ALERTA TEMPRANA CONTRA VIRUS INFORMÁTICOS
Septiembre
2000
En esta ocasión, hemos querido profundizar en uno de los mecanismos más efectivos para el control
anti-virus de la Administración Pública española, la 'Red de Alerta
Temprana', dependiente del Consejo Superior de Informática del Ministerio de las Administraciones Públicas. Desde este
organismo se lleva a cabo una importante labor de seguimiento de los virus informáticos que
pueden afectar el normal desarrollo de los mecanismos de la Administración Española. Hablamos
con D. Jorge Luis Barallat Quincoses, Consejero Técnico de Sistemas de Información del Consejo
Superior de Informática, que nos informó de los mecanismos de defensa que posee la Administración
en este sentido.
Pregunta: ¿En qué consiste exactamente el servicio de 'Alerta Temprana'?
Respuesta: Lo que nosotros llamamos la Red o Centro de Alerta Temprana está formado por un
conjunto de mecanismos de la Administración Pública española, cuya función es la captura y
difusión de información relevante en cuanto a virus informáticos y otros riesgos para la
seguridad se refiere, tanto de los diferentes organismos públicos como de la ciudadanía. Ésta
es una información que en la mayoría de los casos está dispersa, y nuestra función es capturarla
con la menor demora posible, determinar hasta qué punto puede haber o no motivo de alarma y, por
último y en el caso de que sea necesario, difundirla a los destinatarios finales, que generalmente
son organismos dependientes de la Administración, aunque en otros casos puede ser la opinión
pública. Es necesario aclarar que este mecanismo no ha surgido de la noche a la mañana, sino que
desde hace 17 años el Consejo Superior de Informática posee un conjunto de medios de coordinación
de incidencias relativas a la seguridad informática, para la gestión de estos problemas en el
ámbito de las Administraciones Públicas.
Pregunta: ¿Cuándo se puso en marcha la 'Red de Alerta Temprana', tal y como hoy la conocemos?
Respuesta: En mayo de este mismo año, en la decimocuarta reunión del Consejo Superior de Informática,
se tomó la decisión de reforzar los mecanismos de coordinación y alerta existentes. Gracias a
ello, hoy en día se efectúa un seguimiento diario de las amenazas que pueda haber para los sistemas
de información, sobre todo en las Administraciones públicas.
Pregunta: ¿Qué tipos de amenazas detecta la 'Red de Alerta Temprana'?
Respuesta: Fundamentalmente, las referidas a nuevos virus que se detectan 'in the wild', pero
también todo tipo de amenazas genéricas para la seguridad de las redes informáticas: por ejemplo,
en el caso de que tengamos noticia de que haya fallos en algún determinado tipo de producto de
seguridad que esté en el mercado, aún cuando dicho producto no haya sido atacado.
Pregunta: ¿Cuáles son los pasos que se llevan a cabo cuando se detecta algún tipo de amenaza?
Respuesta: El funcionamiento de la Red de Alerta Temprana es constante, ya que diariamente
efectuamos un rastreo de las amenazas potenciales y de la información que existente sobre ellas.
Primero buscamos los datos del virus en cuestión, poniéndonos en contacto con otros Centros de
Alerta Temprana, tanto en España como en el extranjero, revisando los sitios en Internet de las
empresas que se dedican al negocio de los anti-virus. Hay que darse cuenta de que, desde que un
virus determinado aparece en Internet, la demora con que las empresas fabrican el
anti-virus suele ser de unas tres horas.
Además de esta revisión, contamos también con la información que nos llega de virus que hayan
atacado a empresas, particulares o Administraciones Públicas, y que no figuren en los sitios
Internet de las empresas anti-virus. De esta forma, conseguimos abarcar un abanico muy amplio
de fuentes de información, que nos proporcionan datos completamente fiables.
Desde el mismo momento en que contamos con los datos de un virus perfectamente estructurados,
procedemos a analizarlos, para determinar su gravedad, cómo se propaga, los tipos de destrozos
que ocasiona, el modo de funcionamiento, etc. De este modo, en base a estos parámetros, evaluamos
peligrosidad; si vemos que tiene una peligrosidad media o elevada, lo que hacemos es informar
sobre el virus en el sitio Internet del Consejo Superior de Informática (http://www.map.es/csi),
en el apartado que tenemos destinado a este efecto.
