1

SI1-119

SECURITYXPERTS

Original del profesor Fernando Aparicio Varas del IE Business School.
Versin original de 26 de septiembre de 2002. ltima revisin, 21 de enero de 2008. (R.L.)
Editado por el Departamento de Publicaciones del IE. Mara de Molina 13, 28006 Madrid, Espaa.
2002 IE. Prohibida la reproduccin total o parcial sin el permiso escrito del IE.



Febrero de 2002 no era el mejor momento para emprendedores necesitados de capital. La purga
de empresas punto.com sirvi para ahuyentar a la mayora de los fondos especializados en la
financiacin de alto riesgo. Los tiempos en los que las inversiones en empresas tecnolgicas de
reciente creacin no paraban de crecer no tenan visos de volver a corto plazo, y los fundadores
de SecurityXperts necesitaban de una cantidad elevada para ofrecer un servicio competitivo en la
ltima fase de su proyecto: la gestin externa de la seguridad de la informacin.

Joaqun Castillejo, su director general, era consciente de la oportunidad que se haba abierto en el
mercado ante la falta de personal especializado que pudiera concentrarse en servicios
profesionales de seguridad. Sin embargo, numerosos interrogantes se cernan sobre el futuro.


UNA SEMANA EN LA VIDA DE UN RESPONSABLE DE SEGURIDAD

Juanjo Mrquez madrug un da ms, con pereza y cierto hasto. El despertador le devolva a una
realidad que le haba parecido de pesadilla en la ltima semana. Mientras se duchaba, rememor
aquellos das de pnico e impotencia. Ya estaba harto del gesto adusto del CEO de su empresa al
recordarle lo difcil que se haba puesto este ao cumplir el presupuesto de ventas y las
consecuencias que su incumplimiento podra tener en los planes de inversin, especialmente en lo
tocante a las tecnologas de informacin. Juanjo llevaba gran parte del ao tratando de convencer
al CEO de que la soledad del responsable de seguridad no era suficiente para tapar todos los
agujeros que le reclamaba su actividad cotidiana. Una vez ms, se le haba denegado el
presupuesto para la instalacin de un IDS (Intrusion Detection System o Sistema de Deteccin de
Intrusos)
1
que elevara en gran medida el nivel de seguridad de la empresa.

Juanjo Mrquez era un responsable de seguridad de una empresa de tamao medio en Espaa
(400 empleados y 10.000 millones de facturacin). Antiguo responsable de sistemas, haba sido
nombrado adicionalmente responsable de seguridad a raz de una serie de sucesos que haban
forzado la necesidad de un perfil especializado en seguridad de la informacin. El mayor suceso
fue la entrada en la red corporativa de un intruso que se llev la base de datos de clientes,
incluyendo toda su situacin financiera con respecto a la empresa. Lo chocante del robo fue que
no se produjo mediante las ltimas y sofisticadas herramientas tecnolgicas, sino con tcnicas tan
efectivas como la llamada ingeniera social
2
: alguien, hacindose pasar por empleado del

1
Un IDS monitoriza los registros de eventos dentro de un servidor o red informtica y alerta de posibles
intrusiones/ataques en tiempo real. Hay dos tipos de IDS: los que se dedican a monitorizar actividad sospechosa en
el host mismo (HIDS o Host Intrusin Detection System) y los que controlan la red buscando huellas de intentos de
ataque, no necesariamente hacia la computadora en la que estn alojados (NIDS o Network Intrusin Detection
System).
2
El legendario Kevin Mitnick era descrito por sus colegas como tecnolgicamente incompetente. Sin embargo, es
considerado uno de los mejores hackers de la historia merced a su dominio de la ingeniera social, tcnica que
emplea el engao y la manipulacin para la obtencin de datos de autenticacin (nombres de usuario y contraseas)
IE Business School
SECURITYXPERTS SI1-119


2
Departamento de Informtica, llam a Jos Salazar, administrativo del Departamento de
Facturacin: Buenos das, te llamo de Informtica. Tenemos un problema con tu cuenta de
acceso, nos est causando cadas de red. Podras, por favor, desconectarte y decirme tu usuario
y contrasea para que yo me pueda conectar y resolverlo?. Salazar, enfrascado en ese momento
en el cierre contable del mes, se los dio sin rechistar.

Al asaltante le bast un minuto para entrar en el sistema y depositar en el disco duro de Salazar
un programa oculto de administracin remota (troyano)
3
, que le permita acceder al control total de
la mquina desde cualquier ordenador conectado a Internet. Cuando se detect que desde la
mquina de Salazar se haba enviado comprimida por correo electrnico la base de datos de
clientes con toda su informacin financiera, el volumen de los gritos de Direccin General slo se
vio superado por la cara de estupor del propio Salazar.

Tras el incidente, que para colmo trascendi del entorno interno y se extendi como un reguero de
plvora entre alguno de sus mejores clientes, Direccin General decidi tomar cartas en el asunto.
El rapapolvo dirigido contra el Departamento de Informtica por no detectar el programa intruso
sirvi al menos para poner sobre la mesa una nueva problemtica, cuyas dimensiones en el futuro
todos desconocan.

