La empresa Deloitte ha publicado un interesante informe [PDF] de 42 páginas titulado "Informe Anual de Seguridad en Instituciones Financieras", que, a pesar del tamaño en páginas, es ameno y parco en texto.
Está lleno de información interesante; por ejemplo, en la página 28, se remarcan y recuadran las siguientes amenazas: pérdida de información sobre clientes y privacidad, phising/pharming, uso inapropiado de datos y ciberterrorismo. Además, se añaden otras amenazas que son muy evidentes para los usuarios de informática, como los ataques de virus/gusanos, o el efecto de de redes zombie...
En la página 30 del informe se nos revela algo que también se intuye con facilidad: "La principal fuente de ataques externos hacia las entidades financieras son virus y gusanos, correo basura y programas de spyware". Creo que no es necesario que aparezca en este informe, para que seamos conscientes de que esta afirmación es una realidad casi omnipresente. En relación con el phising, el informe también destaca algo muy preocupante. Sigue produciéndose con la misma frecuencia que en años anteriores. Otro dato que aparece en la página 30, es que las conductas inapropiadas de los empleados, favorecen un 11% de los ataques externos a las entidades, algo que no es poco y que no deja de llamar la atención, si tenemos en cuenta el tipo de información que se maneja.
En la página 31 se nos señala que la principal fuente de ataques internos son los virus y los gusanos. Asimismo, se destaca que las pérdidas de privacidad de la información, así como las fugas de activos de información, han experimentado un ascenso en los últimos tiempos, algo que no deja de ser curioso.
Entre las medidas de seguridad utilizadas por los bancos, que se muestran de forma gráfica en la página 33, podemos ver que casi todos ellos usan antivirus y cortafuegos y que un elevado porcentaje añaden además, sistemas de filtrado de spam o de contenidos web y sistemas de identificación de intrusos. Sin embargo, menos del 50% de las empresas financieras, usan sistemas de gestión de vulnerabilidades, sistemas anti phising, de detección o prevención del fraude, herramientas de detección de amenazas, sistemas de provisionamiento de usuarios o biometría.
No deja de ser curioso, que siendo el phising/pharming una de las amenazas más importantes para las entidades y para los fondos de los usuarios y que se ha materializado en el 2008 con la intensidad que en años anteriores, menos de un 40% de las entidades estudiadas disponen de medios para su detección o prevención.
De lo anterior saco tres conclusiones:
a) Gran parte de estos problemas son fruto del monopolio tecnológico que nos invade, tanto como fuente de problemas externos, como de problemas internos. Está claro que la protección genética no existe en el mercado informático mundial y cuando aparece una vulnerabilidad, o exploit, en la plataforma mayoritaria, son vulnerables el 99% de los ordenadores de todo el mundo. Por otra parte, la inseguridad de los sistemas de los ciudadanos tiene un peso importante en la inseguridad global, lo que es complicado de solventar en el momento actual.
b) Todavía hay que avanzar mucho para lograr unos niveles adecuados de seguridad, para ello hace falta inversión y especialistas.
c) Muchas de las necesidades de seguridad que se muestran como necesarias, o incluso indispensables, se podrían desplegar de forma eficaz y económica mediante el uso de software libre. Siempre será mejor usar software libre, que no poner nada, o esperar a tener los fondos necesarios para afrontar los problemas de seguridad mediante sistemas privativos, que se han de desplegar con elevado coste, en miles de sistemas. El software libre permite elevar los mínimos de las políticas de seguridad sin necesidad de gastarse grandes cantidades de dinero en el despliegue de las soluciones.
En la página 36 encontramos algo que nos puede dar una pista sobre el motivo por el que todavía están así de mal las cosas:
"Obstáculos a la seguridad. La escasez de recursos y de profesionales especializados en seguridad son los principales impedimentos a la hora de desarrollar una estrategia eficiente de seguridad. En este sentido, la principal causa por la que fallan los proyectos de seguridad es la carencia de recursos, y el error humano es el motivo principal de los fallos de los sistemas."
Yo añadiría además, que el monopolio tecnológico, la actitud de los usuarios frente a la seguridad y las decisiones de las direcciones tecnológicas de las corporaciones, tienen mucho que ver con el problema.
Como he dicho, es un interesante informe, del que se pueden sacar muchas conclusiones útiles.