Si la peligrosidad del virus lo requiere, realizamos dos acciones más: por una parte, avisamos
por correo electrónico a nuestra lista de corresponsales en las Administraciones Públicas,
alertando del riesgo de infección vírica y sus características fundamentales para facilitar la
detección, si procede, y remitiéndoles a la información de prevención y protección que ponemos en
nuestra web. Por otra parte, también actuamos de cara a la ciudadanía, difundiendo en los medios
una nota de prensa que recoge las características del virus y la forma de afrontarlo. El Gabinete
de Prensa del Consejo es el encargado de hacerlo público en la radio, la prensa y la televisión.
Pregunta: ¿Se establece algún tipo de cooperación con empresas u organismos para llevar a cabo
esta función?
Respuesta: Efectivamente, la cooperación es básica para que el Centro de Alerta cumpla su misión.
Mantenemos acuerdos tanto con entes públicos como privados: el Consejo Superior de Informática, las
empresas desarrolladoras de software anti-virus, Red Iris (Red Académica de Investigación del
Consejo Superior de Investigaciones Científicas) otros Centros de Alerta Temprana (tanto en
España como en otros países), la Policía Nacional y la Guardia Civil españolas... En estos dos
últimos casos, cooperamos para la prevención de los delitos informáticos. Al fin y al cabo, la
creación y difusión de virus por Internet es un caso claro de actividad delictiva, y las Fuerzas
y Cuerpos de Seguridad del Estado español tienen la obligación de perseguir esta actividad. Por
eso, en nuestra página de Internet tenemos un enlace con la Policía y con la Guardia Civil, de
forma que el ciudadano que tiene conocimiento de que se está cometiendo este tipo de delitos
tecnológicos, puede denunciarlo. No obstante, estas denuncias también pueden efectuarse por
teléfono, en el teléfono 24 horas 91 582 29 00, que pertenece al Grupo de Delitos Informáticos
de la Policía Nacional, y en donde cualquier persona puede presentar denuncia en casos de delitos
contra la seguridad informática, violación del secreto de las comunicaciones, pornografía infantil
en Internet, etc.
Pregunta: Una persona particular o una organización que haya recibido el ataque de un virus, ¿qué
pasos debería seguir?
Respuesta: Por supuesto que si la infección está comprobada, es recomendable acudir inmediatamente
a las empresas especializadas en software anti-virus, para adquirir algún sistema de vacunación.
Pero la opinión pública debería concienciarse sobre la conveniencia de denunciar siempre los daños
sufridos ante la Policía, aunque es innegable que, en principio, el origen de una infección es
siempre muy difícil de conocer, tenga en cuenta que un ataque informático puede venir incluso de
otro país, con lo cual la posibilidad de actuar legalmente contra el creador de un virus es muy
pequeña. Esto pudo comprobarse en el caso del virus 'ILoveYou': al provenir el ataque de Filipinas,
un país que aún carece de una normativa específica para estos casos, no se ha podido hacer nada
contra el responsable, que causó pérdidas por valor de miles de millones en todo el mundo.
Pregunta: ¿Cuáles son las disposiciones más importantes en España, con relación a la seguridad
informática?
Respuesta: La normativa de persecución de estos delitos está recogida en el Código Civil español,
donde, según el carácter general de nuestra legislación, se menciona que aquél que cause un daño
está obligado a repararlo. Luego, en el Código Penal, hay artículos específicos que tratan sobre
delitos contra la seguridad informática.
Pregunta: ¿Qué nivel tiene España en cuanto a regulación sobre seguridad informática, en el ámbito
administrativo?
Respuesta: Respecto al ámbito de las Administraciones Públicas, en España el que se ocupa de
impartir estas instrucciones es el Consejo Superior de Informática, que va elaborando normativa
interna en cuanto a las redes informáticas, los servidores, los 'firewalls', cómo proteger los
sistemas y los datos de las Administraciones. En este sentido, creo que España, sobre todo en el
caso de la Administración del Estado y de las Comunidades Autónomas, el nivel es muy aceptable.
Otra cosa es, por el momento, la Administración local, que por su dispersión y pequeño tamaño a
veces no puede contar con los medios adecuados.
Pregunta: ¿Cuál debe ser la actitud del usuario de Internet ante los riesgos informáticos?