No menos importante en la nueva toma de conciencia colectiva fue la carta de la Agencia de
Proteccin de Datos que recibi la asesora legal. En la misiva se informaba a la empresa de la
apertura de un procedimiento sancionador por incumplimiento de la legislacin protectora de datos
personales. Un empleado despedido recientemente haba urdido un plan para atacar a la empresa
en este nuevo y desconocido flanco: haba registrado a su mujer como usuaria de la pgina web,
que era utilizada con gran xito como medio de recopilacin de datos para llevar a cabo campaas
de marketing online, subcontratadas a una empresa especializada. Entre los derechos otorgados a
las personas fsicas por la legislacin protectora de datos se encontraba el derecho de acceso a
sus datos personales para modificarlos, cancelarlos u oponerse a su tratamiento (por ejemplo,
para autoexcluirse de la recepcin de correos publicitarios, antes de que fuera la propia ley la que
los prohibiera salvo consentimiento expreso). El empleado despedido, consciente del
desconocimiento de la empresa en esta materia, dirigi a la empresa por medio de su mujer un
escrito en el que exiga el acceso a sus datos para una modificacin de alguno de ellos (su
direccin fsica, concretamente). Al recibirse el escrito, ningn departamento saba muy bien a
quin corresponda encargarse de su gestin, con lo que, apilado en alguna bandeja de entrada
del Departamento de Informtica, qued durmiendo el sueo de los justos, plcidamente ignorante
de los plazos legales para la contestacin de la solicitud de acceso sin incurrir en infraccin.

El empleado despedido slo tuvo que esperar a que transcurriera el plazo legal para interponer
una reclamacin ante la Agencia de Proteccin de Datos por incumplimiento de sus derechos y
por tratamiento de datos (campaas de marketing online) sin su consentimiento. Aquel empleado,
al menos, obtuvo un premio de consolacin: enterarse por alguno de sus compaeros de la cara
del director financiero ante la cuanta de la sancin.

Como heredero de todos estos problemas previos, Mrquez era el encargado del cumplimiento de
la poltica de seguridad de la empresa. Dicha poltica, que alguien en su momento se haba
molestado en escribir por no s qu de la LORTAD
4
, no haba sido revisada ni adaptada
debidamente a los rigurosos criterios de la legislacin protectora de datos. Obviamente, tampoco
se haba comunicado de la manera adecuada a todos los empleados de la empresa.

Mrquez no se senta muy cmodo en su nueva posicin. Si bien su experiencia de ms de diez
aos como ingeniero de sistemas era el mejor aval para su nombramiento, sus conocimientos

3
El programa oculto en el ordenador acta en modo servidor, obedeciendo las instrucciones de la parte cliente,
situada en otro ordenador; se usa habitualmente para acciones tan peligrosas como registrar las pulsaciones del
teclado, borrar y modificar archivos, lanzar ataques a otras mquinas, etc.

4
La Ley Orgnica 5/92, de 29 de octubre, del Tratamiento Automatizado de Datos, fue derogada y sustituida por la Ley
Orgnica 15/99, de 13 de diciembre, sobre Proteccin de Datos de Carcter Personal (LOPD).
IE Business School
SECURITYXPERTS SI1-119


3
especficos en seguridad se limitaban a un seminario especializado de 30 horas pagado por la
empresa, eso s. Era muy consciente de lo complejo de su nuevo puesto: le infunda temor y
respeto a partes iguales, y representaba, adems, un perfil de gran importancia estratgica para la
empresa. Asimismo, aunque se saba que slo una minora de los incidentes de seguridad son
denunciados (vase el cuadro 1), siempre caba la posibilidad de que la informacin se filtrara a la
prensa, con el consiguiente deterioro de la imagen de la empresa.


CUADRO 1



Exista de entrada una serie de problemas de fondo que le inquietaban: l no era un experto en
todos y cada uno de los sistemas y dispositivos de que constaba la heterognea arquitectura de su
empresa. Por muy actualizados que estuvieran sus conocimientos mediante, principalmente, la
suscripcin a boletines de informacin sobre los ltimos parches de seguridad muchos de ellos
facilitados por los propios fabricantes, se vea incapaz de poder realizar correctamente todas las
actualizaciones sin comprometer otras configuraciones bsicas para el correcto funcionamiento de
las aplicaciones. Adems, cuntas de las vulnerabilidades existentes en la actualidad se estn
explotando sin conocimiento de los propios fabricantes? No siempre se hacen pblicas de forma
inmediata las vulnerabilidades, sino que existe un lapso que cualquier hacker profesional puede
aprovechar antes de que se publique su solucin.

Asimismo, tena serias dudas sobre el grado de seguridad de parte de sus aplicaciones: le
preocupaba especialmente la aplicacin de su web principal, que se encontraba alojada en sus
servidores web. El diseo y la programacin de la pgina se haba subcontratado, habida cuenta
de la inexistencia de personal interno especializado en los lenguajes de programacin para web y
del ahorro de costes que supona la externalizacin de este servicio. Sin embargo, la aplicacin
ASP
5
que gestionaba la base de usuarios registrados no le ofreca muchas garantas desde el
punto de vista de la seguridad: en la empresa subcontratada, una reconocida empresa de

5
ASP son las siglas de Active Server Pages, tecnologa propiedad de Microsoft para la programacin de bases de
datos. No debe confundirse con Application Service Provider, o proveedores de servicios de aplicaciones, empresas
que prestan a las empresas servicios de diverso tipo de forma remota.
IE Business School
SECURITYXPERTS SI1-119


4
comunicacin digital, se primaba la vistosidad del diseo, la velocidad de descarga de las pginas
y la usabilidad a las condiciones de seguridad. Mrquez haba ledo en uno de sus boletines que la
mayora de los ataques se estaba produciendo por errores (bugs) en la programacin de las
aplicaciones, especialmente en la validacin de la informacin de entrada de los usuarios, y que
stas eran fcilmente explotables por cualquier hacker profesional.

Otro motivo de preocupacin para Mrquez era la responsabilidad directa sobre la proteccin de
datos personales de su empresa. De la ltima reunin con la asesora legal le haba quedado muy
claro que ellos no tenan ni idea de esta cuestin y que, por si fuera poco, la complejidad tcnica
de la ley requera un equipo con doble perfil (tcnico y legal), del que carecan internamente; y,
desde luego, la anterior sancin de la Agencia de Proteccin de Datos tampoco era una invitacin
al optimismo.

