Instituto de Informática Jurídica

Universidad del Salvador

"Las Ciencias Jurídicas y las nuevas tecnologías"

Seguridad

Relación entre la seguridad y el hombre

Concepto de algo seguro aplicado a la informática

Diferentes tipos de seguridad informática

Niveles de Seguridad

Breve reseña histórica, conceptos de hacker, phreaker, pirata y cracker

Redes, redes abiertas, su uso

Efectos del uso de las redes

El ejemplo del Fuero Comercial de la Nación


Seguridad

En el término más amplio de la palabra la seguridad es la calidad de algo seguro, y que algo seguro es algo libre de todo daño y riesgo.

Relación entre la seguridad y el hombre

El vivir no es seguro, es por ello que toda actividad humana no lo sea, cada actividad humana puede ser ponderada en riesgo con un determinando porcentaje.

Dichas ponderaciones porcentuales son estadísticas y permiten establecer parámetros sobre los cuáles basarse, existiendo empresas que establecen actividades comerciales a raíz del riesgo (compañías de seguro).

Toda actividad, por lo tanto tendrá riesgos y beneficios posteriores a su desarrollo, será cuestión de evaluar la relación existente entre los riesgos (costos) y los beneficios, para ver que decisión generará en consecuencia.

Carl Sagan astrónomo contemporáneo dijo que: "…el espacio será conquistado el día que sea económicamente rentable…", su frase nos lleva a pensar que no importa lo alto del costo, siempre que exista un beneficio acorde.

Pero aún cuando las estadísticas indiquen lo contrario, es decir que sean mas altos los costos que los beneficios se dan casos donde la actividad humana por necesidad se desarrollará, no siempre el ser humano se mueve por simples ponderaciones de lo razonablemente conveniente.

Concepto de algo seguro aplicado a la informática

El concepto de algo libre de todo riesgo y daño aplicado a la informática nunca existió. Nunca fue posible aseverar que algo es seguro, dado que todo lo informático está montado sobre estructuras que se mueven bajo conceptos de riesgo estadístico.

El riesgo estadístico informático, establece que probabilidad existe en términos generalmente de horas de que un suceso ocurra y si ocurre que porcentaje de lo que involucra su uso va a ser afectado.

Es así como la mayoría de las piezas que componen una computadora tienen un valor que lo mide, llamado MTBF (meaning time between failures) o tiempo esperado entre fallas.

Sin embargo y a pesar de estas tabulaciones y mediciones, a la actividad informática se le pretende asignar el rol de perfecta, tratando de que el sólo hecho de su existencia implique salvaguardia de toda especie.

La tendencia mundial es tratar que toda actividad desarrollada por las computadoras tenga ribetes perfectos, así se suele escuchar lo incuestionable que debería ser la firma digital, lo concreto y perfecto que debe ser un documento enviado por E-Mail, el insoslayable hecho de tener que validar su recepción, el control absoluto de presencia de virus, etc.

Por ejemplo una interrupción aunque momentánea accidental del servicio eléctrico, genera el cuestionamiento del uso de las computadoras, no es difícil en esos casos escuchar frases como:"… en realidad es preferible trabajar como antes…", sin embargo a nadie se le ocurriría pensar lo mismo de las heladeras, radios o televisores.

También es común determinar la eternidad del funcionamiento de una computadora, por el sólo precedente de que hasta ayer funcionaba, siendo que la mayoría de los artefactos eléctricos funcionan hasta el instante en que se rompen, pero a las computadoras parecería que su posibilidad de rotura intespestiva le estuviese vedada.

La velocidad conque estos elementos han formado parte de nuestra vida diaria ha generado el natural rechazo que toda herramienta novedosa conlleva, sin embargo su estabilidad y crecimiento geométrico no hacen mas que reafirmar una dependencia creada.

Tal vez sea esa dependencia no aceptada, la que obliga a exigirle a las computadoras rendimientos increíbles.

