Entrevista a Carlos Torres Bravo, experto en temas de E-Government
Ante el reciente “ataque” de Anonymus al sistema de correos electrónicos del Ministerio del Interior, dialogamos con experto en temas de E-Government y gerente general de Perú Media, Carlos Torres Bravo, quien señaló que ni las empresas ni las entidades públicas deben bajar la guardia en materia de seguridad pues el Perú es el país donde más “ataques cibernéticos” se han producido en los últimos años.
En tal sentido, recomienda que los sistemas de seguridad digital sean implementados en el sector privado y público como parte de una cultura preventiva más que reactiva, de modo que se eviten en el futuro robos de información que puedan afectar el bienestar de sus clientes o de los ciudadanos en general.
¿De qué manera las empresas pueden asegurar bien sus sistemas de correos?
Hay dispositivos que “encriptan” o aseguran toda la información que esté en la base de datos, en el servidor de correos. Hay otro sistema más sencillo denominado “correo seguro” que permite enviar correos firmados y encriptados a otro destinatario, pero siempre y cuando ambos tengan un certificado de correo seguro. En otros casos se pueden enviar correos firmados sin necesidad que el receptor esté certificado.
¿Y cómo podemos saber si el destinatario lo tiene?
Generalmente se intercambian los códigos cuando se envían correos, es un pequeño archivo adjunto que es la clave pública del emisor que aparece al final de los correos que se llama SMIME. Lo bueno es que es compatible con Outlook, Eudora y otros sistemas de correos. El certificado permite autenticar al emisor del correo de modo que al recibirlo el destinatario pueda estar 100% seguro de que es la persona correcta y no una suplantación. Sirve para evitar fraudes. Por ejemplo, es muy útil cuando los bancos envían correos a sus clientes. Las autoridades solo emiten certificados para aquellos emisores (empresas) debidamente acreditadas y con dominio propio.
¿Qué otra función tiene el certificado?
Asegura también la integridad de la información de modo que los correos no hayan sido modificados en el camino o en la Nube. Y además si alguien envía un correo firmado se hace responsable de ello. Por eso puede servir perfectamente para el envío de documentos formales como memorándum de permisos de vacaciones, también para la firma de contratos, para hacer transacciones de todo tipo y actos administrativos en general. La ventaja es que si alguien “hakeara” el servidor de correo de la empresa o entidad, no podrían ver los mensajes ya que estarían encriptados por el certificado. En el caso del Ministerio del Interior, el servidor fue hakeado y se pudo leer los mensajes porque no estaban protegidos.
¿De qué manera se pueden obtener estos certificados en el Perú y cuál es la tendencia de precios?
Hay diversas empresas que ofrecemos este servicio que a su vez tenemos alianzas con la grandes certificadoras internacionales. Los precios en el mercado oscilan entre 30 y 35 dólares al año por usuario, con lo cual se certifica a todos los integrantes de la organización o solo a un grupo de ellos. En el caso del certificado digital se obtiene una clave pública y otra privada. La pública está disponible y la intercambiamos al enviar correos.
¿Solo las empresas pueden obtener este certificado o también los consultores o profesionales independientes?
Sí puede obtener un certificado siempre y cuando sean propietarios de un dominio en Internet y siempre que pueda demostrar que éste le pertenece. El usuario puede proteger fácilmente sus correos usando una llave instalada en su computadora, o puede emplear un dispositivo criptográfico que es como un USB en el cual se almacena su firma. De ese modo, el funcionario puede llevarse su firma a la casa de ser necesario para poder encriptar sus correos desde donde se encuentre. Y el sistema está tan bien hecho que costaría 700 mil años en lograr descifrar la clave de seguridad o firma digital.
PROTECCIÓN
Las empresas peruanas invierten millones en pólizas de seguros para proteger sus activos pero, ¿Qué tanto invierten ellas en asegurar su información digital?
Todavía no es mucho, sin embargo cada vez más empresas se están dando cuenta que proteger su información es algo crítico. La seguridad digital es tan importante como tener un cerco eléctrico o un sistema de cámaras de vigilancia o el resguardo policial. Nadie está libre de ser víctima de un fraude digital.
¿Qué lección debe dejar a las empresas y entidades públicas peruanas el ‘hackeo’ al sistema de correos del Ministerio del Interior?
Las empresas y el Estado deben tomarse en serio la seguridad de la información digital. Es un tema básico que se debe tener en cuenta en el 2014. Hay una ley de firmas digitales que es un mandato en el sentido que las entidades públicas deben proteger la información privada de los ciudadanos. El problema es que la gente recién empieza a preocuparse por implementar sistemas de seguridad luego que ocurre el robo. Los hackers pueden vulnerar todos los datos de una empresa si es que no se implementan medidas de seguridad. Pueden obtener información confidencial de tipo financiera. Pueden usar la información para hacer secuestros al paso, extorsiones de todo tipo. Hay que prevenir más que reaccionar en materia de seguridad digital. El robo de información digital está de moda, pero aunque te la roben, hay sistemas que te permiten evitar que el ladrón pueda leerla. Si protegemos bien la información vamos a dormir más tranquilos.
¿Cuáles son los países que tienen mejores prácticas en materia de seguridad?
Brasil está llevando la delantera en ponerse de acuerdo sobre estándares de seguridad digital. Las empresas brasileñas compiten a nivel internacional y saben que tienen que proteger su información. La presidenta de Brasil se lo está tomando muy en serio. Perú no debería quedarse atrás.
Siempre hay empresas contratando hackers para traerse abajo a la competencia. ¿Qué tan vulnerables son las empresas peruanas en ese sentido?
Claro. De hecho deben estar mirando a la empresa estatal dónde está explorando petróleo o cuáles son los planos de tal o cual empresa. Hace poco hubo un “malware” que infectaba computadoras y robaba archivos, que eran trasladados a China y se descubrió que era para una empresa de infraestructura china para saber qué planes tiene la competencia y ofrecer algo mejor. Uno de los países más afectados fue Perú. Y esto ocurre porque aquí se está invirtiendo mucho en infraestructura. En el 2011 un estudio reveló que Perú era el país más vulnerado con 69 páginas clonadas. Obviamente esto ha aumentado pero la data sirve de referencia.
En tiempos de fiestas se usa mucho el comercio electrónico ¿Qué medidas deben adoptar las empresas para brindarles seguridad a sus usuarios de sistemas de este tipo?
Lo principal es tener un mercado seguro para que garantizar la protección de claves, las empresas envían parches o notificaciones de seguridad para que los sistemas operativos sean protegidos. Por su parte, la mayoría de empresas retail protegen sus servidores pero no pueden proteger a sus usuarios. Para que el usuario esté protegido debe usar un computador seguro, si van a hacer compras en línea tienen que hacerlo desde casa u oficina. No es recomendable hacerlo desde una cabina de Internet ni tampoco utilizando el WiFi de un café o desde una red pública municipal o de un lugar desconocido. Hay que evitar la red pública para hacer cualquier tipo de transacciones. También hay que desconfiar de las promociones u ofertas que se envían vía correo electrónico. Los usuarios de computadoras deben saber que hoy la mayoría de laptop por ejemplo incluyen programas de fábrica que te permiten bloquear el contenido, la información en caso de robos e incluso se puede borrar o recuperar archivos de textos y fotos vía Internet para lo cual deben activar previamente esa herramienta.
biznews.pe