Por el Dr Diego Di Giorno, Director en Compliance y Nuevas Tecnologías,
World Compliance Association Capitulo Argentina
En los procesos de control de información y riesgos que operan los planes de integración Compliance, tenemos un factor muy importante, uno que puede ser el causal de muchos problemas e indetectable en caso de no estar capacitado para distinguirlo, ese factor es el llamado Sabotaje Informático. El sabotaje informático es el acto de borrar, suprimir o modificar sin autorización funciones o datos de computadora con intención de obstaculizar el funcionamiento normal del sistema.
Sin embargo, las técnicas que permiten cometer sabotajes informáticos son: BOMBAS LÓGICAS (LOGIC BOMBS), que es una especie de bomba de tiempo que debe producir daños posteriormente y que exige conocimientos especializados ya que requiere la programación de la destrucción o modificación de datos en un momento dado del futuro. Esto sería al revés de los virus o los gusanos, las bombas lógicas son difíciles de detectar antes de que exploten; por eso, de todos los dispositivos informáticos criminales, las bombas lógicas son las que poseen el máximo potencial de daño. Su detonación puede programarse para que cause el máximo de daño y para que tenga lugar mucho tiempo después de que se haya marchado el delincuente. La bomba lógica puede utilizarse también como instrumento de extorsión y se puede pedir un rescate a cambio de dar a conocer el lugar en donde se halla la bomba.
Otra técnica, son los famosos GUSANOS, donde se fabrica de forma análoga al virus con miras a infiltrarlo en programas legítimos de procesamiento de datos o para modificar o destruir los datos, pero es diferente del virus porque no puede regenerarse. En términos médicos podría decirse que un gusano es un tumor benigno, mientras que el virus es un tumor maligno. En consecuencia, los estragos del ataque de un gusano pueden ser tan graves como las del ataque de un virus: por ejemplo, un programa gusano que subsiguientemente se destruirá puede dar instrucciones a un sistema informático de un banco para que transfiera continuamente dinero a una cuenta ilícita.
Otra técnica son los tan conocidos VIRUS INFORMÁTICOS Y MALWARE, catalogados como elementos informáticos, que como los microorganismos biológicos, tienden a reproducirse y a extenderse dentro del sistema al que acceden, se contagian de un sistema a otro, exhiben diversos grados de malignidad y son eventualmente, susceptibles de destrucción con el uso de ciertos antivirus, pero algunos son capaces de desarrollar bastante resistencia a estos. Un virus puede ingresar en un sistema por conducto de una pieza legítima de soporte lógico que ha quedado infectada, así como utilizando el método del Caballo de Troya. Han sido definidos como “pequeños programas que, introducidos subrepticiamente en una computadora, poseen la capacidad de auto reproducirse sobre cualquier soporte apropiado que tengan acceso al computador afectado, multiplicándose en forma descontrolada hasta el momento en que tiene programado actuar”. Pero, el malware es otro tipo de ataque informático, que usando las técnicas de los virus informáticos y de los gusanos y las debilidades de los sistemas desactiva los controles informáticos de la máquina atacada y causa que se propaguen los códigos maliciosos.
Otra técnica es el temido CIBERTERRORISMO, este Terrorismo informático es el acto de hacer algo para desestabilizar un país o aplicar presión a un gobierno, utilizando métodos clasificados dentro los tipos de delitos informáticos, especialmente los de los de tipo de Sabotaje, sin que esto pueda limitar el uso de otro tipo de delitos informáticos, además lanzar un ataque de terrorismo informático requiere de muchos menos recursos humanos y financiamiento económico que un ataque terrorista común.
Otra técnica, son los ATAQUES DE DENEGACIÓN DE SERVICIO, aquí los ataques se basan en utilizar la mayor cantidad posible de recursos del sistema objetivo, de manera que nadie más pueda usarlos, perjudicando así seriamente la actuación del sistema, especialmente si debe dar servicio a mucho usuarios, el ejemplos típico de este ataque es el consumo de memoria de la máquina víctima, hasta que se produce un error general en el sistema por falta de memoria, lo que la deja fuera de servicio, la apertura de cientos o miles de ventanas, con el fin de que se pierda el foco del ratón y del teclado, de manera que la máquina ya no responde a pulsaciones de teclas o de los botones del ratón, siendo así totalmente inutilizada, en máquinas que deban funcionar ininterrumpidamente, cualquier interrupción en su servicio por ataques de este tipo puede acarrear consecuencias desastrosas e irreparables.
Todos estos riesgos del sabotaje informático son de gran volatilidad dentro de la actividad corporativa, reproducen un peligro que se expresa en pérdidas económicas, disminución de la capacidad competitiva, filtraciones de estrategias comerciales, vaciamientos de cuentas y falta de confianza hacia el cliente, y más importante, incapacidad para desarrollar su actividad de manera segura y transparente.
De este modo, encarar un plan de protección de riesgos como la certificadora ISO 37.001 “Sistema de Gestión Antisoborno”, y un plan Compliance / Integridad, es esencial para asegurar una carrera empresarial competitiva de innovación y transparencia, que genere seguridad para sus cliente y proveedores. Una filtración de información es tan dañina como la pérdida de un activo, todas las estrategias e inversiones de la empresa para generar una idea, estrategia o investigaciones pueden llegar a ser destruidas bajo este tipo de riesgo. Así mismo delimitar las responsabilidades, controlar la actividad interna, fomentar las denuncias, invertir en tecnología, solicitar idóneas asesorías tecnológicas de seguridad informática y estimular las capacitaciones regulares podría delimitar un acto de prevención diligente de la organización.