Diferentes tipos de seguridad informática

La seguridad es como definimos la calidad de algo seguro, por tanto la seguridad de un sistema informático (entiendo como tal a un conjunto de dispositivos y programas que funcionen bajo un fin), estará fijada por todos los elementos que lo componen en software y hardware.

La seguridad a nivel informático no se limitará entonces por ejemplo a la posibilidad de evitar la adulteración de la información o intromisión no autorizada a lugares restringidos de acceso, sino también a que los equipos donde se opera y almacena la información sean confiables, siendo la seguridad general establecida, tan buena como la menor seguridad de cualquier componente.

Pero las estadísticas mundiales indican que los usuarios están preocupados más por la probabilidad que tiene un experto en filtrarse dentro de la información existente y adulterarla, que por saber si el sistema se va a detener y no funcionar por un período de tiempo por problemas de hardware.

Estas tendencias mundiales han llevado a que el término seguridad informática sea acotado sólo a lo concerniente a la violabilidad de claves de acceso, redes, sistemas, protecciones contra copias, en general a la seguridad del software.

Niveles de Seguridad

Existían desde el principio de la era de las computadoras sistemas que tenían sólo como meta establecer diferentes niveles de seguridad.

En la microcomputación, con el advenimiento de las redes de área local o LAN, los sistemas operativos empezaron a implementar diferentes niveles de seguridad como: establecer fiabilidad de los datos guardados, otorgar confiabilidad del sistema frente a diferentes configuraciones de hardware, establecer restricciones de acceso ponderadas y selectivas a diferentes recursos, etc.

Amén de la seguridad de los sistemas o de las políticas de seguridad implementadas por una oficina informática, según una reciente estadística dada a conocer, las conductas humanas naturalmente atentan contra los sistemas implementados.

Las claves de acceso en un amplio porcentaje están relacionadas a: cosas materiales, fechas de acontecimientos personales, y personas. Sobre una muestra de 10.000 individuos a los cuales se les pidió fijasen claves de acceso, el 72% de ellas fueron fácilmente descubiertas tan sólo acotando la búsqueda a los parámetros citados, el 57% de los encuestados habían comentado o compartido sus claves, y el 62% hasta las había impreso.

Es por ello que se está intentando que cada persona no maneje claves, sino que él definido dentro de un conjunto de características físicas únicas sean reconocidas como clave.

Existe una rama llamada biometría que trata de cuantificar en números dichas características, no es extraño que los dispositivos biométricos se comiencen a implementar como verdaderas compuertas de acceso a sistemas dado su eficacia, eliminando por completo los porcentajes mencionados.

Dentro de los dispositivos cuyos costos se encuentran ya dentro del rango que permite su masividad están el escaner de huellas digitales, escaner de tamaño de palma de mano, reconocedor ponderado de voz y scanner de retina.

Breve reseña histórica, conceptos de hacker, phreaker, pirata y cracker

No existe un diccionario que defina a los términos concretamente, dado que la mayoría de ellos son derivaciones de la jerga informática y su uso ha determinado su significado.

En los años 60, se denominaba dentro del ámbito informático "hacker" a toda persona altamente capacitada, que tenía los conocimientos necesarios para llevar a los sistemas existentes, mediante modificación del código que lo compone, a nuevas y más productivas instancias.

Ya entrados los 70, y debido a un descuido fortuito de una compañía telefónica y un premio de una caja de cereales un usuario llamado John Draper alias "Capitán Crunch" logra realizar una llamada de larga distancia introduciendo un tono preciso dentro de una línea abierta de teléfono, de allí el término "phone hacker" que después deriva en "phreaker"

Los phreakers toman un nivel insospechado de popularidad, considerándoselos responsables de invaluables defraudaciones. Se llegaron hasta fundar asociaciones que brindaban dichos servicios, como el Homebrew Computer Club, cuyos socios comercializaban cajas con la capacidad de violar sistemáticamente los sistemas de protección de llamadas telefónicas. Dos de sus miembros cuyos alias eran "Berkeley Blue" (Steve Jobs) y "Oak Toebark" (Steve Wozniak), más tarde decidieron fundar una empresa cuyo nombre marcaría un giro en la forma del manejo de las microcomputadoras: "Apple Computers Inc."