Por ltimo, haba que contemplar un dato no menos importante: se saba que el perfil del hacker
ya no era el del adolescente con granos en el rostro que cometa travesuras desde su dormitorio
(vanse los cuadro 2 y 3). Los intrusos eran cada vez ms profesionales, y exista un autntico
mercado negro de servicios de intrusin donde florecan las ms refinadas tcnicas de espionaje
industrial.

CUADRO 2
DESDE LOS GRANDES EXPERTOS HACKERS....






IE Business School
SECURITYXPERTS SI1-119


5
CUADRO 3
...HASTA LOS SCRIPT KIDDIES




La actividad diaria de Mrquez inclua labores como el anlisis de todos los logs (registros de
actividad) de los servidores y del firewall, la actualizacin de las ltimas soluciones de seguridad,
la solucin de problemas tcnicos especficos de su rea y el control del trfico de datos internos y
externos a la empresa, lo que inclua la vigilancia sobre las actividades de los usuarios, al ms
viejo estilo del sabueso policial.

ste era uno de los aspectos que ms desagradaba a Mrquez, que era visto por la mayora de
los usuarios de la empresa como la encarnacin del gran hermano. Sin embargo, no era la
primera vez que alguno se pasaba de listo. An recordaba aquel incidente con Javier Molina, un
becario que intent hacerle la jugarreta a Marcos Bermdez, el jefe de Recursos Humanos, al
enterarse de que no le iban a contratar tras la finalizacin de su beca de trabajo. Mrquez, en una
de sus primeras decisiones como responsable de seguridad, haba instalado en un servidor
proxy
6
, el que serva para la navegacin corporativa en Internet, un software de gestin de
contenidos que serva para impedir, por medio del uso de palabras clave, la navegacin por sitios
considerados inapropiados dentro de la poltica de la empresa. A Molina le dio tiempo para
preparar cuidadosamente su venganza: sabedor de la aficin de Bermdez por el buen vino, le
envi un e-mail con la direccin eventos@elvino.com como cebo para que Bermdez se sintiera
tentado de leer el contenido del mensaje: en l haba incluidas unas lneas de cdigo HTML en las
que apareca una serie de enlaces a sitios tan poco sospechosos de apropiados como
www.pedofilia.net, www.teensex.com o www.orgiassalvajes.com

Por supuesto, el sistema de chivatos instalado en el servidor proxy alert a Mrquez de la
existencia de dichas direcciones en la cuenta de correo de Bermdez. Menos mal que Mrquez
comprob el cdigo del mensaje para verificar que, efectivamente, estas lneas no correspondan
al mensaje original, sino a un cdigo insertado, y que, adems, provena de una direccin
falseada, lo que evit un buen bochorno tanto a Bermdez como al propio Mrquez.


6
Un servidor proxy se usa en los empresas para actuar de intermediario entre la terminal del usuario final e Internet;
canaliza y optimiza todo el trfico hacia y desde Internet, y sirve para otros propsitos como el filtrado de contenidos y
el control de navegacin de los usuarios.
IE Business School
SECURITYXPERTS SI1-119


6
La arquitectura de sistemas bajo su responsabilidad inclua 12 servidores Exchange
7
y otros
tantos servidores web IIS
8
de Microsoft, el firewall corporativo, 15 servidores Solaris, el sistema
CRM de la compaa y 10 servidores de aplicaciones que utilizaban Windows NT y 2000 como
sistemas operativos. Esta utilizacin de sistemas diferentes era tradicional en la compaa, que
haba optado, por motivos de coste, por posponer la decisin de implantar un sistema ERP hasta
que la crisis econmica remitiera.

Los responsables de seguridad lgica no disponen precisamente de mucho tiempo libre. El da
transcurre entre un sinfn de cortocircuitos informticos, la mayora de los cuales son
consecuencia de una inadecuada formacin del usuario final. Tal vez por ello, Mrquez, en las
reuniones con el Comit de Gestin, era tan incisivo en transmitir la importancia de la formacin
del usuario final dentro de la seguridad del sistema. De nada servan las ms avanzadas
soluciones tecnolgicas si, al final, un descuido de un usuario en la conservacin de la contrasea
o en la apertura de un fichero adjunto en un e-mail serva para comprometer lo que tanto
presupuesto haba costado implantar.

De todas formas, el da haba comenzado tranquilo. Ninguno de los usuarios le haba llamado para
ninguna emergencia de ltima hora (como, por ejemplo, cambiar el tner de la impresora o
quejarse de que Windows 98 daba problemas de incompatibilidad con el ltimo programa peer-to-
peer de intercambio de archivos que haca las delicias de los amantes de la msica gratuita).
Carlos Fernndez, adjunto al Director de Compras, haba sido objeto de numerosos toques de
atencin por el trfico de datos que se concentraba en su puesto, completamente inhabitual para
alguien que, para colmo, no utilizaba Internet como medio de gestionar las compras indirectas en
cualquiera de los marketplaces especializados existentes en Espaa. Una vez ms, Mrquez
pensaba que esta falta de control se deba a la inexistencia de una poltica de seguridad
debidamente documentada, con lo que las reprimendas puntuales no servan para una adecuada
sensibilizacin de los dscolos usuarios finales.

Se dispuso a leer todos los correos de su bandeja de entrada. Salvo un par de altas de usuarios
de la red comercial, el resto eran los boletines diarios donde se informaba de las ltimas
vulnerabilidades descubiertas en aplicaciones y sistemas operativos. Vaya por Dios!, pens,
Microsoft otra vez. Se acababa de descubrir un fallo de seguridad debido al cual el asaltante
poda utilizar un correo electrnico o un sitio web para acceder al sistema y borrar los datos que se
utilizan para cifrar otros datos, como los e-mails. Deba bajar el ltimo parche y configurar el
Explorer para defenderse de un posible ataque. De todos modos, la idea de parchear
repetidamente todos los agujeros de seguridad de sistema operativos y aplicaciones no le haca
muy feliz; por supuesto que era necesario para no comprometer la seguridad corporativa, pero, a
menudo, este proceso de parcheo ocasionaba problemas con otras aplicaciones corporativas,
con lo que se disparaba el nmero de horas extras de fin de semana que deba realizar para no
entorpecer la actividad de los usuarios.

