguien está convencido de que nadie es capaz de invertir estas cantidades para conocer nuestros secretos?

Pero, además, el riesgo no está, ni exclusiva ni principalmente, en el acceso de firmas competidoras a la información interna de una compañía. Incluso en el seno de la propia empresa, un acceso incontrolado a la información es fuente de conflictos imprevisibles y, en la mayoría de los casos, de sospechas mutuas que enturbian el clima de trabajo.

Nadie puede valorar el efecto que producirá en un tercero una determinada información. Por ello, toda la información debe ser objeto de protección frente a fugas incontroladas. Incluso la inútil.

EJEMPLOS:

Veamos, si no, un ejemplo real. Una compañía prevé un estancamiento y posterior recesión del mercado. El Director Financiero establece un plan de austeridad de gastos, materializado en un presupuesto restrictivo. La situación no es agradable y, como entretenimiento, introduce en el mismo programa de simulación una fantasía: mercado en expansión y aumento de ventas. Todos los directivos agradecen la distensión que supone romper la decepción que el verdadero informe ha supuesto. Finalizada la reunión, el Director Financiero guarda bajo llave el informe real. Y deja sobre su mesa la simulación inútil.

¿Que problema hay, si es información falsa? El resultado de todo ello es un pobre Director de Recursos Humanos casi desquiciado tras una semana de negociación de la renovación del convenio laboral de la empresa por la incomprensible necedad del Comité de Empresa, obstinado en negar un hecho tan evidente como el estancamiento del mercado y la prevista disminución de las ventas. Una copia del informe falso había llegado a manos de los trabajadores.

Otro ejemplo real. Un directivo nota repentinamente un cambio en la actitud y disposición al trabajo de uno de sus colaboradores directos. Sin una explicación deducible, baja su rendimiento, su carácter es pasivo y su trato frío y distante. Lo que ocurrió, y el directivo desconocía, es que dejó en un cajón de su mesa su propuesta de aumentos salariales para el personal del departamento y tal trabajador pudo comparar su situación con la de otros.

La información personal debe ser también objeto de especial protección y reserva y ser facilitada sólo respecto de datos imprescindibles y, al margen de otros directivos, a un único colaborador de especial confianza. Datos como el domicilio y teléfono particulares, segundas residencias, tenencia y localización de bienes de recreo, etc., son datos intranscendentes en situaciones de normalidad. No obstante, con ocasión de despidos disciplinarios, expedientes de regulación de empleo o huelgas, un piquete informativo en poder de dicha información puede ser una auténtica pesadilla. Esta disponibilidad incontrolada de información personal por parte de terceros es especialmente peligrosa cuando versa sobre aspectos más íntimos.

Las notas anteriores pretenden ser únicamente una llamada de atención sobre los riesgos que supone la falta de control sobre la información y destruir la idea preconcebida de que sólo determinada información es importante.

Ningún sistema de seguridad puede garantizar un cien por cien de eficacia, ni tampoco se puede llevar la seguridad hasta extremos de paranoia que imposibiliten el normal funcionamiento de la empresa.

Pero sí es posible establecer unas normas mínimas de seguridad en el tratamiento de la información. El objetivo es limitar las fugas incontroladas y permitir la detección de éstas en caso de que se produzcan, a través de una serie de precauciones.

El presente estudio no es un plan de seguridad corporativa, sino simplemente un documento que, a través de sus páginas, pretende llamar la atención sobre este fenómeno y ofrecer una serie de pautas de comportamiento que corrijan graves deficiencias existentes, de forma generalizada, en la operativa diaria de la mayoría de los directivos.

Recuerde, no obstante, que ningún plan de seguridad es infalible. Una cerradura se puede forzar, una clave descifrar y un teléfono siempre se podrá pinchar. Si verifica que no hay dispositivos de escucha en una sala eso sólo significa que en ese momento y lugar no los hay, pero no que no los haya habido ni que no los haya mañana. Si descubre un equipo espía, sólo sabrá que le han espiado, pero no desde cuándo.

La virtud de todas las medidas que se expondrán en este documento no es hacer imposible las intromisiones. Su virtud es que las hace francamente difíciles y, si tenemos suerte, más difíciles que respecto de firmas competidoras. Sea consciente, no obstante, de este límite.

2.- Lugar de trabajo

El centro en el cual confluye más de 90% de la información que manejamos es nuestro propio lugar de trabajo y, por ello, merece ocuparse de él en primer lugar.

Las principales normas a tener presente en este apartado son las siguientes:

• La sala debe reunir unos requisitos mínimos de aislamiento acústico que impidan la escucha desde el exterior de conversaciones mantenidas en el interior. Esto incluye acristalamiento doble y paneles o paredes aisladas. En caso de que la sala linde con finca vecina, debe preverse una cámara de aire entre el panel interior y la pared. El panel interior debe tener aislante acústico y ser practicable para la inspección de la cámara. Debe disponer de cortinas y cerradura interior de las ventanas, en el caso de que éstas sean practicables.