En el principio de los 80, comienza el auge de las microcomputadoras y los sistemas protegidos para las copias de los usuarios, generando un movimiento en contra de esta actitud. Los desde ese momento denominados crakers, "rompían" el código fuente de los programas eliminando las líneas que efectuaban las comprobaciones de protección.

Se funda la revista "2600: The Hacker Quarterly", semanario que incluye técnicas para efectuar phreaking.

A mediados de los 80, las redes corporativas toman características abiertas y se empieza a ver como individuos de muy alta capacidad empiezan a penetrarlas, no hubo desde aquel entonces empresa y/u oficinas gubernamentales que estuviesen a salvaguardo, en honor de aquellos que otrora se los consideraba genios por entrar ("hack in") al código para mejorarlo, se les siguió dando el seudónimo de "hackers".

Se les comienza a llamar "piratas" a aquéllos que sólo les interesaba lucrar con los sistemas ya desprotegidos, para diferenciarlos de aquéllos que podían efectuar el "hackeo" o "crackeo".

Desde cualquier época hasta hoy, existen infinidad de ejemplos de como los sistemas considerados de máxima seguridad han sido violados, modificados, borrados, y desprotegidos.

Para fijar solamente un parámetro de lo grave de estos "ataques", la Oficina de Contabilidad General de E.E.U.U, determinó que sólo en 1995 soportó 250.000 de estos intentos.

Durante el tercer congreso del Instituto de Seguridad de Computadoras celebrado por el FBI (división especial de Crimen Internacional Computadorizado), se determinó que el número de ataques sufridos por las empresas va en aumento, y que son debidos en su gran mayoría a hackers externos más que a competidores u organismos gubernamentales, durante el año 1997 se estimaron pérdidas cercanas a los 111 millones de dólares.

Terminando esta pequeña reseña, destacamos un nueva modalidad de robo o ataque electrónico denominada "ghost hacking o ghosthack", que consiste en la adulteración de información sin que el usuario pueda percibirlo.

En el caso de un Banco estos sistemas, penetran en la red con el fin de detectar dentro de las millones de transacciones electrónicas realizadas, cual es el error de aproximación matemática inapreciable, una vez establecido, le quitan a toda operación esos milésimos, y dicha quita la suman dentro de una sola cuenta, generando grandes sumas de dinero.

En el caso de un usuario final, generalmente introducen programas que graban todo tipo de información que el usuario escriba: nombres de usuario, números de teléfono, números de tarjetas de crédito, etc., cuando el usuario se reconecte al lugar desde donde le fue insertado el programa, éste se encargará de enviar toda la información acumulada.

Otra operatoria similar, con generalmente resultados de catástrofe, son los denominados "virus informáticos", cuyo nombre proviene de su símil biológico por su habilidad para enfermar al "computador", e infectar todo lugar asignado posible autoreproduciéndose. La denominada "enfermedad" del computador puesta de manifiesto bajo ciertas circunstancias (fechas determinadas, cantidad de horas desde la llegada del virus, etc.) suele ir desde un aviso simple que el computador ha sido infectado con determinado virus, hasta el borrado sistemático de toda información existente.

Para un pormenorizado detalle de los lugares y situaciones a los que fueron sometidas diferentes entidades privadas y gubernamentales, con un histórico de como fue el efecto causado, recomiendo recorrer la página web de la HNN (Hackers News Network), dicho sea de paso página que también fué víctima de un ataque.

Expondré una tabla con un pequeño resumen de los principales y últimos ataques perpretados por hackers a sitios concocidos de páginas Web.

Fecha

Sitio perteneciente a

7 de Septiembre de 1999

Asociacion Internacional de Contraterrorismo y Profesionales de la Seguridad

20 de Agosto de 1999

American Broadcasting Company (ABC)

1 de Agosto de 1999

Base Aérea de Nellis E.E.U.U

4 de Julio de 1999

Proyecto de búsqueda de vida inteligente extraterrestre (SETI)

24 de Junio de 1999

Base Militar de Monmouth E.E.U.U

28 de Junio de 1999

Ejército de los E.E.U.U.