La siguiente noticia del boletn no era ms tranquilizadora: se haba descubierto otro agujero de
seguridad en los servidores Exchange: Un manejo incorrecto de los anexos del servidor
Exchange puede ejecutar un script con cdigo malicioso. Esto es grave, pens. Se apresur a
descargar el parche y a instalarlo. Sin embargo, momentos despus, al revisar el funcionamiento
del resto de los servidores de aplicaciones, sucedi lo que se tema: la aplicacin CRM haba
dejado de funcionar! De repente se acord de aquella vez en la que alguien entr en sus
servidores de correo y, en su afn por no dejar huellas, dej otros tres servidores fuera de
servicio... Record cmo estuvo tres das (con sus noches) revisando toda la informacin
corporativa existente en sus copias de seguridad para comprobar si haba habido alguna
modificacin en los datos de la empresa. Tambin se le vino a la memoria cmo nunca supieron
quin entr ni lo que rob... Fue un trabajo de un autntico profesional que, bien es verdad,
paradjicamente ayud a considerar en serio y por primera vez la toma de medidas serias en
materia de seguridad. Como el 11-S, cavil. Slo se empez a extender la necesidad de planes
de contingencia y de recuperacin de desastres cuando ocurri una catstrofe. Del mismo modo,
en aquella ocasin su empresa destin una pequea parte de su presupuesto IT a crear el puesto
de responsable de seguridad que, ms que por experiencia, recay en l por afinidad.
IE Business School
SECURITYXPERTS SI1-119


7
Dentro de veinte minutos tendr a todos los representantes de ventas preguntndome por el
CRM, pens Mrquez. Su ansiedad creca por momentos y, para colmo, un nuevo boletn le
informaba de que se haban descubierto siete nuevas vulnerabilidades en el Microsoft Telnet
9
para
Windows 2000. Eso vena a significar que el acceso remoto a la empresa poda ser explotado en
cualquier momento por cualquiera al corriente de esa vulnerabilidad. Se le amontonaba el trabajo y
tena que empezar a priorizar, segn lo que haba aprendido en aquella charla tan til que los
chicos de recursos humanos haba dado sobre gestin del estrs.

La siguiente llamada prioriz por l: Juanjo, qu pasa con el CRM?. Era un agente de ventas a
punto de entrar a una reunin con un cliente: Tengo una reunin dentro de diez minutos con uno
de nuestros mejores clientes y necesito urgentemente la evolucin de su rentabilidad como cliente
en los ltimos meses. Qu pasa? Volvemos a tener problemas de conexin?.

Estoy en ello, respondi Juanjo. Espero tenerlo solucionado en breve. Te envo un e-mail de
confirmacin en cuanto lo tenga resuelto, musit Mrquez con un hilo de voz. Saba que no era
cuestin de diez minutos, pero tena que ganar tiempo antes de que los gerifaltes se le echaran
encima.

Otro aviso le informaba de que el parche previamente instalado sobre los servidores Exchange
contena un error de regresin (?), lo cual requera, adems, su propio parche. Pens que
aquello empezaba a parecerse al camarote de los hermanos Marx (La parte contratante de la
primera parte, etc.). Sinti un agudo dolor en la sien, habitual cuando llegaba a estas situaciones
de extrema tensin. Bien, respir hondo e intent tranquilizarse: Si ya sospechaba que la culpa
del fallo del sistema CRM era del primer parche, este anuncio viene a confirmar mis sospechas.
Sin embargo, no estaba muy seguro de que parchear el parche fuera a solucionar los problemas
con el CRM.

Un viejo amigo de su facultad, responsable a su vez del departamento de seguridad de una
entidad bancaria, le llam para avisarle del ltimo agujero de Outlook Express, cliente de correo
instalado en todos los PC y porttiles del personal de la empresa. Juanjo, le deca su amigo,
segn este fallo, los usuarios no necesitan ejecutar un archivo adjunto para infectarse con un
virus: la simple vista previa del mensaje puede activar el cdigo.

Mrquez ya estaba al corriente de la ltima generacin de virus, diseados para explotar estas
vulnerabilidades y, por tanto, dejar fuera de juego a la inmensa mayora de los usuarios. A pesar
de contar con el servicio de actualizacin automtica de las libreras de virus provisto por una
importante empresa de software antivirus, las vulnerabilidades requeran la inmediata instalacin
de su parche correspondiente, lo que le obligaba a cambiar las configuraciones de cada uno de los
PC y porttiles. Y aunque recientemente una nueva herramienta le haba facilitado la actualizacin
remota de los equipos, deba hablar con todos los que dispusieran de porttil para tapar el agujero
lo antes posible.

El peligro de los porttiles le record que haba quedado con Luis Perales, director de marketing,
para que le explicara los pormenores del robo de su porttil, ocurrido recientemente. Tuvo tiempo,
al menos, de tomarse un caf espumoso antes de la reunin con Perales. Perro da, pens. No
quiso hundirse en el pesimismo, por lo que se dirigi con simulado paso firme al flamante
despacho del director de marketing.

Tras una corta espera, Mrquez entr en el despacho de Perales:

Buenos das, seor Perales, y gracias por dedicarme algo de tiempo de su apretada
agenda.

No hay de qu, Juanjo, ya sabes que soy un gran admirador de vuestro trabajo. Y, por
favor, llmame Luis.

