Cortafuegos y tiroteos (II de II)

Los negocios y el delito informático. Una nueva generación de empresas de seguridad en el internet está estimulando a las empresas a luchar contra los piratas de informática 

John Strand, un experto en técnicas de defensa activa del Instituto SANS, una empresa de capacitación de seguridad informática, dice que la meta de todas estas tecnologías es hacer subir los costos en que incurren los piratas con la esperanza de que esto los disuada. No es para crear caos en los servidores de los enemigos. "Negociamos en poison no venom 1 [en tóxicos, no en veneno]", dice él.

Pero algunos investigadores de seguridad arguyen que las compañías deberían tener mayor latitud legal para explorar esos servidores. Stewart Baker, un exfuncionario del Departamento de Seguridad Nacional que ahora trabaja para Steptoe & Johnson, un bufete legal, piensa que se les debe permitir a las empresas "volver a investigar" en algunas situaciones cuidadosamente prescritas. "Hay diferencia entre ser un vigilante y un investigador privado", insiste él. Sugiere también que los gobiernos deben considerar otorgar licencias a expertos para realizar investigaciones conforme a normas estrictas, en lugar de depender solo de sus propios detectives cibernéticos.

Otras voces en la industria alertan que el permitirles a las compañías privadas piratear los servidores de otros, aun para proteger su propiedad, podría resultar en problemas. "Es una estrategia tonta subir la apuesta cuando se desconoce qué se está atacando", dice Jeffrey Carr de Taia Global, una consultora de seguridad. Señala Carr que los piratas que son provocados podrían devolver el golpe aún más fuertemente, provocando una escalada de las hostilidades.

Hasta algunas de las técnicas empleadas por compañías tales como CrowdStrike podrían ocasionarles problemas a las empresas. Por ejemplo, podría parecer astuto para una compañía tratar de hacer que los piratas perdieran dinero, colocando cuentas ficticias en algún lugar de su sistema que hiciera parecer la salud de la empresa peor de lo que en realidad es. Pero si en lugar de utilizar esa desinformación para hacer operaciones imprudentes, los piratas filtran las cifras a los mercados financieros, la compañía podría encontrarse en dificultades con los reguladores.

A pesar de esos riesgos, que pueden ser minimizados mediante coordinación estrecha entre las empresas de TI y los equipos legales, los expertos en seguridad predicen que la popularidad de las técnicas de defensa activa crecerá. Una razón es que los negocios están haciendo uso cada vez más frecuente de la computación en nube y los dispositivos móviles tales como los teléfonos inteligentes, que dificultan aún más el establecer perímetros defensivos alrededor de sus sistemas de TI. "Si usted no sabe bien donde empieza y termina su castillo, no puede construir un muro y fosa a su alrededor", explica Nils Puhlmann, quien fuera jefe de seguridad de Zynga, una empresa de juegos sociales, y fundador de Cloud Security Alliance, un grupo de la industria.

Él tiene razón. Pero no es solo la mentalidad de los equipos tecnológicos la que tiene que cambiar. Actualmente muchos ejecutivos asumen que lo que se encuentra detrás del cortafuegos corporativo está bien seguro y lo que está fuera no lo está. Pero ahora que los criminales cibernéticos están escalando hasta los muros más altos con impunidad, las personas de negocios deben despojarse de esta visión binaria de la seguridad. No importan dónde se encuentren los datos, necesitarán protección más fuerte e inteligente para evitar las balas de los piratas digitales.

Los expertos en seguridad predicen que la popularidad de las técnicas de defensa activa crecerá. Una razón es que los negocios están haciendo uso cada vez más frecuente de la computación en nube y los dispositivos móviles que dificultan aún más el establecer perímetros defensivos alrededor de sus sistemas de TI.

1 Poison es absorbido o ingerido. Venom, siempre es ingerido.

© 2013 The Economist Newspaper Limited. All rights reserved.

De The Economist, traducido por Diario Libre y publicado bajo licencia. El artículo original en inglés puede ser encontrado en www.economist.com