19 de Junio de 1999

Centro de Guerra de Superficie de la Marina de E.E.U.U

11 de Junio de 1999

Senado de los E.E.U.U

31 de Mayo de 1999

Departamento del Interior de los E.E.U.U

10 de Mayo de 1999

La Casa Blanca

1 de Abril de 1999 (día de los inocentes en E.E.U.U)

Hackers News Network

27 de Enero de 1999

GreenPeace International

27 de Enero de 1999

Klu Klux Klan

Redes, redes abiertas, su uso

Una red es un conjunto de dispositivos informáticos, entiéndase así a las computadoras, impresoras, dispositivos de almacenamiento, etc., que tienen la capacidad de compartirse, y es abierta cuando posee la capacidad de recibir usuarios externos al lugar físico donde se encuentra instalada.

Esta capacidad del usuario de ingresar a una red abierta, puede ser puesta de manifiesto a través de comunicaciones telefónicas, radiofónicas o de otro tipo.

Una de las ventajas de su uso es la gran accesibilidad de los recursos disponibles dentro de la red para un usuario que se encuentra en un punto distante a ella.

Las transacciones bancarias mundiales, envío y recepción de información electrónica, confirmación de operaciones distantes, son algunas de las innegables virtudes de su uso.

Hoy no nos sorprende que un cliente efectúe un depósito en Bangla Desh y segundos después la operación pueda ser confirmada desde Buenos Aires.

Efectos del uso de las redes

El uso de dispositivos generales de almacenamiento compartidos, trae como parte de sus consecuencias: la acumulación de información centralizada, disminución de costos operativos, facilidad de ejecutar políticas de informatización.

La acumulación de información en una red abierta, en algunos casos no sólo significará permitir consultar la información desde remotos lugares, sino que puesta a disponibilidad del público con una interface adecuada, en ciertos casos generará negocios de muy alto rendimiento marginal.

Lo que se obtiene como resultado indirecto de una meta de un plan informático, termina siendo un bien de muy alto valor dependiente del uso que se le brinde.

Los bancos, originalmente estructuraron sus redes abiertas, con el fin de sistematizar las transacciones inter-sucursales agilizándolas y disminuyendo el tráfico de dinero y riesgo de traslado innecesario. Como resultado del armado de las redes para la sistematización, se obtuvo la posibilidad de la consulta centralizada de información, que a través de servicios pagos ahora están a disposición del público en páginas de Internet o Cajeros Automáticos.

El ejemplo del Fuero Comercial de la Nación

Los Juzgados Nacionales de Primera Instancia en lo Comercial, se vieron en la necesidad de informatizar la gestión integral de sus expedientes debido a problemas críticos a los que se veía sometida la estructura de su edificio cito en la Diagonal Roque Sáenz Peña 1211 de la Capital Federal, considerando la instalación de redes para compartir información.

Se había dado orden a nivel arquitectónico que el edifico debía ser desalojado por exceso de peso, pero a instancias de la por entonces presidente de la Cámara, Dra. Ana Isabel Piaggi, se realizó un segunda pericia y se estableció una alternativa al desalojo: el traslado de las cargas a los pisos más bajos.

Esto implicaba trasladar el centro de despacho de las mesas de entradas de los juzgados en algunos casos mas de 7 pisos y centralizar a la vez la gestión, es así como luego de examinar los productos existentes del mercado se decidió optar por el Lex-Doctor.

Luego de evaluar como válida y muy positiva la experiencia encarada en 4 de los 26 juzgados comerciales, la Cámara decide generalizar el producto para todos los juzgados correspondientes a la primera instancia del fuero.

Las consecuencias del uso de redes y de la centralización no se hicieron esperar, en forma de iniciativa personal el titular del juzgado n°5 el Dr. Gerardo Vasallo comenzó con una experiencia de poner en línea a su juzgado.

