Síntesis 2005

Durante 2005 los intentos de fraude a través de Internet en sus vertientes de Phishing y Pharming, el SpyWare y los Troyanos y keyloggers, han conseguido inquietar lo suficiente a los usuarios como para que al mismo tiempo hayan tomado conciencia de que la protección en los sistemas es tan necesaria como cualquier paquete de software básico.

La protección de los sistemas debe ser tenida en cuenta como una parte mas de la configuración durante el proceso de compra y así lo va entendido el conjunto de los ciudadanos.

Aunque esta situación era previsible, también parecía inevitable que para que se removiesen las conciencias, era necesario que se produjesen casos en nuestro país y en nuestra lengua que dispararan las alertas.

Podemos afirmar con rotundidad que 2005 ha sido el año de Phishing, como se demuestra por el creciente número de casos que se han producido en España y en el resto del mundo:

• Según el Anti-Phishing Working Group (APWG), se reportaron 175.923 casos distintos entre noviembre de 2004 y noviembre de 2005, de los que casi el 95% se realizaron vía http a través del puerto 80 y en más del 90% de los casos sobre entidades con servicios financieros.

• El Centro de Alerta Temprana Antivirus de Red.es analizó en el año 2005 datos procedentes de 2.448 millones de correos electrónicos, de los cuales un 6,6% estaban infectados con algún virus y, de ellos, el 20% mas de 3,2 millones de correos estaban infectados con algún software malicioso relacionado con alguna técnica relacionada con el fraude en Internet, Phishing y Pharming.

En 2005, han sido muy pocas las entidades financieras españolas que puedan presumir de no haber sido víctimas de ningún ataque mediante esta técnica, aunque también es justo reconocer que se han mostrado ágiles en la toma de precauciones. Destacan entre ellas:

• Las notas informativas a los usuarios cuando acceden a estos servicios.
  
• El procedimiento para la solicitud de bloqueo de IP’s maliciosas en coordinación con las FCSE, ISP’s y usuarios.
  
• Los esfuerzos realizados a través de distintos Grupos de Trabajo en el estudio de la normativa y legislación vigente para poder adaptarla a las necesidades actuales.
  
• Desarrollo de métodos alternativos de autenticación en el sistema para complicar la entrada ilegítima (matrices de coordenadas, claves dinámicas, etc.

También los fabricantes de sistemas de seguridad han hecho sus deberes, siendo sus productos capaces de detectar y detener a día de hoy un elevado porcentaje de los casos que circulan en la red bien en forma de Spam, o bien asociados a downloaders y troyanos con capacidades para la captura de claves y técnicas de Pharming.

En cuanto a Vulnerabilidades y Sistemas Operativos, destacar los 55 boletines de seguridad publicados por Microsoft durante 2005 que con más o menos urgencia corregían un buen número de vulnerabilidades consideradas como “críticas”.

Pero sin duda, donde más se han despertado las conciencias en materia de seguridad ha sido entre los colectivos de las pymes y los usuarios domésticos que han asumido un papel mas activo a la hora de mantener la seguridad en sus sistemas, y ¿cómo lo han hecho?:

• Vigilando su correo y sus descargas a través de redes de intercambio de ficheros o redes P2P.
  
• Manteniendo actualizado su sistema operativo y sus aplicaciones antivirus.
  
• Filtrando el tráfico de Internet mediante cortafuegos/proxy.
  
• Instalando otras herramientas de seguridad como filtros antispam, antispyware, antiphishing y antipharming, etc.
  
• Y sin duda, con la mejor herramienta: usando el sentido común y manteniéndose informados. Por ejemplo a través de la web del Centro de Alerta Antivirus de Red.es (http://www.red.es/servicios/alerta.html o http://alerta-antivirus.red.es/portada/) y del portal seguridadpymes.es.

O en definitiva, preocupándose mucho más de que sus sistemas y los datos que contienen se encuentren mejor protegidos.

Expectativas para 2006.

Si 2005 ha servido para despertar definitivamente las conciencias, durante 2006 se debería consolidar esta tendencia y fomentar cualquier tipo de medidas e iniciativas orientadas a la optimización de métodos, programas y herramientas destinadas a la mejora de la seguridad, posibilitando el desarrollo de la cultura de seguridad.

El año 2006 debería ser el de la Confianza en la red y del despegue definitivo y sólido de todo tipo de servicios para la seguridad. En este sentido, el Ministerio de Industria, Turismo y Comercio ha incluido una línea dedicada a e-Confianza, es decir, a la creación de un clima de confianza en la Red y la promoción de instrumentos y herramientas de protección en el marco del Plan Avanza para la convergencia con Europa y entre las Comunidades Autónomas en la Sociedad de la Información. Las medidas para lograr esos objetivos forman parte de una de las cinco líneas (Hogar y Ciudadano digital, Competitividad e Innovación, Educación en la era digital, Servicios Públicos Digitales y Contexto Digital) del Plan Avanza, cuyo objetivo puede resumirse en la consecución de un modelo de crecimiento basado en el uso de las tecnologías de la información y la comunicación.

También el sector privado va a jugar un papel central en la transmisión de confianza en la Red. Y del lado de la industria, plataformas como e-Sec intentarán, por medio de la creación de consorcios que den lugar a la unificación de esfuerzos, acometer proyectos en materia de seguridad que de otra forma serían prácticamente inabordables.