• Asegúrese, a través de personal de mantenimiento, de que no hay cableado inútil en paredes y falso techo. Puede ser fácilmente utilizado como portador de señal. En caso de instalaciones de reserva(habitual en modernas instalaciones de redes de voz y de datos),verifique que los conductos de canalización son seguros.

• Tenga siempre cerradas las cortinas.

• No utilice ni interfonos ni teléfonos inalámbricos y, en caso de que el uso de los mismos sea imprescindible, adquiéralos de tecnología digital de transmisión.

• Disponga de cerraduras seguras en todas las puertas, armarios y cajones. Si maneja documentos especialmente sensibles, adquiera una caja de seguridad para almacenar los mismos. Dichas llaves deberán estar en su poder y, en caso necesario, en el de su secretaria o colaborador de confianza. En previsión de emergencias, entregue una copia al responsable de seguridad, dentro de un sobre de seguridad cerrado y con su firma en la unión de la solapa con la bolsa, para su depósito en una caja de seguridad.

• Sólo deben tener acceso a nuestro despacho personas de la propia organización. Las visitas de terceros es conveniente atenderlas en salas especialmente previstas para ello. Además, instruya al personal de limpieza para que revise y adecue la sala inmediatamente después de cada uso. Dichas salas deben carecer de teléfonos enlazados a líneas directas y, en la medida que el sistema lo permita, sólo deben poder realizar llamadas a extensiones interiores (sin perjuicio de que puedan recibir, transferidas, llamadas externas).

• Autorice el acceso a su despacho, en su ausencia, a una única persona de confianza (p.e. su secretaria). En caso de que, en su ausencia, algún colaborador precise de algún documento, ésta será la encargada de entregarlo.

• Al abandonar el despacho, no deje ningún documento accesible. Durante su ausencia, personas sobre las cuales no tiene ningún control accederán al mismo (personal de limpieza, mantenimiento, seguridad, etc.). No presuponga ni la integridad ni la capacidad de estas personas, no todas tendrán su inteligencia y formación para discernir la bondad o maldad de una determinada conducta. Una práctica útil en este aspecto es disponer de un estante en uno de sus armarios, exclusivamente para depositar en el mismo los documentos existentes sobre su mesa en el momento de salir. Instruya a su secretaria o colaborador de confianza a que, antes de salir y en cas de ausencia de usted, revise que no queden papeles accesibles.

• En su ausencia, los armarios y cajones deberán quedar cerrados.

• Disponga de destructora de documentación, de prestaciones adecuadas al volumen de los documentos que maneja. Escoja una que disponga de entrada de objetos al depósito y elimine las papeleras, así estará seguro de que cumple la norma de destruir todo papel desechado. Disponga lo mismo para su secretaria.

• Desconfíe de los regalos. La forma más fácil de introducir un micrófono emisor en su oficina es introduciéndolo en un objeto de regalo. En todo caso, verifique por personal especializado (a través del responsable de seguridad) su inocuidad. Bajo ningún concepto conecte a la red eléctrica o telefónica equipos que le hayan sido regalados (desconfíe especialmente de un teléfono móvil, se pueden "trucar" de varias maneras).

• En zonas de despachos panelables, no reciba visitas. Es muy fácil que esa persona vea o escuche algo que no debe. Disponga de otro local, donde se recibe, y no se pueda llevar, más que lo que usted le quiera dar.

• Instale una alarma, conectada a Central Receptora, con detectores de humo (no olvide el riesgo del fuego), y mejor con cámara de TV, para que desde la Central sepan lo que está pasando cuando se dispara la alarma.

3.- Proteja la información.

Sea cauto en sus conversaciones con colegas en firmas competidoras. Usted nunca podrá valorar de forma segura hasta qué punto una información puede o no ser valiosa para una empresa competidora. Conocer la existencia de un proyecto descartado, aunque puede no parecerlo, tiene una extraordinaria importancia: da una idea de la actividad de una empresa en materia de innovación, afianza la conclusión de que una idea es digna de tenerla presente y estudiarla, permite prever posibles actuaciones futuras, etc. Si, además, comentamos por qué lo hemos descartado, la información (y los beneficios de conocerla) se multiplican.

Y todo sin que seamos conscientes de ello: la mayoría de las veces, las indiscreciones por nuestra parte no son más que respuestas, aparentemente intranscendentes, a indiscreciones ajenas.

Tengamos presente, además, que comunicar determinados detalles o informaciones es la mejor forma de crear confianza en nuestros interlocutores. Dejar que terceros conozcan estos detalles les permite crear la apariencia de una condición que nunca hemos querido darles.

