Internet no es un medio seguro ni íntimo: piratas informáticos, fraudes con tarjetas de crédito, agujeros en los sistemas de seguridad y otros muchos horrores que nos asaltan desde grandes titulares en la prensa. ¿En qué medida el usuario corriente se ve amenazado cuando navega desde su casa utilizando Netscape Communicator o Internet Explorer? En las páginas de "La más completa guía de navegación segura" se explica detalladamente cuáles son los pasos a seguir para que el uso de los navegadores no se convierta nunca en una pesadilla y sea siempre una experiencia placentera y amena.

De forma similar, en el entorno empresarial se tienen serias dudas sobre la idoneidad de implantar, hoy por hoy, un sistema que puede representar un serio riesgo para la empresa. Sin embargo, si se hacen las cosas bien, el riesgo queda tan minimizado que podemos afrontar con altísima seguridad la apertura hacia el mundo de Internet.

Si Vd. no tiene el tiempo o los conocimientos necesarios para investigar por su cuenta las múltiples ofertas que existen en el mercado, nos permitimos aconsejarle un conjunto de piezas de software para securizar convenientemente los distintos entornos de su empresa y que, quizás, no sean los mejores ni los más baratos (por desgracia, no podemos conocer y probar todos los sistemas existentes) pero en cualquier caso son unas excelentes soluciones de seguridad que le permitirán dormir más tranquilo.

Y que conste, no cobramos comisión de ninguna empresa recomendada.

Selección de soluciones de seguridad

Alertas de seguridad inmediatas enviadas gratuitamente a teléfonos móviles por gentileza de Hispasec (excelente sitio en castellano sobre noticias sobre seguridad, virus, criptografía, etc.)

Alta disponibilidad Legato Systems
Soluciones software de alta disponibilidad para sistemas de información empresariales que funcionan en entornos heterogéneos.

Análisis de logs Secure It
Estos ficheros proporcionan abundante información sobre el uso de la red (webs visitados, costes de comunicación, intentos de intrusión, etc.)

Anti hurto Portal especializado
Sitio donde puedes encontrar multitud de consejos útiles, enlaces a empresas de seguridad, alarmas, trucos, etc. orientado a los comercios abiertos al público.

Antivirus Esafe Technologies
Analiza el tráfico que llega de Internet y elimina los posibles virus, applets hostiles Java, controles Active/X, etc.

Auditoría ISS - Internet Security Systems
Protección contra los riesgos de intrusión, análisis de las debilidades de todos los equipos conectados a las redes informáticas, detección en tiempo real de las amenazas de seguridad en los entornos de red.

Autentificación dinámica Safe Data System
Permite asegurar la autentificación de los usuarios así como su identificación contra el recurso informático al que accede.

Cortafuegos Check Point
Firewall-1 permite la puesta en marcha de una política de seguridad centralizada, así como su distribución en numerosos puntos de la red.

Redes privadas virtuales Aventail
Permite securizar eficientemente las comunicaciones sobre Internet, sin reducir por ello el rendimiento de la conexión.

Seguridad para E-Business NetSecure Software
Soluciones de seguridad para gestionar informaciones confidenciales, ofrecer un nivel de seguridad máximo en los servicios en línea, intercambios seguros de e-mail, integridad de los datos de los servidores, protección del servidor web.

SpyHunter
Programa gratis para detectar y eliminar los programas-espía comerciales.

Websense, SurfControl, Stealth Activity Recorder and Reporter, spIE, TrafficMax, El Espía
Hasta un 70% del tráfico de pornografía, compras y búsquedas en Internet se realizan durante la jornada laboral. Si usted piensa que pueder ser un problema para su empresa, puede monitorizar e informar del tráfico de su red utilizando cualquiera de los programas que le recomendamos.

Firewall para uso doméstico

Los cortafuegos (firewall), sin ser la panacea de la seguridad informática, representan un poderoso muro de protección entre el ordenador o una red interna e Internet, barrera que conviene instalar en todo sistema que esté conectado a la Red por modesto que sea. El software de cortafuegos personal aísla el ordenador de su conexión a Internet filtrando información, bloqueando puertos abiertos y deteniendo programas maliciosos con controles ActiveX o rutinas en JavaScript.

Los neuróticos de la seguridad (como yo mismo) pueden utilizar en casa los cortafuegos de pago (por suerte, muy baratos): Norton Personal Firewall (Symantec), BlackICE Defender (NetworkIce), McAfee Personal Firewall (McAfee), DoorStop (OpenDoor, para Macintosh), Tiny Personal Firewall (Tiny Software), Sybergen Secure Desktop (Sygate), ConSeal PC Firewall (Signal9) o también el excelente firewall Zone Alarm que te ofrece gratis Zone Labs para trotegerte de los troyanos que circulan por la red. También puedes utilizar el cortafuegos personal, escaneador de virus y filtro de contenidos de Aladdin Knowledge Systems (gratis para uso personal) y si no tienes suficiente, puedes ir al sitio de Steve Gibson Research Corporation donde acabas de encontrar todo lo que te haga falta o recabar más información sobre cortafuegos, sobre puertas y ratoneras y sobre LINUX como cortafuegos gratuito en el CSIC.