De acuerdo, Luis. He odo que perdiste el porttil, podras contarme qu ocurri?
IE Business School
SECURITYXPERTS SI1-119


8

Bien. Despus de salir del trabajo, y cuando me diriga a casa, me acord de repente de
que Raquel, mi mujer, me haba encargado comprar unas cosas en la droguera. Al volver al
coche con las compras, vi que me haban robado el porttil.

Dnde habas dejado el porttil, Luis?

En el asiento del copiloto. De hecho, al coche no le hicieron nada: deb de olvidar echar el
seguro.

Luis, sabes que hemos comentado muchas veces que se requiere que el porttil se lleve
siempre en el maletero cuando viajas, verdad?

S, lo s, pero es una molestia para un viaje tan corto. Al fin y al cabo, slo iba a casa...

Tenas almacenado algn material confidencial en el porttil?

No, creo que no. Nada importante. Bueno, ahora que lo pienso, tal vez s: tan solo una
hoja de clculo con datos de una oferta de 100 millones de euros de facturacin que
estamos preparando para una empresa elctrica.

Imagino que esa informacin estara cifrada, no?

Pues... no.

Y no tenas instalado ningn programa de cifrado para proteger este tipo de informacin
sensible? Sabes que es tambin otra de nuestras recomendaciones.

S, claro, pero la verdad es que lo encontraba un poco difcil de manejar. Te ser sincero:
tena miedo de meter la pata y no poder descifrar la informacin.

Y no hiciste una copia de seguridad de esta informacin en los servidores corporativos,
tal como se requiere?

La verdad es que me parece mucho ms manejable tener la informacin en mi disco duro.
A veces se tarda demasiado tiempo en recuperar la informacin del servidor.

Bueno, espero que, al menos, est protegido con una contrasea de arranque y otra de
acceso al disco duro, verdad?

Uf!, algo parecido.

Qu quieres decir?

En realidad, configur el arranque para que lo hiciera por m, ya tengo demasiadas
contraseas de las que preocuparme.

Luis, eso quiere decir que has hecho lo mismo con tus contraseas de acceso remoto al
servidor corporativo y a la red privada virtual?

No, por Dios, eso sera de estpidos! Aunque debo reconocer que guardo todo este
sinfn de contraseas en un archivo de Word en mi porttil.

Y ese archivo, al menos, est oculto?

No, lo guardo en el archivo Contraseas de la carpeta Mis documentos.

IE Business School
SECURITYXPERTS SI1-119


9
Y qu contraseas guardas en ese fichero?

Pues... todas, claro: la del acceso remoto al servidor, la de la red privada virtual, la de mi
cuenta de correo y la de acceso al servidor HAL.

Te refieres al servidor HAL donde guardamos toda la informacin confidencial de la
empresa???

S, me temo que s.

Menos mal que, para acceder al servidor HAL, se requiere un token
10
provisto de un
certificado digital. Lo llevas contigo, verdad?

Oh!, estaba en el maletn del porttil. Lo guardaba ah precisamente para que no se me
olvidara.

Uf! Y cuando llamaste al Help Desk para que te cambiaran las contraseas, seguiste las
normas corporativas al crear las tuyas esta maana?

Qu quieres decir?

Ya sabes: las contraseas tienen que tener al menos ocho caracteres; deben emplearse
por lo menos una mayscula, una minscula, un carcter numrico y un carcter especial [&
% $ ^ *]; y la palabra resultante no debe ser ninguna de las que aparecen en el
diccionario.

Slo us el nombre de mi mujer y los de mis hijos. Son ms fciles de recordar, y ya no
puedo con tantas contraseas! Las guard en el disco duro para saber cul se corresponde
con cada cuenta. Y por cierto, Juanjo, qu queras decir con eso de cambiar las
contraseas en caso de peligro?

Como sabes, las contraseas tienen que cambiarse cada sesenta das o inmediatamente
despus de darse cuenta de que alguien ms puede saberlas. Al producirse ayer el robo,
deberas haber cambiado a primera hora de la maana las contraseas que te dio Help
Desk anoche por otras que slo t conozcas.

Bueno, en realidad..., no me robaron el porttil ayer, Juanjo. Fue hace dos semanas, pero
he estado tan ocupado con la nueva campaa de marketing que no he tenido tiempo ni de
llamar al Help Desk ni de cambiar mis contraseas... Debera haberlo hecho, verdad?

Pues s, Luis. Por cierto, por qu tardaste tanto en denunciar el robo?

Imaginaba que tendras mejores cosas que hacer, y no quera molestaros.

Bien, Luis, eso es todo. Espero que todo esto no tenga nada que ver con la noticia que he
ledo esta maana. Parece ser que la competencia haba ganado el contrato al mejorar
nuestra oferta en 10.000 euros. No crees que el robo del porttil podra tener algo que
ver???

Mrquez abandon la reunin mareado. Tena la sensacin de matar moscas a caonazos cuando
reclamaba un aumento del presupuesto de seguridad mientras la mayora del personal
simplemente despreciaba las mnimas condiciones de seguridad. Insistira en ello una vez ms en
el prximo comit de gestin, aunque su percepcin no era muy optimista.

En el camino de vuelta le dio tiempo para ver cmo el personal de contabilidad tena apuntados
sus datos de conexin (usuario y contrasea) en un post-it pegado a sus pantallas. Ms de lo
mismo. Era cada vez ms urgente requerir de la direccin general una actitud ms exigente con el
IE Business School
SECURITYXPERTS SI1-119


10
personal. Al llegar a su despacho, tema chequear el e-mail por si llegaban an malas noticias en
ese da aciago. Efectivamente, un ltimo boletn de urgencia (No, por favor, el viernes por la
tarde, no!) le informaba de otro fallo de seguridad en los servidores SQL, que gestionaban todas
las bases de datos corporativas, lo que le hizo retrotraerse a los peligros pasados. Todo esto vino
a confirmarle que el plcido da de campo que le haba prometido a su mujer para el domingo se
desvaneca en la densa bruma de la realidad cotidiana.