4.- Uso del teléfono.

La comodidad que representa el teléfono hace que por el mismo circule la mayor parte de la información que conocemos. No obstante, es un sistema de comunicación altamente vulnerable: se puede pinchar en todo el recorrido de la línea (tanto interna como externa), el emisor se puede alimentar de la propia línea y la escucha se puede realizar a distancia con total impunidad.

Obviamente, no puede usted prescindir del teléfono, pero sí tomar una serie de precauciones que inutilicen en gran medida todo intento de intromisión.

• Nunca utilice líneas directas al exterior. Aunque su extensión tenga asignado un determinado número entrante, haga programar la centralita para que la asignación de líneas salientes sea aleatoria.
  De esta forma, para acceder a sus comunicaciones desde el exterior será preciso pinchar todos los enlaces de la empresa.

• En la medida de lo posible, haga instalar líneas RDSI, o similares de transmisión de señal digital. Aunque existen equipos capaces deinterceptar dichas líneas, su disponibilidad es mucho menor que los de líneas analógicas (pero el que disponga de tecnología adecuada, podrá hacerle multitud de ataques, imposibles en las líneas analógicas).

• Sea especialmente reservado cuando utilice teléfonos móviles(incluidos los GSM). Es el sistema más vulnerable y que ofrece mayor impunidad. Evite dar nombres o datos cuando hable por el móvil y limite su uso a casos de estricta necesidad. No facilite su número móvil más que a su secretaria de confianza, responsable de seguridad y personal directivo: en caso de necesidad, su secretaria puede transferirle directamente las llamadas urgentes recibidas en su oficina. Active la ocultación del número propio (sólo posible en GSM). Utilice un teléfono o tarjeta independiente para asuntos personales. Debe saber, además, que el GSM, informa al sistema del lugar geográfico en que usted se encuentra, simplemente por el hecho de estar conectado.

• En momentos de especial sensibilidad de los asuntos que deba tratar, adquiera para su teléfono móvil una tarjeta pre-pago, adquirida en efectivo. Posteriormente, desviamos nuestro número habitual al nuevo, y la gente que nos llame, no tendrá que saber el número donde se ha desviado. La tarjeta es el único identificador del equipo y, sin poderla vincular a través de pagos por domiciliación bancaria o tarjeta de crédito, difícilmente será conocida por terceros.

5.- Seguridad informática.

En nuestros ordenadores se concentra la práctica totalidad de la información que elaboramos. Además, hoy en día es un medio habitual de comunicación. La utilidad del ordenador para almacenar y procesar información tiene, como contrapartida, la concentración de la misma en un único archivo de escaso tamaño. Antaño, para apropiarse de los secretos de otro había que examinar y sustraer un considerable volumen de documentación. Hoy basta con apropiarse de un objeto que cabe en el bolsillo.

• Utilice un programa de control de acceso y cifrado automático de datos sensibles (SAFE Data BECKER o similares). Los controles por contraseña de los sistemas operativos al uso no cumplen de forma eficaz con esta misión y son altamente vulnerables. Además, no protegen la información frente ataques directos al soporte físico de la misma (generalmente, el disco duro) . Con los portátiles, esto es imprescindible, por lo fácilmente que se pueden "distraer" en cualquier desplazamiento. El cifrado es especialmente importante cuando se trabaja en red, ya que determinados programas, permiten ver todos sus archivos, desde cualquier otro PC conectado a la red (Estos programas están en las revistas especializadas y en Internet, gratuitamente). O para el caso del correo electrónico, que es muy vulnerable.

• Utilice contraseñas seguras. Palabras, nombres, fechas o secuencias de números son fácil y rápidamente comprobadas a la velocidad actual de proceso de los equipos. Una contraseña mínimamente segura se compone de un mínimo de 8 caracteres mezclando mayúsculas, minúsculas, números y signos especiales. Y por descontado, créelas usted, no el Dept. de Informática.

• Realice siempre copias de seguridad. Si le roban el equipo, o sufre alguna avería, podrá recuperar su trabajo. Almacénelas, eso sí, en lugar suficientemente seguro.

• Active utilidades de cifrado en sus mensajes de correo electrónico (recomiendo el PGP, de uso muy extendido) incluso dentro de la propia red corporativa. Todos los sistemas de correo (internos o externos) están basados en el almacenamiento de los mensajes en un equipo servidor y un operador con autorización suficiente (por clave propia o mediante clave ajena conocida) a los que se podría acceder a los buzones de mensajes sin que usted ni el destinatario lo supieran. No presuponga que el departamento de informática es seguro: probablemente lo es, pero usted no puede saberlo (de todas maneras, piense que el correo electrónico se comporta allí por donde va pasando como un sobre transparente y si alguien quiere, lo puede leer). Utilice direcciones de correo electrónico anónimas, gratuitas y de un solo uso, para los documentos delicados (el servidor de correo de la empresa, para el Dpto. de Informática, es transparente).

