La supuesta venta de bases de datos a agrupaciones políticas y los problemas informáticos del Consejo Nacional Electoral (CNE), más el temor que aún existe en parte de la ciudadanía para usar sistemas informáticos generan inquietud y dejan ver que el uso de tecnología no garantiza absoluta seguridad. Francisco Rodríguez, director de la Escuela de Sistemas de la Pontificia Universidad Católica de Quito, analiza la seguridad informática en el sector empresarial.

¿Cómo mira el cuidado de los datos informáticos que circulan en el país?

Dentro de lo que son las empresas, hay muchas vulnerabilidades que se pueden explotar. Esto es producto de que los responsables de la tecnología en las empresas no toman las debidas precauciones; los responsables de sistemas tienen que ser un poco paranoicos, porque los riesgos pueden tener connotaciones muy amplias. Por ejemplo, un banco atacado puede generar pérdida de confianza. Se emiten leyes sin considerar lo técnico; además, en el país ocurren ataques, pero no recuerdo conocer de ninguna persona juzgada por estos ataques.

¿Las empresas están conscientes de la inseguridad que corren sus datos?

Con un estudio que efectuamos el año pasado en la Universidad vimos que cada semana hay siete ataques de desfiguración de sitios de entidades públicas y en entidades privadas hay unos 11 ataques a la semana; no se comenta, pero se produce. Esto hay que considerar, porque está en juego la imagen y reputación y porque se puede filtrar información delicada o crucial. No hay que olvidar que ningún sistema informático es 100% seguro. Sin embargo, existen mecanismos para atenuar las vulnerabilidades y uno de ellos es tener una buena gestión de la seguridad de la información al interior de una institución. A mis estudiantes siempre les digo que en seguridad informática existen tres elementos fundamentales: los procesos de la empresa, la tecnología y el usuario. Este último es el más vulnerable.

¿Y qué pasa con las bases de datos?

Algo más grave es el robo de bases de datos, porque se elaboran con información de empresas y deja ver que en entidades públicas y privadas no hay conciencia verdadera del manejo de la información. Si buscamos en un navegador bases de datos, se encuentran empresas que venden información. Y esto compromete la seguridad de los ciudadanos.

¿Es muy fácil acceder a bases de datos?

Exactamente. Las bases de datos se encuentran fácilmente en la web, en buscadores. Por mis investigaciones he encontrado bases de datos de licencias de conducir, por ejemplo. En estos días, por la coyuntura, estas empresas están a buen recaudo y seguramente habrán retirado sus ofertas sobre bases de datos. Pero es conocido que existen empresas que recopilan datos, para ofertarlos por Internet.

¿Quién debe regular esto?

La Asamblea tiene que establecer leyes más fuertes y con parámetros técnicos. No se trata de figurar, sino de elaborar y cumplir las leyes. También llama la atención que sitios del Gobierno, por su configuración, dejan conocer cédula, propiedades, problemas legales y otros datos de un ciudadano. El problema es que el delincuente puede chantajear a los ciudadanos que colocan sus datos en sitios web.

Entonces, ¿se debe cambiar la configuración de ciertos sitios?

En este caso, la clave es educar al usuario y tener un buen nivel de seguridad. Los bancos, por ejemplo, cambiaron sus controles y eso da más seguridad. Se debe analizar los requerimientos del usuario, además es clave el diseño del sitio, la producción y las pruebas, así se garantiza que la información de los clientes de las empresas no fluya libremente. La información tiene que ser muy bien manejada. No puede ocurrir lo del CNE; en Ecuador no hemos vivido el drama de otros países que han sufrido ataques informáticos de magnitud.

¿Cree que el empresario ecuatoriano está consciente de esto?

Creo que en Ecuador el empresariado en general no se da cuenta de la magnitud del riesgo en temas informáticos. Aún no se toman en cuenta parámetros que ya se consideran en otros países. Hay empresas con ejecutivos jóvenes, que conocen más de tecnología, pero también hay otros que están adaptándose. Es un tema de suma importancia. Hay que ser paranoico para que la información no se pierda.

¿Los departamentos de sistemas tiene que tener más alertas sobre estas vulnerabilidades?

Sí, porque con nuestros estudios hemos detectado que los piratas informáticos detectan las vulnerabilidades más rápido que el propio personal de tecnología de una empresa. Allí hay un punto a considerar: muchas empresas no tienen el personal capacitado; además, se paga muy poco al área de tecnología. Las empresas deben ser conscientes de que si se pierde información se pierde confianza de parte del cliente.

¿El riesgo de perder información es el mismo en empresas públicas y privadas?

Hemos visto que pasa igual, pero en cierto sentido en las públicas empiezan a aumentar las vulnerabilidades. Además, cuando ocurre un ataque no se denuncia por un tema de imagen. Tampoco tenemos profesionales en el tema en la Fiscalía o en la Policía. Se necesitan técnicos, ingenieros, expertos en seguridades, en telecomunicaciones, antes que abogados.

Los expertos en seguridad dicen que de cada 10 delitos 8 son perpetrados por personal propio de una entidad...

Es así, el enemigo oculto es el propio empleado de un negocio o de un empresa, porque conoce la información, cómo se mueve y cómo se almacena.

¿Puede ocurrir el delito informático de manera inconsciente?

Sí. Hemos investigado a los usuarios y detectamos que los problemas se dan por instalación de software pirata instalado por el usuario. Esto ocurre, en cierto modo, por la falta de conciencia sobre los riesgos.

En portales públicos y de empresas privadas se usa cada vez más software libre. ¿Esta alternativa incide en la seguridad de un sitio?

No necesariamente. Los ataques ocurren con cualquier tipo de software. Lo importante es educar y recordar que no hay sistema seguro.

ACERCA DE FRANCISCO RODRÍGUEZ

Ingeniero con especialidad en gerencia informática

• Su formación. Estudió Ingeniería en Sistemas en la Universidad Católica de Quito.

• Especialidades. Tiene tres maestrías en: Redes y Comunicaciones, en Gerencia Informática y Tecnologías de la Información.Cargo. Director de la Escuela de Sistemas en la U. Católica de Quito.