Buenas referencias de seguridad

ADD Servicios Informáticos Soluciones de seguridad. Aladdin Especialistas en seguridad. Anonymous Cash Payment Methods Interesante "survey" sobre el estado de la tecnología. AECE Asociación Española de Comercio Electrónico Para estar al dia de todo lo que sucede en nuestro entorno referido a la seguridad electrónica Attrition (excelente sitio gestionado por un grupo de seguridad que debemos consultar para poder estar al dia) Banc Sabadell le ofrece descargar versiones de los navegadores con encripción de 128 bits para mejorar la seguridad de las transacciones electrónicas por Internet. En la misma línea Fortify ofrece productos gratis para poder utilizar Netscape internacional de 40 bits con claves de 128 bits. Best Business Service Intenta aportar soluciones al profesional de la empresa, consultoría y docencia apoyados en la integración entre conocimiento y tecnología, con el objetivo de facilitar su aplicación. Bugnet Alertas de seguridad, bugs, base de datos, etc. Buscadores especializados en seguridad: Kriptopolis y Security Search Para encontrar cualquier cosa y resolver cualquier duda que tenga referida a la seguridad. CheckFree Corporation Sin comisiones (RSA 768 bits), y válido para exportación fuera de los EE.UU. CIAC Computer Incident Advisory Capability Cómo eliminar las diez amenazas más críticas en Internet traducidas por Selesta con permiso de Sans Institute Cortafuegos (recomendaciones del CERT) Todo lo que debes conocer sobre los firewall y la seguridad en las redes Cybercash 1024 RSA exportable Es una empresa abierta a la inversión a cargo de terceros. Incluye libro blanco para el comerciante y la banca. Incluye información sobre Cybercoin, que permite "micropagos" en Internet para cosas como el "Pay per view". Sin comisiones. DeepZone Digital Security Investigación y desarrollo en cuestiones de seguridad, informática y telecomunicaciones. Derecho Portal jurídico en Internet Digicash Pago electrónico en Internet utilizando criptografía. En esta página se puede acceder a sus bases técnicas. Documentación muy completa, incluyendo artículos generales sobre el tema. Se basa en el concepto de 'Firma Ciega', por lo que es completamente anónimo. Su producto se llama 'ecash'. Digital Security Team EESSI European Electronic Signature Standardisation Initiative El Corredor Una plataforma para las PYMES. Incluye un buscador de empresas españolas. ECML Electronic Commerce Modeling Languaje Estrado Pautas generales para elaborar políticas de seguridad informática gracias a las colaboraciones de las personas que quieren dar a conocer sus trabajos a los ciber-juristas. First Incidentes de seguridad FNMT Fábrica Nacional de Moneda y Timbre Gravísimos problemas de seguridad en los productos software de Microsoft detectados y denunciados a la comunidad internacional por Juan Carlos Garcia Cuartango, ingeniero español especializado en encontrar agujeros de seguridad y por George Guninsky, otra "bestia negra" de los programas del Sr.Gates. Quizás sería un buen negocio para Microsoft despedir a sus "expertos en seguridad" y contratar a los Sres.Cuartango y Guninsky }:-) Guia del comprador en Internet Hay gente pa tó Sitio patrocinado por un excelente técnico de seguridad informática con los consejos imprescindibles que debe conocer cualquier empresa que esté conectada a Internet. Hispasec El mejor sitio en castellano sobre noticias sobre seguridad, virus, criptografía, etc. ICSA (antes NCSA) International Computer Security Association IEE Informáticos Europeos Expertos Información sobre hacking 2600 The Hacker Quarterly InfoSecurity Magazine Revista de seguridad para profesionales. InfoWorld Enlaces de seguridad muy recomendables ISS Internet Security Solution ISACA The Information Systems Audit and Control (Association and Foundation) Kriptopolis Puedes acceder a una base de datos con unas 60.000 referencias sobre seguridad en Internet. LegalSite Servicios y consultas legales a la base de datos gratis. Legislación, también en Organización de Internautas Legislación básica de telecomunicaciones, legislación general, nuevas tecnologías, comercio electrónico, nombres de dominios, protección de datos personales, tarifa plana, etc. Libros on-line sobre seguridad Macmillan Libros de informática y comunicaciones gratis.

