Las empresas gastan (o invierten) importantísimas sumas de dinero en proteger sus sistemas del ataque de virus y demás alimañas. Sin embargo, lograr una seguridad efectiva es una tarea casi imposible. O al menos, eso es lo que opina el experto en seguridad de Cisco, John Stewart.
Un viernes 13 de 1989 se produjo el primer ataque informático de la historia. Una revista regalaba un disquete promocional, que estaba infectado con un virus que logró propagarse a varias empresas y usuarios particulares. Ese fue el disparo de largada de una “carrera armamentística” entre virus y antivirus, hackers y firewalls, “buenos” y “malos”, que esta lejos de terminar.
John Stewart , en el marco de la conferencia AusCERT 2008, dejo bien en claro que la industria del “malware” se esta moviendo mucho mas rápido que el software encargado de mantener los datos a salvo. Como resultado, las empresas (y los usuarios particulares) mal pueden proteger su información.
"Si gasto mi dinero en antivirus y parches, y aún así sigo teniendo ordenadores infectados, que me hacen gastar mas dinero para limpiarlos y cargar el software otra vez; si debo gastar aún más para recuperar la información perdida, es evidente que todo ese gasto es un desperdicio”. Así de contundente han sido las palabras de Stewart.
Y lo más grave es que no se trata de la opinión de un improvisado. Asegura que “las infecciones se han vuelto tan comunes, que la mayoría de las empresas han aprendido a vivir con ellas.” Incluso, "hay empresas que creen que en realidad las infecciones son parte del costo de hacer negocios. Eso es peligroso", agrego el experto.
Una forma de lograr cierta seguridad, siempre según la opinión de Stewart, es utilizar “listas blancas”, en las que solo figuran aquellos remitentes considerados seguros. Este enfoque, opuesto a las “listas negras” (en las que figuran los remitentes considerados “peligrosos) funciona mejor, pero tiene la desventaja de que un remitente autentico pero que no figure en la lista se verá imposibilitado de contactarnos.
Por supuesto, las empresas de seguridad no están en absoluto de acuerdo con este enfoque (como es obvio). Por ejemplo, el director regional de McAfee para Australia y Nueva Zelanda, Struthers Gavin, afirma que si bien la instalación de antivirus y parches de actualización no son una solución perfecta, ciertamente no son un desperdicio de dinero.
Chris Thomas, un especialista en tecnología perteneciente a CA Internet Security coincide en parte con Stewart, reconociendo que por sí solo un antivirus no proporciona suficiente protección.
Realmente, no estoy en condiciones de asegurar que la visión de John Stewart sea un fiel reflejo de la realidad. En lo personal, mis ordenadores están protegidos por un firewall y un antivirus gratuito, y nunca tuve problemas. Por supuesto, en el caso de una empresa seguramente la información que tiene almacenada en sus ordenadores sea mucho más valiosa (para un atacante), y no sea tan fácil mantenerla a salvo.
De estar Stewart en lo correcto, la industria (los fabricantes de sistemas operativos, con Microsoft a la cabeza) deberían considerar seriamente hacer sus productos más seguros. No mediante el agregado de una aplicación que “emparche” su diseño, sino reescribiendo su core para hacerlo seguro de verdad.