Respuesta: En el ámbito de la ciudadanía, cabrían dos tipos de acciones. En primer lugar, el
propio usuario de Internet tiene que ser un poco 'desconfiado' en cuanto a los correos que
reciba, los sitios web que visite (es decir, aquellos que le hagan sospechar que no son completamente
seguros), etc. Yo siempre recomiendo encarecidamente a todos los que me piden consejo que
dispongan de un buen sistema anti-virus, sobre todo teniendo en cuenta que, hoy en día, la mayoría
de las empresas líderes proporcionan servicios de actualización diarios. El comportamiento correcto
sería el de quien, antes de navegar, pasa primero por la web de su compañía anti-virus y descarga
la última actualización, con lo cual estás absolutamente protegido. El otro tipo de acciones a
llevar a cabo consiste en la colaboración de las Asociaciones de Usuarios de Internet con los
proveedores de acceso, para llegar a acuerdos de forma que estos proveedores lleven a cabo algún
tipo de 'filtraje' de correos que por su comportamiento y características pudieran resultar
sospechosos.
Pregunta: ¿Qué trabas existen en España para el desarrollo del comercio electrónico?
Repuesta: Yo pienso que el internauta corriente no ve la Red como un entorno suficientemente
seguro. Ahí está la pega, el usuario es un poco reacio a dar su número de tarjeta de pago por
Internet y a realizar operaciones de e-business. Pero si los Gobiernos son capaces de facilitar
un marco adecuado de seguridad, el ciudadano va a a estar dispuesto a comprar, a comunicarse por
medio del correo electrónico o a hacer transacciones con el Banco. Consciente de la importancia
del desarrollo de Internet, el Consejo Superior de Informática español, a través del SSITAD
(Comité Técnico de Seguridad de los Sistemas de Información y Tratamiento Automatizado de Datos
Personales), se mantiene al tanto de la evolución del sector de la seguridad informática privado.
El objetivo es, por ejemplo, promocionar los sitios 'https', es decir, sitios seguros en los que
el internauta pueda realizar sus transacciones de e-comerciales con el menor riesgo posible.
Pregunta: ¿Qué nivel tienen los especialistas españoles en seguridad informática?
Respuesta: El nivel de los actuales especialistas es bastante elevado, pero todas las previsiones
indican que España va a necesitar en los próximos años bastantes miles de personas especialistas
en tecnologías de la información, y más concretamente en el ámbito de la seguridad informática.
Hasta el momento, la enseñanza española no se había anticipado a esta necesidad, pero el gran número de alarmas
relativas a ataques informáticos de los últimos años no sólo ha concienciado a las empresas sobre
la necesidad de la presencia de un experto en estos temas, sino que también ha fomentado el
interés por esta disciplina en las Universidades, en las Facultades de informática, que
actualmente están alcanzando un nivel considerable, comparable al de los países más desarrollados
en esta materia. También los centros de investigación de las empresas especialistas están
llevando a cabo una labor encomiable, dentro claro está de los requerimientos que les impone su
negocio, pero claramente contribuyen de una forma dinámica al desarrollo de las tecnologías de
seguridad informática.
Pregunta: ¿Qué opina de la aportación de los medios de comunicación a la difusión de los riesgos
que amenazan las redes informáticas?
Respuesta: Pienso que los medios de comunicación en general tienen una función importantísima, de
cara a la concienciación del ciudadano y también del tejido empresarial. Yo creo que, en cualquier
país, la actitud de la opinión pública con respecto a los delitos informáticos pasa por tres fases:
en primer lugar, la fase de desconocimiento del problema. Después, la fase de concienciación,
en la que la ciudadanía se da cuenta de que existe un cierto riesgo para los propios mecanismos
de funcionamiento de la sociedad; en esta fase es donde los medios de comunicación juegan un papel
primordial de difusión. Por último, nos encontramos con la fase de profundización en las soluciones
que se deben dar al problema tecnológico de que se trate en cada caso. Creo que en España ya
estamos en esta fase, y los medios de comunicación tienen ahora por delante la tarea de servir
de enlace entre el mundo de la tecnología informática y los demás estamentos sociales, como la
opinión pública o la Administración. Hay que tener en cuenta de que, aún hoy, gran cantidad de
pequeñas y medianas empresas de este país no están al tanto de lo que pueden representar los
riesgos informáticos para el desarrollo de su propio negocio, ya que, en la mayoría de los casos,
hay que atender antes otras necesidades básicas, descuidándose de esta manera la previsión de los
ataques a las redes. Los medios siguen siendo un referente clave para definir las actuaciones que
los empresarios y los particulares deben seguir a este respecto.
Dr. Jorge Luis Barallat Quincoses,
Consejero Técnico de Sistemas de Información del Consejo Superior de Informática
http://www.map.es/csi