Al llegar a casa, no pudo evitar recordar la llamada del director comercial en la que le reclamaba
de muy malos modos, ciertamente la solucin para el problema del CRM y en la que le informaba
de las prdidas que se producan en la empresa cada da que no funcionaba el sistema. Y el dolor
segua ah, imperturbable al atracn de paracetamol que haba ingerido a lo largo del da.
Afortunadamente, era viernes y, aunque eso le supusiera quedarse sin fin de semana, tena dos
das sin previsin de llamadas inoportunas para tratar de encontrar la fuente del problema.

El sbado a media tarde, tras revisar una a una todas las configuraciones de sus servidores de
correo, descubri que el primer parche que instal era, en efecto, el culpable del fallo en el CRM.
Uf!, exclam Mrquez, parece claro que este parche interrumpe la aplicacin CRM; pero si lo
quito, lograr que funcione el CRM, aunque la empresa quedar expuesta al ataque de hackers.
Mientras debata internamente la mejor de las alternativas, empez a filtrar los trescientos
mensajes de correo que se amontonaban en su bandeja de entrada, con la vana esperanza de
poder encontrar un hueco para contestarlos a todos. Alguno de ellos le recordaba alguno de los
problemas que habra que afrontar con carcter de urgencia, como el de Microsoft Telnet. No
obstante, y por fortuna, tras revisar toda la documentacin sobre el primero, se dio cuenta de que
esa vulnerabilidad no era aplicable a sus sistemas, lo que le hizo exhalar un suspiro de alivio.

Decidi posponer la decisin sobre el CRM. Ahora mismo era ms urgente parchear el agujero de
los servidores SQL. Por ello, instal la ltima versin y comprob durante ms de tres horas que
todas las bases de datos funcionaban tras la instalacin del parche.

Al fin, una buena noticia. Todas las bases de datos funcionaban con normalidad. Esto le dio
nimos para afrontar el problema del CRM. Despus de todo, daba gusto poder trabajar sin la
presin de la prisa diaria; el dolor de cabeza haba desaparecido y se senta capaz de pensar con
claridad. Claro que todo esto suceda tras la oportuna bronca y las airadas (y justificadas)
acusaciones de adicto al trabajo por parte de su sufrida esposa.

Revis la ltima documentacin de Microsoft para comprobar en qu consista el error de
regresin que anunciaba el boletn del da anterior. Vio que el primer parche contena ficheros no
actualizados que podan ser la causa de las incompatibilidades con el sistema CRM; procedi a
instalar el parche que sustitua al primero y que reemplazaba parte de estos ficheros no
actualizados. Y, de repente, con esa mezcla de incertidumbre y estupor con la que Mrquez senta
su trabajo, el sistema CRM empez a funcionar! Al menos podra disfrutar de un domingo
tranquilo.

Sin embargo, poco dur su alegra. El lunes se desayun con el ltimo aviso de seguridad que
reclamaba la urgente instalacin de service packs
11
en los servidores de Windows 2000, que
interferan los parches de seguridad que haba instalado durante el fin de semana! Desesperado,
empez a reconsiderar la oferta que le haba hecho su suegro haca unos meses para trabajar en
su huerto.

Una vez ms, se vea desbordado por los acontecimientos. Su agenda marcaba una reunin con
la asesora legal para intentar pergear un plan de accin para la revisin de procesos que exiga
la Legislacin sobre Datos Personales. No dispona de tiempo material para compaginar su
responsabilidad sobre los sistemas de la compaa con el proceso de supervisin continua que
requiere una buena poltica de seguridad. Se dio cuenta de que necesitaba imperiosamente
soporte externo para poder disear una estrategia adecuada y disponer de una monitorizacin
continua de los flujos de informacin de la compaa.

IE Business School
SECURITYXPERTS SI1-119


11
SITUACIN DEL SECTOR

En la medida en que todas las empresas se ven obligadas a revisar sus estrategias para
adaptarse a las nuevas necesidades del e-business, aumenta la preocupacin por las
implicaciones sobre la seguridad que acompaan a las empresas abiertas a la Red. El desarrollo
y la gestin de la seguridad requieren un alto grado de especializacin tcnica y el tiempo
suficiente para garantizar una aproximacin acertada y disciplinada a esta materia. En el
vertiginoso mundo actual de las tecnologas de la informacin, ambas cosas son escasas o
inexistentes. En consecuencia, muchas empresas contemplan la externalizacin de toda o parte
de su infraestructura de seguridad como una de las posibles alternativas.

Para el ao 2005, consultoras como IDC estiman que el mercado de seguridad en Internet
alcanzar los 6.500 millones de euros de ingresos, frente a los 2.700 millones del ao 2002 (vase
el cuadro 4). El sentimiento de preocupacin es creciente (vase el cuadro 5), y el nmero de
incidentes denunciados (vase el cuadro 1), a pesar de ser muy inferior al real dadas las
naturales reservas de las empresas a hacer pblicos los ataques de seguridad que han sufrido,
no deja lugar a dudas sobre la nueva realidad.


CUADRO 4
Fuente: IDC. Mercado Europeo de Seguridad (2001)

0
1.000
2.000
3.000
4.000
5.000
6.000
7.000
2002 2003 2004 2005 2006
M
i
l
l
o
n
e
s

d
e

e
u
r
o
s
IE Business School
SECURITYXPERTS SI1-119


12

CUADRO 5
CLASIFICACIN DE ANGUSTIA EN SEGURIDAD (1-10)



Gartner Group, con una prediccin a mucho ms largo plazo, tambin augura un fuerte incremento
del gasto dedicado a proteger la informacin. En 2010, dice Gartner, las compaas y los
gobiernos gastarn diez veces ms en seguridad, puesto que destinarn un 4% de su
presupuesto, frente al 0,4% actual. En esa lnea tambin estima que en 2003 el 50% de las pymes
que emplean Internet para algo ms que el correo electrnico sufrir ataques con xito
procedentes de la Red, como pirateo de sitios web e introduccin de virus.