Fuera de los ribetes técnicos que enmarcaban la experiencia, el sistema de consulta funcionó sin problemas durante casi 3 años, permitiendo al letrado al ingreso y consulta de la totalidad de la información visible permitida que contenían los expedientes dentro del juzgado.

Esa idea se fue generalizando y modelando hasta cobrar forma en el proyecto de consulta de expedientes en tiempo real y en línea de la Cámara Nacional de Apelaciones en lo Comercial.

La principal cuestión que enfrentó el proyecto era la pregunta: ¿sería seguro poner en línea y en tiempo real a los juzgados?, la respuesta fue no, nadie podría asegurar que los juzgados pueden ser puestos en tiempo real sin riesgo.

Pero la repregunta inmediata fue: ¿existen métodos para minimizar la franja de riesgo de tal forma que el costo de un incidente, sea inferior al beneficio?, se trabajó en ese sentido disminuyendo las aristas que componían puntos flojos de seguridad, estableciendo como meta ya no un sistema seguro sino lo más dinámicamente seguro posible, y donde se alcancen niveles mínimos de riesgo.

Los resultados están a la vista, un promedio de 8.600 consultas diarias con un acumulado de más de 540.000 sin registro de incidentes, pero esto no quita, que hoy mismo pueda el sistema sufrir un percance de seguridad.

Aunque el alcance del futuro posible incidente, haga necesario tener que recurrir a la información respaldatoria, la conciencia de uso del sistema y lo racional del mismo hará que se efectúen las correcciones pertinentes para evitar incidentes similares, de tal manera que las nuevas medidas adoptadas minimicen nuevamente dentro de lo razonable el alcance del daño, pero nunca se cuestione el uso del sistema.

Cada incidente, de diferente índole, enseñará un nuevo camino para tomar acciones adecuadas, sin embargo las consideraciones de respaldo de la información deben establecerse previamente con el máximo de los cuidados, dado que ellas serán las únicas que podrán en caso de ser necesario, ayudar a reaunudar las tareas.

Ningún sistema es perfecto en ningún aspecto, lo que lo hace permeable de sufrir un inconveniente de seguridad, sin embargo se tendrá como satisfactorio si se puede reanudar su funcionamiento, y se evaluará la eficacia de los sistemas implementados como salvaguarda en función del tiempo y esfuerzo demandado para realizarlo.

Las metas y claves que se creen infranqueables día a día se desmoronan con la misma facilidad con las que se las construyen, la en teoría imposible encriptación generada por claves de 56 bits (generan 72 quadrillones de posibilidades) fue dos veces descifrada en un concurso organizado por la empresa RSA Data Security Inc. a través de Internet, lo peor es que algunos concursantes aseguraron que de haber sido mayor el premio, el trabajo se podría haber reducido a tan sólo unas horas.

Ante esto, una de las alternativas sería cerrar las redes, disminuir el tráfico de información y cancelar de alguna forma la innumerable cantidad de excelentes servicios que hoy se prestan gracias a ésto. Desde ya que es una utopía, nadie en su sano juicio se pondría a evaluar como de mayor validez los sostenidos pero aún así eventuales incidentes sufridos frente a las virtudes del uso.

Como corolario, quisiera remarcar el hecho que ningún sistema actualmente en uso es seguro, todo depende de lo dinámico de los encargados de dichos sistemas en adaptarse a los nuevos tipos de eventualidades a los que van a ser sometidos, de lo contrario, es cuestión de esperar para que se haga real la frase de uno de los más famosos hackers de los años 90, Kevin Lee Poulsen (alias "Dark Dante"), quién luego de ser encontrado culpable de filtrarse y robar electrónicamente documentos militares, dijo acerca de lo difícil que le habían resultado sus tareas:"…todo sistema de seguridad es sencillo de violar, es como luchar contra alguien que está muerto…".

Diego Molina


Bibliografía:

St. Petersburg Times

InfoWorld Electric

Washington Post

Digital Commerce Briefing Service

Network Week

HNN (Hacker News Network)

Hardvard Net

Computer Security Institute

ZDNet