Securmatica 2000

13:08 28/04/00

CRÍTICAS AL COMERCIO ELECTRÓNICO Y AL NEGOCIO DE LA SEGURIDAD, EN EL XI CONGRESO SECURMÁTICA

Mercè Molist
Los recientes ataques de Denegación de Servicio (DoS) contra Yahoo! y otros sitios punteros de la red fueron la sombra de Securmática 2000, el XI Congreso de Seguridad en Tecnologías de Información y Comunicaciones, que reunió la semana pasada a 250 profesionales en Madrid. Críticas a la nueva Ley de Protección de Datos (LOPD), a las "chapuzas" en tiendas electrónicas y al nebuloso pero pujante negocio de la seguridad centraron las conferencias donde, al contrario de la Linux-Expo, que se celebraba también en la ciudad, hubo pocas camisetas y mucha corbata.

Cuentan que una empresa contrató a un joven para que pasase su tiempo ante una pantalla de control de los sistemas informáticos, con interfaz gráfica. Hasta que, un día, todo falló y saltaron las luces de alarma, pero el chico seguía sentado en actitud relajada. Era daltónico. La historia ilustra el estado del arte que reflejó el congreso, organizado por la revista "SIC. Seguridad en Informática y Comunicaciones", donde el consultor José Antonio Mañas se quejaba: "Hay muchas chapuzas que están costando la imagen al sector". Manel Medina, director del esCERT, ratificó: "Todo el mundo quiere entrar en Internet rápidamente y lo hacen sin las medidas de seguridad adecuadas". Más autocrítico fue el aplaudido catedrático José Pastor Franco: "Estamos perdiendo el norte. Hay una jugla de productos de seguridad y todos dicen ser líderes. Además, parece que no confiamos en nada, queremos crear una seguridad absoluta que es imposible. Debilidades las habrá siempre".

Debilidades hallaron los asistentes en la nueva Ley de Protección de Datos donde, según el representante de Centrisa, José M. Gonzalez Zubieta, no queda claro quién debe auditar a las empresas o cómo probar robos de datos: "Las medidas mínimas del reglamento se quedan cortas. Me preocupan los ayuntamientos o farmacias, con ficheros de nivel alto, que ni se han enterado de la ley". Asimismo, el comercio electrónico mereció un toque de alerta: "El 90% va con SSL (protocolo para comunicaciones seguras), cuando no sirve para nada; las tiendas con tarjeta tienen unas tasas de fraude del 70% y al marco legal le falta mucho mili", explicó Mañas, que concluía por todos: "El reto es que la seguridad sea fácil de usar y ligera. Que no debas ser un ingeniero para ponerla".

La intervención que congregó más atención fue la del capitán de la Guardia Civil Anselmo del Moral, quien recordó: "Podemos tener sistemas estupendos, pero lo más vulnerable es el empleado desleal", y se manifestó en contra de que se lea el correo electrónico de los trabajadores: "Es una violación clarísima del secreto de las comunicaciones, a no ser que se indique en el contrato". Del Moral pidió que las grandes compañías faciliten a la policía datos de sus clientes, sin mandato judicial, y que se pueda identificar a los usuarios de teléfonos móviles con tarjetas prepago.

Los enemigos, llamados 'hackers', 'chicos malos' o no nombrados más que a través de sus acciones, como los repetidamente citados asaltos de DoS contra Yahoo!, estuvieron presentes en la mayoría de conferencias, con un consultor de Computer Associates, Arturo Ruta, afirmando que "los ataques se hacen con personal de calificación técnica cada vez menor", o un Jorge Dávila, presidente de la Asociación Española de Criptología y Seguridad de la Información, recordando que "el 'hacking' no va a desaparecer, por mucha persecución. No son adolescentes. En muchos casos han sido contratados para el espionaje industrial o las guerras de la información. Cortar cabezas no vale para dar seguridad a la red".

Gustavo San Felipe, directivo de Innosec, se encargó de criticar a los proveedores de servicios Internet, que "siguen fallando en lo mismo, lo más básico. La seguridad es algo más que cortafuegos", y explicó que "en Estados Unidos, algunos usuarios preguntan a los proveedores por su seguridad. Aquí, va a ser uno de los requisitos básicos en el futuro". Varapalo se llevaron también las compañías de telefonía móvil, a las que el profesor de Deusto Javier Areitio recomendó cambiar los algoritmos de cifrado y actualizar programas: "El GSM no es seguro. Hay un fraude alarmante". Entre tan apocalípticos discursos, se reforzaba en los pasillos del congreso la sensación de que empieza, para el negocio de la seguridad, una subida dura pero imparable.