El spyware actual es sofisticado, barato y accesible: por u$s 100 se puede comprar un programa capaz de grabar cada imagen de pantalla y cada golpe de tecla cuando se lo carga en una computadora. Y pagando unos pocos dólares más se puede cargar el spyware a distancia. Si bien se lo suele usar para controlar que el personal de una compañía o los chicos de una familia no tengan acceso a material inapropriado, otros pueden usar el mismo software para robar dinero, identidades o para dañar la reputación de una persona.
El espionaje electrónico crece a paso veloz y cada vez es más frecuente que los tribunales tengan que lidiar con las consecuencias. Los casos que involucran celebridades, como los intentos de usar spyware Trojan que se utilizó para espiar a Tamara Mellon, fundadora de la marca de zapatos Jimmy Choo, llegan a los titulares de los diarios. Pero, entre bambalinas, la práctica sigue creciendo de manera insidiosa.
Peter Jenkins, director del grupo de entrenamiento en vigilancia ISS Training, estima que el uso de spyware por parte de investigadores privados para seguir el rastro de la actividad en la web y realizar espias de correo electrónico por cuenta de sus clientes se ha triplicado en el último año, con especial énfasis en los keyloggers (sistemas que registran cada golpe de tecla del usuario). Esto pone en duda la legalidad de la forma en que se usa éste software.
¿Pueden los gerentes espiar a su personal? Martin Baldock, director de operaciones de la firma Kroll Ontrack, especializada en informática forense, dijo que, para controlar de forma legal el desempeño y las acciones de sus empleados, los directivos deben informar regularmente al personal de que sus e-mails y sus conversaciones telefónicas podrían ser monitoreadas. "Generalmente, la vigilancia es ilegal cuando los empleados no saben que existe", dijo Baldock y agregó que el uso del “instant messaging (IM) es otra área que presenta desafíos. "Muchas compañías permiten este medio de comunicación para las sucursales. Aunque es posible almacenar, controlar y hacer búsquedas en IM, el volumen puede adquirir dimensiones enormes".
Simon Young, jefe del área de resolución de disputas comerciales de Clarion Solicitors, con sede en Leeds, Reino Unido, señaló que el espionaje industrial ya le cuesta a las empresas alrededor de u$s 200.000 millones al año: "En la mayoría de los casos, los secretos de las empresas son robados desde adentro, por los propios empleados, pero como cada vez son más las compañías que ingresan online y cuyo negocio está impulsado por IT, el espionaje industrial electrónico es un problema creciente.
Daños millonarios
Los casos de espionaje industrial raramente se hacen públicos. Las compañías no quieren arriesgar su reputación al hablar de sus problemas. No obstante, el espionaje industrial electrónico puede causar daños millonarios. En 2003, la Fuerza Aérea de EE.UU. le hizo juicio a Boeing porque se descubrió que la constructora de aviones había adquirido 25.000 documentos confidenciales durante una licitación, en 1998. Boeing se vio obligada a pedir disculpas públicamente y perdió contratos que superaban un valor de u$s 1.000 millones", explicó el experto.
La imagen que una compañía tiene para sus pares en Internet se ha convertido en el blanco de los delincuentes cibernéticos. William Beer, director del área de Seguridad de Symantec, dijo que la mayor amenaza para una empresa no es la pérdida de dinero sino la pérdida de reputación. "El principal riesgo que veo no es el problema monetario; si la gente pierde confianza en los métodos para hacer negocios online, van a surgir temas muy serios", señaló Beer y agregó que un acontecimiento ha sido la aparición de malware pequeños, muy bien escritos y diseñados para atacar a determinados individuos, en lugar de usar el enfoque más generalizado de años anteriores.
Según el experto, un ataque online suele hacerse gradualmente a lo largo de varios días para evitar disparar los sistemas de seguridad. Primero se inhabilita la seguridad en torno al browser y después se baja toda la suite de seguridad, abriendo la puerta a keyloggers y screen scrapers (herramientas que sirven para extraer datos de la web).
Cuidar la imagen
El principal objetivo es el robo de identidad. "Después que han creado una nueva identidad, los perjuicios que pueden causar son mucho más significativos", comentó Beer, quien dijo que se obtienen centavos por un número robado de tarjeta de crédito, mientras que un número de seguridad social estadounidense, que es clave para lograr una nueva identidad, se vende por u$s 7.
La consultora especializada Gartner coincide con Beer. Jay Heiser, vicepresidente de Investigación de Gartner, dijo este mes que muy pronto los delincuentes chantajearán a las compañías amenazándolas con dañar su reputación. El método: "asegurarse que los pedidos de búsquedas online den resultados negativo o, incluso, calumniosos".
Heiser recordó que en Internet la información negativa se multiplica y se difunde con rapidez. ¿Cómo pueden las empresas protegerse de estos invasores electrónicos? Un primer contacto lo proveén organizaciónes como el Information Security Forum.
Mike Greene, CEO del grupo estadounidense PC Tools, recomienda que los usuarios, tanto corporativos como individuales, instalen productos de contraespionaje (counterspyware). "Si uno sospecha que su sistema está infectado, tiene que correr el software que le dirá qué hay, además de eliminarlo. Si se lo instala antes, evitará que el spyware se cargue en el sistema", señaló.
Sin embargo, el poder de la tecnología es limitado. Tener conciencia del peligro es la clave de la seguridad. Beer propone un paquete de seguridad integral que incluya detección, counterspyware y firewalls antivirus. Otra barrera es el software actualizado. No renovar la suscripción es dejar la puerta abierta a los delincuentes cibernéticos.
Traducción: Graciela Rey