Micropayment Methods Interesante "survey" sobre el estado de la tecnología. Microsoft Seguridad MilliCent Sistema de micropago distribuído por Digital. Se puede encontrar información técnica en la CryptoBytes de la primavera de 1.996 NetBill Project Proyecto de investigación de la universidad de Carnegie Mellon. Permite micropagos. NetCrusader de Gradient Gestor de políticas de seguridad, integrado con PKI de Entrust NT Bugtraq Lista internacional de discusión sobre las vulnerabilidades de seguridad en Windows NT OpenMarket Una solución escalable. PGP International representada por Network Associates El PGP comercial. Proyecto Ceres Autoridad Pública de Certificación liderada por la FNMT (Fábrica Nacional de Moneda y Timbre) para actuar de garante en todas las relaciones con las administraciones públicas. Se emitirán unas tarjetas electrónicas conteniendo toda la información del certificado personal. El proceso utilizará masivamente la criptografía de clave pública (certificados, firmas digitales, claves públicas y privadas, etc.) Quands (excelente revista electrónica en catalán dedicada a la seguridad) REDI Revista electrónica sobre Derecho informático. Root Account Nuevo portal de seguridad en castellano todavía en fase de pruebas. Por lo que he podido comprobar, será una de las referencias indispensables para la seguridad (si el resultado final se parece a las pruebas, claro ;) S21Sec Empresa de seguridad que realiza pruebas de intrusión, detección de vulnerabilidades y de intrusos y establecimiento de las medidas correctoras que sean necesarias. En su plantilla trabajan los mejores hackers que hemos tenido en nuestro país (quién mejor que ellos para conocer los fallos de los sistemas?) SAM (Security Administration Manager) de SYSTOR Software para administrar los usuarios de instalaciones informáticas muy complejas desde un puesto único, consiguiendo importantes ahorros de tiempo y personal dedicado a estas funciones. Integra sistemas OS/390, Win2000, WinNT, OS/2, Novell, NDS, Unix, DB2, SAP R3, Lotus Notes, LDAP, ACF2, Top Secret, RACF, etc. SCiNet Corporation (Sistema Operativo del Comercio Mundial) Sistema internacional de operaciones comerciales automáticas, import-export, créditos documentarios en tiempo real que engloba más de 240 países, 50 millones de productos y servicios y más de 17 millones de empresas. Por supuesto, todas las operaciones se realizan mediante servidores seguros y el servicio es de pago, aunque el coste anual de $100 resulte altamente competitivo para lo que recibimos a cambio. Secure Computing Soluciones de seguridad. Security Focus Listas de Bugtraq para estar siempre enterado de lo que pasa, alarmas de seguridad, herramientas correctoras, avisos de vulnerabilidades, etc. Security Portal Todo sobre la seguridad informática. Segutot Sitio dedicado a la seguridad informática que se propone dar a conocer aquellos aspectos no convencionales de seguridad que cualquier organización que cuente con un sistema de equipos distribuido en red debe conocer y contemplar. SET Standard único para realizar pagos con tarjetas de crédito por Internet. ShopsLand Puede abrir su tienda virtual casi gratis y utilizarla inmediatamente, gracias a las facilidades que le ofrecen en este sitio (se lo cobran, pero poquito cada mes) Disponen de servidor seguro, tratamiento de todo tipo de tarjetas, enlaces con casi todos los bancos y cajas, etc. Es una manera de entrar en la red de forma segura y con pocos costes de puesta en marcha. Sinutec (seguridad informática) SIS (Servicio de Información de Seguridad) Comunidad virtual de empresas de seguridad de todo el mundo (actualmente tienen unas 5.000 censadas) Editan un boletín digital gratis y disponen de una completa lista de enlaces indispensables SiteMinder de Netegrity Gestor de políticas de seguridad, para realizar la administración centralizada en una red de equipos informáticos. Symantec Centro de seguridad. Technotronic Seguridad de la información The concept of Trust in Network Security The MUD Connector The Sans Institute Transaction Net Abundante información sobre medios de pago electrónico, en plan "survey". Desde los cajeros automáticos hasta el dinero anónimo, pasando por los micropagos. UTN (Cátedra de Seguridad Informática de la universidad de Tucumán) Viaja del brazo de los mejores expertos en seguridad totalmente gratis. No pierdas la oportunidad que te ofrecen unos excelentes profesionales. Visa Organización de todos conocida. Está promoviendo un estándar de pago electrónico conocido como "Secure Electronic Transaction" (SET). Coalición entre Visa y Mastercard w00w00 Organización de expertos de seguridad agrupados libremente y sin ánimo de lucro. Watch Dog Guardián de la privacidad para analizar y explorar la seguridad o inseguridad de las webs analizadas. Zero-Knowledge Systems Inc Herramientas y estrategias para facilitar la seguridad de las instalaciones informáticas.