En 2001, slo el FBI report 525 millones de dlares por prdidas verificables debidas a brechas
de seguridad informtica (ms del doble que el ao anterior). De este modo, con cada vez ms
empresas conectadas a Internet y la proliferacin de sencillas herramientas de intrusin, tales
prdidas seguirn creciendo. Miedo? No parece as: muchos administradores de redes,
especialmente los del segmento de pymes, todava se resisten a implantar incluso el elemento de
seguridad ms bsico, los cortafuegos.

Durante mucho tiempo, la seguridad se haba abordado desde el simplista punto de vista de la
proteccin contra las prdidas de informacin, lo que impidi en gran medida que las empresas
cobraran verdadera conciencia del problema. El sentimiento generalizado supona que, al fin y al
cabo, los ataques son difciles cuando no imposibles de evitar, y, si no hay ataques o al menos
no se han detectado, por qu preocuparse? Por qu invertir en impedir que ocurra algo que
depende ms de la suerte que de la seguridad instalada?

El aumento de la preocupacin por la seguridad y las propias exigencias legales han hecho que
esta actitud pase a mejor vida. Cada vez ms empresas, especialmente las que ya se han
introducido en el comercio electrnico, se estn dando cuenta de que la seguridad constituye un
factor crtico de la estrategia de marketing. La preocupacin por la privacidad de la informacin se
ha vuelto casi universal. Son muchos los estudios que muestran que uno de los principales
inconvenientes para que las compras online se generalicen en la sociedad es la percepcin de
falta de seguridad por parte de los consumidores a la hora de realizar transacciones o suministrar
informacin financiera. En consecuencia, ms que protegerse de algunos hipotticos daos, la
seguridad representa hoy una visin global de la proteccin de la informacin almacenada y
transmitida por las redes. Acercarse a ella obliga a contemplar el problema desde distintas
perspectivas: tcnica, operativa y legal.


IE Business School
SECURITYXPERTS SI1-119


13
SECURITYXPERTS: LA EMPRESA

Cuando Joaqun Castillejo empezaba a entender las complejidades de la tecnologa de redes,
Espaa se encontraba an en la poca pre-Internet. En 1988, el contacto online entre los
interesados por la seguridad informtica se limitaba al intercambio de informacin en las
legendarias BBS
12
(Bulletin Board System), que fueron las precursoras de los actuales foros y
salones de chat. Una amplia red de BBS se agrupaba bajo el nombre de Fidonet, que fue la
equivalente amateur de Internet cuando sta no era accesible al usuario normal. Fido era una red
de BBS (nodos), creada en 1984 y formada por miles de aficionados a las comunicaciones online
de todo el mundo, que de forma gratuita permita acceder a diversos servicios; el ms conocido de
ellos eran las reas de mensajes (foros de debate). Castillejo era uno de los sysops
(administradores)
13
de una de estas BBS especializadas en temas de seguridad, lo que le sirvi
para conocer a los que ms tarde seran algunos de sus socios en SecurityXperts.

En la universidad, como becario del Centro de Clculo de la Universidad Politcnica de Madrid,
perfeccionaba sus conocimientos sobre seguridad informtica adquiridos en su etapa como
administrador de la BBS. La experiencia del Centro de Clculo le sirvi para contrastar sus
conocimientos en redes de mayor dimensin, y ya en 1990 exploraba Internet en su etapa pre-
Web, cuando la red de redes slo era terreno accesible para los amantes del terminal y el modo
consola, y estaba plagada por unos pocos coleccionistas de sitios FTP. Durante la carrera
organiz, en lnea con el espritu autodidacta, numerosas reuniones y conferencias dentro del
certamen Art Futura sobre seguridad informtica.

Se inauguraba una poca en la que, al menos en ciertos crculos, comenzaba a cobrar importancia
todo lo relacionado con la seguridad lgica. En 1993 y 1994 se le identificaba como experto en
programas, revistas y reportajes especficos. Como becario del Centro de Clculo se le recomend
para trabajar en Telefnica Sistemas como diseador de la primera red de Internet en Espaa,
especializado en seguridad de redes. En aquella poca se empezaban a lanzar los primeros
productos, tanto hardware como software especficos de seguridad, y Castillejo fue uno de los
primeros beta-testers de dichas herramientas.

En aquel primer lustro de los noventa, el control de la seguridad se basaba nicamente en
sistemas de usuario y contrasea, que podan sortearse sin excesivos requisitos; no era difcil
acceder a cualquier sistema UNIX por medio de usuarios y contraseas por defecto (guest/guest).
Es a partir de entonces cuando empiezan a aparecer las primeras soluciones de cortafuegos,
como el firewall toolkit (FWTK) de Marcus J. Ranum, en lo que fueron los primeros pasos de lo que
se convertira en una pujante industria.

Esta deficiente poltica continu siendo la tnica general en la segunda mitad de la dcada, lo que
produjo que la paulatina extensin de la actividad empresarial hacia el e-business no llevara
aparejada una adecuada extensin de la seguridad. Comenzaban a hacerse pblicas las primeras
noticias sobre fallos de seguridad e intromisiones en las empresas (el robo en Citibank
14
, el
gusano de Morris
15
, el crash del sistema AT&T
16
, etc.).

