EnTuBuzon.com

El embate casi constante de virus, gusanos y ataques informáticos está motivando a la industria a incorporar mejores medidas de seguridad en sus productos durante la etapa de desarrollo. Algunos especialistas sostienen que si las crecientes inquietudes de los usuarios sobre el tema no son tratadas adecuadamente, los proveedores de aplicaciones podrían ser legalmente responsables.

Durante los últimos dos meses, distintas versiones del gusano "Código Rojo" que infecta al Internet Information Server (IIS) de Microsoft han puesto en jaque a muchas empresas. Este gusano se transmite a través de Internet a los servidores que utilizan IIS y provoca un ataque coordinado por saturación de servicio a un sitio determinado de antemano. Microsoft ha puesto a disposición desde junio un parche para "tapar el agujero" del IIS.

Igualmente dañino resultó ser el "SirCam", que asomó su cabeza el mes pasado. Este gusano se instala en la carpeta de sistema, desde donde se envía a sí mismo a todos los contactos presentes en la Libreta de direcciones, escondido en algún documento genuino escogido al azar.

De acuerdo con la firma Computer Economics, las pérdidas ocasionadas por el "Código Rojo" y sus variantes llegarían a 2000 millones de dólares, teniendo en cuenta los costos de reparación y lucro cesante. Pero la ausencia de responsables por las brechas de seguridad está cansando a los usuarios.

"Lo que los fabricantes de software han tratado de hacer es cargar la responsabilidad sobre el consumidor, sin aceptar su parte", dice Charles Dulin, ex empleado de Internet Privacy Solutions, una consultora de Hawthorne (Nueva York).

Tanto los usuarios como los fabricantes deben reconsiderar su papel en el mantenimiento de un adecuado nivel de seguridad para sus aplicaciones, dice Graham Cluely, consultor para Sophos Anti-Virus. La Internet desempeña un doble papel en este problema: es el mecanismo de difusión tanto de virus como de sus vacunas, lo que ha llevado a algunos a bajar la guardia.

"Me pregunto si la Internet no habrá llevado a los programadores a descuidar el control de calidad", dice Cluely. "Ahora es mucho más fácil distribuir correcciones. Para reducir gastos, los fabricantes pueden verse tentados a decir: 'Bueno, el programa parece funcionar; tal vez no sea necesario invertir más tiempo'".

Como resultado de ser uno de los principales blancos de la ira de los hackers, Microsoft es una de las empresas motivadas para tomar medidas. La gigante del software intenta mantener bajo control los puntos vulnerables de sus aplicaciones mediante el programa Windows Update y el Outlook E-mail Security Update, disponible desde junio del 2000.

De acuerdo con Steve Lipner, gerente del centro de respuestas de seguridad de Microsoft, las actualizaciones a través de Outlook son un contraataque sistemático a los virus que se esparcen por correo electrónico. Posee características que impiden abrir archivos ejecutables. Lipner agrega que Microsoft también utiliza tarjetas inteligentes y el modelo Kerberos para mayor seguridad.

Otros fabricantes también se han visto llevados por las circunstancias a tomar medidas de prevención contra los ataques informáticos. La firma @stake evaluaba la aplicación de uno de sus clientes cuando detectó un problema de implementación en el iPlanet Web Server Enterprise Edition versiones 4.0 y 4.1, comenta Andy Schmidt, director regional de @stake en Nueva Inglaterra.

La falla podía permitir a un usuario remoto obtener datos de la memoria temporal del servidor. Dichos datos consisten en fragmentos de solicitudes y respuestas de HTTP, entre los que se encuentran identificadores de sesión, miguitas, formularios, nombres de usuario y contraseñas.

Schmidt dice que el ejemplo sirve para ilustrar la importancia de que los programadores de aplicaciones comerciales prevean posibles usos dañinos de sus productos.

"Siempre se piensa en lo que uno quiere que la aplicación haga, pero nunca en lo que uno no quiere que haga", dice Schmidt.

En su centro de educación sobre seguridad en Internet, @stake ofrece una clase de "buenas prácticas" para ayudar a los programadores a crear aplicaciones más seguras.

Por su parte, iPlanet rectificó el problema tres meses atrás. Sanjay Sarathy, director de comercialización de productos de iPlanet, sostiene que "nos tomamos las cuestiones de diseño de nuestros productos muy en serio".

Más allá del diseño, Schmidt dice que existe una relación entre el uso que se de a una aplicación y el nivel de seguridad que necesita.

Para alcanzar ese equilibrio, Pacific Sunwear una cadena de indumentaria de 600 millones de dólares, evita utilizar productos de Microsoft en aplicaciones críticas debido a las constantes amenazas de seguridad, dice Ron Ehlers, vicepresidente de sistemas de información de la firma.

En su lugar, Pacific Sunwear maneja su negocio en servidores IBM AS/400 y deja los servidores Windows NT y 2000 para compartir archivos. La empresa no permite el acceso a la información del sistema AS/400 desde computadoras que usen Windows. "No utilizamos el programa Outlook de Microsoft por su vulnerabilidad para difundir virus", dice Ehlers. La empresa ha adoptado el Lotus Notes de IBM para correo electrónico y no se ha visto severamente afectado por los recientes gusanos.

"La industria ha adoptado la posición de que cada uno se arregle por su cuenta para corregir los errores cuando estos aparezcan. Necesitamos que los fabricantes presten más atención sobre este tema", dice.

También debería convocar a terceros expertos en seguridad.

La firma webMethods trabaja con expertos en seguridad que atacan los sistemas de la empresa en busca de puntos vulnerables. Al igual que otras empresas, también ofrece una guía de prácticas recomendadas a sus clientes.

Jeremy Epstein, director de seguridad de productos de webMethods, anticipa un futuro en que la responsabilidad no recaerá únicamente sobre los hombros de las empresas. Los clientes que no protejan y mantengan adecuadamente sus redes serán responsables ante sus socios y clientes por difundir problemas de seguridad, dice Epstein.

Los usuarios deberían considerar tener seguro de responsabilidad legal para protegerse, dice Al Varrachio, asistente de vicepresidencia de Kaye Tech Risk Solutions, una división especializada en tecnología del Kaye Group.

Quienes programan las rutinas de seguridad recibirán la mayor parte de las críticas en el corto plazo, pero las empresas que no asuman la responsabilidad de su propia seguridad serán demandadas por negligencia.

La firma Wurzler Underwriting Managers aumenta sus primas entre un 5 y un 15 por ciento si los administradores sistemas Windows NT de un cliente no están suficientemente capacitados. Quienes cuentan con administradores expertos reciben un descuento del 20 por ciento.

Los usuarios que "no hacen lo que deben, o no hacen suficiente por proteger sus redes y reconocer un posible virus pueden correr con la responsabilidad", dice Varrachio. Pero la demanda de esta clase de seguros no aumentará "hasta que la gente no se haya quemado en serio", dice.