Espías en el trabajo

Decía Mark Twain que existen tres tipos de mentiras: mentiras, malditas mentiras y estadísticas. Sin creer ciegamente en los bailes de números, lo cierto es que nos indican con claridad que desde que las nuevas tecnologías se están popularizando y penetrando cada vez más en las empresas y administraciones, se crean nuevas formas de distracción para los empleados.

Según las últimas estadísticas, del 30 a 40% del tráfico de las empresas no está relacionado con el trabajo (IDC), en el horario laboral tiene lugar el 70% de las visitas a los sitios pornográficos y más del 60% de las compras en línea, subastas y juegos de azar. En definitiva, pornografía, subastas, búsqueda de nuevo empleo, comercio electrónico, banca a distancia, prensa, juegos, correos personales... Las posibilidades son infinitas, como los contenidos de Internet. Ese empleado que parece encontrarse tan atareado delante de la pantalla, podría estar ocupándose en cualquiera de estos pasatiempos y el jefe ni enterarse.

En el mejor de los casos, estas distracciones sólo le hacen perder horas de trabajo y, por tanto, dinero al empresario. En el peor, sus actividades podrían abrir agujeros de seguridad en la red corporativa como consecuencia de la infección con algún virus o por permitir a hackers colarse a través de su ordenador aprovechando algún fallo en la configuración de sus programas o algún bug de su software: del navegador, del cliente de chat, del correo electrónico, de Gnutella, etc. También podrían crear problemas legales a la empresa si utilizan sus recursos para compartir archivos ilegales, por ejemplo con Napster, o enviar a las news fotos de pornografía infantil o panegíricos terroristas con el correo de la empresa (por lo tanto, viéndose en el campo del remitente de qué empresa se trata).

Estas posibilidades han alarmado a ciertos círculos directivos, que han optado por vigilar la actividad laboral de los trabajadores. Evidentemente, el legítimo derecho del empresario a que se haga un uso eficiente de sus recursos informáticos y del tiempo por el que paga a sus empleados, previniendo actividades inapropiadas, no profesionales o incluso ilegales, entra en flagrante conflicto con el inalienable derecho del trabajador a preservar su intimidad. Dado que la jurisprudencia en esta materia es prácticamente inexistente, muchos empresarios aprovechan las lagunas legales y optan por vigilar el correo y navegación de sus empleados.

Echando mano nuevamente de las estadísticas, según una reciente encuesta de KPMG, publicada este martes, uno de cada cinco empresarios espía el correo de sus empleados y su uso de Internet, práctica que conduce en muchos casos al despido cuando se descubre un mal uso, como visualización de pornografía (despido en el 55% de los casos) o correos ofensivos o difamatorios (despido en el 20% de los casos). Vault, por su parte, señala que el 31% de las empresas controla o restringe el uso de Internet y del correo electrónico de sus empleados, datos no excesivamente alejados de los de KPMG, llegándose en muchos casos también al despido.

Para las empresas determinadas a saber qué hacen sus empleados con la conexión de Internet, existe una amplia oferta de productos comerciales para controlar, registrar y analizar el uso de los recursos de la red empresarial, especialmente del correo y de la Web. Su misión es ayudar a la empresa a reducir pérdidas de productividad, proteger el ancho de banda, evitarle responsabilidades legales y minimizar problemas de seguridad en general. Algunos de los productos más conocidos del mercado son:

SurfControl, para la gestión responsable del uso de Internet en el hogar, en la escuela o en el trabajo.

Stealth Activity Recorder and Reporter, para saber lo que un usuario de cualquier ordenador de la red está haciendo en un momento dado en su máquina.

spIE, que integrado con Internet Explorer, permite monitorizar y restringir el uso del navegador.

TrafficMax, para la monitorización proactiva de tráfico de redes y de Internet, incluyendo el bloqueo de direcciones e informes de actividad.

Websense, el producto estrella de gestión, monitorización y generación de informes sobre el uso de Internet en el trabajo.

El Espía, producto español para controlar de forma sigilosa lo que los usuarios hacen en el ordenador.

En terreno tan pantanoso, la transparencia abre la única vía ética a seguir. La dirección debería informar, a la hora de firmarse el contrato, de las prácticas de seguridad seguidas: si se intervienen los correos electrónicos, si se monitoriza el uso de Internet, etc. Las cosas claras, el trabajador sabe entonces a qué atenerse. Si bien es verdad que el empleado tiene derecho a la intimidad, tiene también la obligación de aprovechar el tiempo de trabajo por el que se le paga. Del mismo modo, el empresario tiene derecho a que sus recursos se utilicen únicamente para provecho de la empresa, así como la obligación de preservar la intimidad de sus empleados. Mientras tanto, no duden que veremos aumentar el uso de estos programas espía.

(C) Copyright 2001 Criptonomicón