6.- Seguridad Corporativa.

Todas las normas anteriores serán ineficaces si no son observadas por los miembros de su equipo de trabajo y por el resto de los directivos. Instrúyales sobre la importancia de la seguridad y control en el tratamiento de la información. Distribuya copias de este documento. Mal se pueden tomar medidas de seguridad, cuando se ignora su lógica.

Realice periódicamente "limpiezas", pero especialmente en épocas de crisis. Los "malos" no quieren ser descubiertos, y por lo tanto, es posible que no lo intenten, si saben que se hacen revisiones.

Valore la oportunidad de elaborar una política global de seguridad por profesionales expertos. Esto permitirá identificar zonas sensibles, redefinir circuitos y, en resumen, establecer unas normas comunes adaptadas al grado de interés que la información de una empresa pueda despertar en terceros.

La seguridad es un aspecto vital para toda empresa (y muy rentable). Lamentablemente, su utilidad sólo se puede valorar cuando no existe y algo ocurre.

Es imprescindible que alguien asuma las funciones de coordinación de seguridad. Sólo así se puede permitir que hechos aislados lleguen a un mismo centro de análisis y toma de decisiones.

Audítese a sí mismo y a sus colaboradores respecto del cumplimiento de las normas. Realice regularmente reuniones de coordinación y motivación. No es conveniente que cite al culpable, pero comente los errores detectados: es la mejor forma de que todos puedan comparar lo ocurrido con su propio comportamiento y corrijan actitudes potencialmente peligrosas

Antes de descartar una determinada práctica por la incomodidad que representa, valore los riesgos que está asumiendo. Nunca podrá valorar de forma efectiva el nivel de seguridad de su sistema. En el mejor de los casos, lo único que podrá saber es que es insuficiente... pero entonces ya será taarde. Por ello, no permita qu su equipo se relaje por la ausencia de incidencias: puede que no las haya habido precisamente por las medidas seguidas hasta ese momento.

Manténgase siempre al día: las fugas de información son como los ratones. Si no los ves no significa que no los haya. Si los ves, es que hay cientos de ellos.

BIBLIOGRAFÍA:

La ausencia de textos de alguna calidad es la norma. Para aquellos interesados en el tema recomiendo la lectura de dos libros, que aunque no tratan directamente las escuchas, dan una idea de conjunto sobre la electrónica dedicada a la captación de información:

• "HISTORIA DE LA GUERRA ELECTRÓNICA" e "HISTORIA DEL ESPIONAJE ELECTRÓNICO", de Mario de Arcangelis, ambas de la editorial San Martín.

• Otro interesante: "CONTRA ESPIONAJE ECONÓMICO" de Enrique Gómez. (934408329), da una visión de conjunto de sistemas en el mercado. 

• De Paladín Press (Box 1307-6CS, Boulder, CO 80306, USA) está el "THE WHOLE SPY CATALOG" que es bastante completo, y el imprescindible "DON'T BUG ME" y "THE PHONE BOOK" de Edén Press (Box 8410-AP, Fountain Valley, CA 92728, USA), una aproximación bastante completa a las contramedidas. 

• "EL DELITO INFORMATICO", de Luis Camacho, merece la pena.

• "GUÍA DE SEGURIDAD INFORMÁTICA", de J.M. de Acuña (Sedisi, 91 5774466) quizá sea la obra mas completa .

• Y libros no técnicos, pero muy interesantes: sobre el impacto de las nuevas tecnologías en la sociedad, y la necesidad de la Protección de la Información, "LAS GUERRAS DEL FUTURO", de A Toffler, Editorial Plaza & Janes. 

• Una buena novela, documentada, que trata de la interceptacion sistemática de los Tf. mobiles y del E Mail, por los servicios de inteligencia es "EL FUTURO ES NUESTRO", de Larry Collins, de Ed. Planeta.

• Una revista mensual de "piratas" es "@RROBA"

PAGINAS WWW:

• www.spyzone.com

• www.loyola-edu/dept/politics/ecintel.html

• www.spysite.com

• www.mai-assoc.com

• www.cb-security.com

E Mail ANONIMO:

• www.mixmail.com

• www.hotmail.com, etc

• www.hormiga.org, donde venden "virus", etc.

Quizá el sitio más serio sobre seguridad informática sea www.iec.csic.es/criptonomicon, que depende del Consejo Superior de Investigaciones Científicas, y publica un boletín gratuito de divulgación.

Anonimizador de búsquedas:

• www.anonymicer.com/surfing.shtml

Además hemos de tener siempre presente:

• www.kriptopolis.com

- Artículos Varios -