LA NUEVA VARIANTE INSIDER; EL NHACKER
"La ignorancia es la madre de todos los crímenes."
Honoré de Balzac.
El NHACKER (o contrario al Hacker) se define como: Un empleado o usuario de sistemas computarizados que representa un alto riesgo de seguridad para la empresa. Se caracteriza por su total desconocimiento del manejo de la seguridad informática y su ingenuidad ante situaciones sencillas de analizar pero potencialmente riesgosas. Candidato perfecto para un ataque de ingeniería social. Omite cualquier regla mínima de seguridad, no por conciencia propia, sino por presentar en su perfil una alta ingenuidad, y un a muy basta curiosidad.
El presente artículo aborda la crítica materia de la seguridad de la información, enfatizándose en el cómo algunos usuarios y empleados llegan a representar riesgos potenciales a la seguridad en las redes de datos empresariales, valiéndose de ellas para cometer delitos electrónicos utilizando nuevas y emergentes tecnologías de telecomunicaciones. También se emprende el tema de la actuación y respuesta de las empresas de hoy día, que utilizan las Tecnologías de la Información y la Comunicación (TIC) para enfrentar estos retos. Un primer factor de riesgo lo encarna la figura invisible del Insider, nefasto personaje que con sigilo y cautela ataca sin ser detectado.
Por demás está decir que toda organización en gran medida depende y se debe a su capital humano, su personal, sin embargo, no todos ellos son dignos de confianza, pero de ello no es posible percatarse a simple vista. Este tipo de personas dentro de una organización son claves para el buen funcionamiento de la misma, pero ¿que sucede cuando algunos de ellos no nos merece toda la confianza?, ¿cómo identificarlos?, ¿cómo contenerlos?, y peor aún, ¿cómo comprobarle la autoría de un delito cuando son capaces de borrar toda huella posible de su acto?
Por su lado, otro factor lo constituye el “Nhacker” (pronúnciese naker o contrario al hacker), que ha llegado a convertirse en una de las variaciones del Insider más complejas de analizar, ya que su desconocimiento de la seguridad en los sistemas, aunado a su amplia ingenuidad, lo convierten en el arma perfecta para descalabrar organizaciones en cuestión de segundos.
El término “NHACKER” fue desarrollado por el Ingeniero Roiman Valbuena[1], reconocido investigador en Seguridad Informática a finales del año 2008, esto luego de haber estudiado el comportamiento de las distintas variaciones que puede tomar un Insider, y compararlo con las características de desvíos de personalidad que adquieren los adictos a internet.
Esta investigación pretende servir de marco de referencia para la toma de decisiones gerenciales de alta envergadura relativas a la Seguridad y Resguardo de la Información en el ámbito Empresarial, por cuanto, si una organización no puede protegerse a sí misma, mucho menos podrá salvaguardar los datos que sus clientes le confían, y en este mundo cambiante eso puede representar su subsistencia dentro de los niveles de competitividad.
CONTEXTULIZACIÓN DE LA SITUACIÓN
“Es más vergonzoso desconfiar de los amigos que ser engañado por ellos”
Francois de la Rochefoucauld. (1613-1680) Escritor francés.
Hackers, especialmente los Hackers Terroristas o de Ciberguerra normalmente copan las primeras planas y titulares de grandes periódicos, esto en efecto supone un serio problema. No obstante, la amenaza que representan palidece ante otra que se encuentra más cercana, los Insiders[2].
Las cyberamenazas supuestas por los Insiders no son para nada nuevas, para corroborarlo se sugiere remitirse a distintas etapas de la historia. Para ello es menester recordar, haciendo un análisis histórico – evolutivo del fenómeno objeto de estudio al menos a cuatro (4) personajes muy influyentes para su momento (ejemplo tomado de una conferencia dictada por Dan Verton[3] en 2005), el primero Judas Iscariote (En la antigüedad), en segundo lugar los caballeros templarios (En la era colonial), en el tercero; Adrian Havill (Los años ochenta), y en el cuarto; Cappelli, Andrew (Presente reciente).
Ahora bien, estos cuatro (4) personajes fueron acusados y sentenciados en su momento por ser considerados traidores, el primero, Judas, quizás la más conocida de estas historias, vendió a Jesús. Los Caballeros Templarios, Octubre de 1307 - El Rey de Francia, Felipe el Hermoso, ordena la detención de los Templarios por considerarlos traidores-.
En el caso de Adrian Havill[4] novelista, llamado también; El Espía que se quedó en el Frio, escribió un libro sobre su vida titulado “The Secret Life of FBI Double Agent”, acusado de traición, nunca pudo comprobársele nada, sin embargo se presume que lo que escribe (todavía lo hace) se circunscribe a hechos reales donde él sería el protagonista de la trama.
Por último, Cappelli, Andrew sentenciado en el año 1997 según la ley Federal del Estado de Pensilvania por extracción de información de una empresa donde ocupaba el cargo de analista de sistemas (Defense Technology and Armor), Tecnología y Defensa en Armamentos, Capelli durante años usó su alto cargo para extraer información que causó a la empresa pérdidas significativas, el mismo murió en un enfrentamiento con los oficiales que procedieron a su arresto en un bar del estado de Pensilvania el mismo año[5].
Finalmente, los personajes antes citados tienen algo en común, aunque la sucesión de hechos se dio en épocas distintas, todos manejaban información privilegiada, los motivó la necesidad de dinero, el prestigio y el poder, la ambición, y la venganza. Otro elemento que los caracterizaba es que tenían un plan, lo diseñaron, organizaron y ejecutaron. Sin embargo, el costo por sus traiciones fue significante y sus castigos aún mucho más severos.
