Refiriéndose a la metodología de la auditoría informática, Milthon J. Chávez, auditor informático certificado, acota que el primer paso en la gestión de la seguridad debe ser el análisis del riesgo. Ser efectivo exige tener conciencia de a qué tipo de amenazas nos estamos enfrentando. En este sentido, advierte que es importante saber que estamos ante una industria organizada y altamente sofisticada. “Nuestra ley de delitos informáticos no está preparada para ese gran delito informático, pseudo corporativo, transnacional, superorganizado, que es el ciber crimen organizado, el cual va en camino de convertirse en el mejor negocio del mundo”, anota.
Según cifras conservadoras, en el 2008 el delito informático conocido produjo una rentabilidad de 106 mil millones de dólares, a escala mundial, según indica Chávez, quien asegura que “en 1995, teníamos unos 10 mil virus, gusanos y programas de malware similares conocidos. Actualmente hay unos 5 millones. En un solo día los antivirus, deben enfrentarse aproximadamente a 300 mil programas de ataque”.
Ya no se trata únicamente del hacker apasionado de la tecnología que vulnera los sistemas como reto personal; existe toda una mafia alrededor de esta industria, donde los mercenarios compran los programas maliciosos a desarrollares expertos; hay quienes colectan y venden información y quienes la utilizan, revendedores, receptores de mercancía y encargados de limpiar el dinero.
Rafael Núñez, Hacker, expone que una de las estrategias más utilizadas para cometer este tipo de delito es la ingeniería social: tratar de engañar a la mente humana y hacerle caer en trampas. Se incluyen aquí las llamadas estrategias caza-bobos, entre las cuales encontramos el Phishing (obtención de claves y datos confidenciales mediante el envío de mensajes de correo electrónico que aparentan provenir de fuentes fiables) y una variante que utiliza mensajes SMS: el Simishing; o el Vishing, donde la obtención de datos se logra vía telefónica; además del Pharming (que permite redirigir un nombre de dominio a otra máquina distinta), Spoofing (suplantaciones de identidad), entre otras.
Enfoque Seguro