Hasta 1995, Castillejo se encarg del desarrollo e implantacin de soluciones de seguridad. Fue a
finales de ese ao cuando pas a Telefnica Transmisin de Datos, donde se responsabiliz,
entre otras funciones, de la supervisin de la seguridad de la red diseada en la fase anterior,
continuando su especializacin tcnica en la seguridad de redes IP. Posteriormente pasara a
formar parte del equipo de ingeniera de redes y servicios, colaborando como asesor especializado
en el lanzamiento de redes como Infova, Infova Plus, etc.

En 1999, su propia inquietud le llev a solicitar un cambio de enfoque. Pas as al Departamento
de Marketing, donde se responsabiliz del desarrollo de diversos servicios de seguridad de la
informacin. Fue en esta etapa cuando empez a detectar numerosas oportunidades en el
mercado de la seguridad en Espaa, donde se iniciaba una nueva etapa en la que no bastaba una
actitud defensiva hacia la seguridad, sino que se vislumbraba la necesidad de un paso a una
actitud proactiva de seguimiento continuo de ella. El espejo americano le devolvi una realidad en
IE Business School
SECURITYXPERTS SI1-119


14
la que, actualmente, el 20% de las empresas americanas externalizan su seguridad (vase el
cuadro 6).


CUADRO 6


Fuente: CG&EY. Intencin de externalizacin de servicios TIC (2001)



DESCRIPCIN DE LA OPORTUNIDAD DE NEGOCIO

Las organizaciones de hoy da se encuentran ante una gran presin:

por una parte, la necesidad de mejorar la rentabilidad y generar nuevas oportunidades de
negocio a travs del uso intensivo de las tecnologas de la informacin y las comunicaciones
(TIC), abrindose a empleados, clientes, socios o proveedores;

por otra parte, un contexto que ejerce una creciente presin por mejorar las cuentas de
resultados, lo que supone grandes exigencias en ahorro de costes y de concentracin en las
actividades clave de generacin de valor.

Las grandes oportunidades de negocio vienen generalmente acompaadas de riesgos
significativos similares. Aprovechar exitosamente estas oportunidades significa tambin dar
respuesta a los crecientes retos alrededor de la proteccin de sus activos de informacin:

aumento de la complejidad de los sistemas y de los mecanismos de seguridad de la
informacin;

aumento del nmero y sofisticacin de los ataques;

creciente sensibilizacin del consumidor final con respecto a la privacidad de la informacin,
lo que est generando un entorno regulatorio exigente con las organizaciones en relacin con
la privacidad de la informacin sobre los individuos (por ejemplo, LOPD).
0% 10% 20% 30% 40% 50% 60%
Infraestructuras de las IT
Aplicaciones de las IT
Seguridad de las IT
Auditoria interna
Hospedaje de ISP/Webs
Otros servicios y funciones
Ahora Considerando en 12 meses
IE Business School
SECURITYXPERTS SI1-119


15

Sin embargo, la gestin del riesgo de los sistemas de informacin presenta grandes dificultades
para las organizaciones:

altas inversiones en productos y servicios, frente a unos presupuestos de seguridad todava
ajustados, aunque crecientes (entre un 5% y un 10% sobre el total de gastos en TIC (vanse
los cuadros 6, 7, 8 y 9);

especialmente, unos costes de mano de obra prohibitivos para mantener internamente los
niveles de seguridad; conocimientos internos escasos; recursos especializados difciles de
encontrar, con altos niveles de rotacin y exigentes necesidades de formacin continua.

Esto est haciendo que progresivamente las organizaciones recurran a la subcontratacin de
proveedores externos especializados (>22% en 2001). En consecuencia, el mercado de servicios
de seguridad informtica est experimentando un rpido crecimiento (27% CAGR 01-028), y
pasar de los 220 millones de euros en 2002 a ms de 650 para 2006 (vase el cuadro 7).


CUADRO 7
SEGURIDAD DE LA INFORMACIN EN ESPAA




Fuente: Investigacin de mercado SecurityXperts (enero de 2002)
0
100
200
300
400
500
600
700
800
2001 2002 2003 2004 2005 2006
M
i
l
l
o
n
e
s

d
e

e
u
r
o
s
Software Hardware Servicios
IE Business School
SECURITYXPERTS SI1-119


16

CUADRO 8
SERVICIOS DE SEGURIDAD EN ESPAA

0
10
20
30
40
50
60
70
80
90
100
2001 2002 2003 2004 2005 2006
M
i
l
l
o
n
e
s

d
e

e
u
r
o
s
Consultora Implementacin
Gestin y mantenimiento Formacin y educacin

Fuente: Investigacin de mercado SecurityXperts (enero de 2002)



CUADRO 9
EXTERNALIZACIN DE LA GESTIN DEL FIREWALL (ESPAA)

12,67%
17,00%
21,33%
0
2.000
4.000
6.000
8.000
10.000
12.000
14.000
16.000
2002 2003 2004


Fuente: Investigacin de mercado SecurityXperts (enero de 2002)
IE Business School
SECURITYXPERTS SI1-119


17
CONCLUSIN

Est justificada la creciente preocupacin por la seguridad? Nos encontramos ante una nueva
va de externalizacin de servicios? Es el momento de mercado el adecuado para
SecurityXperts? Hasta qu punto las empresas consideran core business la gestin interna de la
seguridad? Qu importancia tienen los aspectos no tecnolgicos en la seguridad de las
organizaciones? Qu supone la seguridad en la empresa desde el punto de vista del retorno de
la inversin? (vase el cuadro 8).

IE Business School
SECURITYXPERTS SI1-119


18
ANEXO 1
% QUE LOS HA SUFRIDO






ANEXO 2
GASTO MUNDIAL




IE Business School
SECURITYXPERTS SI1-119


19

ANEXO 3
AMENAZAS DE LA WEB


Fuente: www.anonymizer.com


ANEXO 4
DE DNDE PROVIENEN LOS ATAQUES





IE Business School
SECURITYXPERTS SI1-119


20
ANEXO 5