De los bosquejos anteriores, G.B.Magklaras y Furnell (2006, p.2), deducen lo siguiente, las cyberamenazas planteadas por los propios usuarios en grandes compañías no son nada nuevas, ni nuevo es el hecho de que poco se hace para investigarla, minimizarla y contenerla, es por ello que se hace necesario elaborar un vocabulario común con el fin de abordar el tema con efectividad. Por otro lado, típicamente un “Insider”, dentro de sus múltiples definiciones, se describe como un empleado descontento o sin escrúpulos que intenta acceder a la información que no debería, y que la utiliza para su propio beneficio, el espionaje o la venganza.
Donn Parker en su libro “Ethical Conflicts in Computer Science and Technology” 1978, aseguró que el 95% de los ataques, delitos y fraudes cometidos con el uso de computadoras, fueron realizados por usuarios autorizados del sistema, todo esto sucedió en la era pre Internet.
Incluso 30 años después el mismo autor en su nuevo libro titulado "Insider attack and Cyber Security”, sostiene que los porcentajes se han mantenido casi invariables pero con tendencias al crecimiento. Continúa exponiendo:
Se podría asegurar que los empleados corruptos han existido desde el nacimiento del comercio en sí, pero ahora no están solos, tienen dos factores a su favor, el uso de computadoras y nuestra incapacidad para asegurar la información en la mayoría de las circunstancias.
Así mismo, para el año 2008 las estadísticas manejadas por (CERT)[6], indicaban que de los puntos frecuentes de ataques informáticos, el 71% lo ocupaban los accesos internos no autorizados, seguidos por un 26% de conexiones a Internet y sólo un 3% con otro tipo de acceso.
La defensa de los ataques contra las operaciones con información privilegiada es y seguirá siendo un reto. En la mayoría de los casos, las protecciones tradicionales de seguridad no serán suficientes. Debe llevarse a cabo una combinación de las defensas técnicas, sistemas de detección de intrusos, sus procesos, y más, para proporcionar una protección significativa.
En el mismo orden de ideas, en junio de 2007, se celebró un taller (patrocinado por Cliff Wang de la Oficina de Investigación del Ejército de EE.UU), sobre la amenaza de abuso de información privilegiada en las empresas. Asistieron alrededor de 35 invitados, incluyendo investigadores de seguridad, vendedores, profesionales y representantes de organizaciones que perciben una amenaza grave de abuso de información privilegiada.
Su objetivo se orientó a desarrollar una comunidad de investigación sobre el abuso de acceso a información no autorizada por parte de los empleados, se estableció una metodología para comprender el alcance del problema y desarrollar un vocabulario común, para empezar a esbozar un programa de investigación.
En consecuencia, desde hace 15 años funciona el Computer Security Institute (CSI) en EE.UU, quienes publicaron recientemente su llamado: “2009 CSI Computer Crime & Security Survey”, en la investigación se consultó directamente a más de 500 profesionales de la Seguridad Informática, disponible en: http://gocsi.com/survey
En primer lugar el CSI reportó a través del ítem 7, “Abuso de Empleados Internos”, es el que indicaba un mayor porcentaje de incidencia con un promedio de 50,4% entre el 2004 y el 2008, según la encuesta. De igual forma se describía que el ítem 2, “Robo de Laptops” le seguía con un promedio de 47,2% de ocurrencia entre las mismas fechas y entre los mismos encuestados. Los actos que se describen en los ítems antes mencionados los cometen usuarios desleales que muchas veces pasan desapercibidos.
Como quiera que se muestren los datos, la situación es realmente alarmante, para el año 2004 el profesor José Luis Fernández Seara de la Universidad de salamanca, desarrolló una investigación sobre los Perfiles de Personalidades Diferenciales de los Usuarios de Internet[7], a quienes catalogó en 4 grandes grupos.
Sobre las bases de los datos anteriormente aportados, el ingeniero Roiman Valbuena, emprendió una indagación que concluyo con una tesis de postgrado (no publicada hasta el momento), en que el Nhacker, dentro de sus parámetros de conducta, ostentaba características de todos los grupos mencionados por el profesor Seara, menos los rasgos pertenecientes a los profesionales.
Lo increíble de esta situación es que existen empresas que confían información privilegiada a personas que nunca han tenido entrenamiento en el área de la seguridad informática (generalmente familiares de los dueños, y en quienes se confía ciegamente). Lo que concuerda perfectamente con el Desafío 5. Insuficiencia de personal debidamente adiestrado en seguridad de la información. De un trabajo de este mismo autor denominado: Grandes desafíos de la Seguridad de la Información: Un Análisis Prospectivo[1]. Y publicado en monografías.com.
[2] Dícese de un empleado, estudiante, u otro "miembro" de una institución, que opera un sistema informático en el cual tiene acceso legítimo a información privilegiada, y que pudiese utilizarla a su favor obteniendo beneficios. Sinclair (2008, p. 17).
[3] Verton Dan (2005), conferencia en FISSEA sobre ciberterorismo y seguridad, Cyber-Terriorism: A New Definition for a New Reality disponible en: http://csrc.nist.gov/organizations/fissea/2005-conference/index.shtml
[5] Véase, In the United States District Court For The Eastern District of Pennsylvania, disponible en: http://www.paed.uscourts.gov/documents/opinions/99D0210P.pdf
[6] Computer Emergency Response Team, de la Carnegie Melon University, http://www.cert.org/
