Cualquier compañía u organización, no importa lo pequeña que sea, es víctima potencial de la delincuencia en la computación. El crecimiento desmedido de las computadoras, junto con el valor intensificado de los datos manejados y almacenados, impulsa a muchas autoridades a predecir que los golpes de delincuencia en la computación, si no se controlan, aumentarán de modo significativo en los años próximos.
Las pérdidas actuales por concepto de delincuencia en la computación son difíciles de estimar. Donn Parker, asesor de sistemas para SRI International y autoridad en fraudes en el área de la computación, calcula las pérdidas en $5 billones anuales. Sin embargo, otras estimaciones las calculan en solo $300 millones. Esta última suma es más de 20 veces la apropiación indebida anual de hace solo una década.
Para complicar más el asunto, muchos expertos creen que solo el 10% de los actos delictivos en el área de la computación llegan al conocimiento del público y que probablemente muchos delitos permanecen sin descubrir. Lo que resulta claro, sin embargo, es que muchos delitos en el área de la computación involucran grandes sumas de dinero –Parker calcula el fraude bancario promedio en el área de la computación en $500.000, mientras que en los robos bancarios convencionales el promedio apenas alcanza $2.500–. Por ejemplo, en 1980 el Wells Fargo National Bank de San Francisco perdió $21,3 millones en lo que se considera el más grande desfalco bancario en la historia del país. Esta estafa ayudada por computadoras, que involucraba a un exfuncionario del banco y a varios promotores de boxeo, causó pérdidas por más de la mitad de todos los asaltos bancarios de ese año. (A pesar de que los casos que voy a citar están bien documentados, la industria ha puesto en duda el papel exacto que ha jugado la computadora en muchos «delitos por computación»).
Los bancos figuran a menudo en los delitos por computación debido al uso creciente de los sistemas de fondos de transferencia electrónicos, que trasladan inmensas sumas de dinero entre bancos con símbolos electrónicos como único registro. Este sistema reemplaza las firmas personales que anteriormente acompañaban cada transacción bancaria con códigos de autorización electrónicos, una serie de dígitos específicos que identifican a cualquier funcionario bancario que puede autorizar el traslado de fondos. Es posible hacer gran número de transacciones financieras velozmente y con menos costos usando un sistema semejante, pero si los códigos caen en malas manos, se presenta un problema.
Por ejemplo, en 1979 Stanley Mark Rifkin, consultor de computación y exprofesor de universidad, robó $10,2 millones del Banco Security Pacific National. Después de averiguar los códigos de acceso a la computadora durante una visita a la sala de transferencia de cables del banco, simplemente telefoneó al banco y, posando como director de una sucursal, utilizó el código para transferir dinero a un banco de New York –transfiriendo siempre cantidades menores a $1 millón, debido a que transacciones tan «pequeñas» están sujetas a menos controles internos del banco–. Luego ordenó al banco de New York transferir sus fondos a un banco en Suiza. Entonces fue a Suiza, compró diamantes, y volvió a los Estados Unidos. Solamente después de jactarse de su hazaña fue capturado, y mientras esperaba ser juzgado intentó obtener una transacción por $50 millones desde otro banco....
A los bancos se les roba también de otras maneras. El Instituto Americano de Contabilistas Públicos Certificados ha hecho uno de los pocos estudios científicos de las características de los delitos en el área de la computación. De 85 casos de bancos estudiados hasta la fecha, 13 incluían préstamos ficticios, 8 incluían líneas de crédito no autorizadas y el resto incluía distintas formas de manipulación de transacciones. La mayoría de estos delitos no ha sido espectacular, el 70% ha producido menos de $25.000.
A los delincuentes en el área de la computación les gustan también las compañías de seguros. De hecho, uno de los delitos de computación más grandes descubierto hasta ahora –con un total de más de $27 millones, aunque las pérdidas exactas puede que nunca se lleguen a conocer– es el fraude del Equity Funding. Desde 1965 hasta 1971, la compañía usó su computadora para inventar miles de pólizas de seguros falsas, que luego vendió a compañías llamadas reaseguradoras. Con base en el estudio antes mencionado, otros tipos de delito de computación en seguros incluyen reclamos ficticios, préstamos fraudulentos contra pólizas de los clientes y cambio de direcciones y cancelación de pólizas para obtener reembolso de primas.
Después del robo de dinero en efectivo o de valores, el delito de computación más frecuente es el robo de mercancías, dado que los ítemes de inventario se pueden convertir rápidamente en dinero en efectivo. La falsificación de los archivos de computación puede hacer aparecer los bienes como dañados y enviados a destruir, enviados a un cliente y supuestamente devueltos, o sencillamente perdidos.
El caso de Jerry Schneider es un ejemplo perfecto. Estudiante universitario de 18 años, comenzó a robar a la compañía de Teléfonos del Pacífico, convenciendo a la computadora de la compañía de que los robos realmente eran transacciones internas. Posando como periodista de una revista, que hacía un artículo sobre el sistema de distribución de partes de la compañía, Schneider averiguó que las solicitudes de partes llegaban por vía del teléfono de teclado y que eran enviadas a cualquier lugar especificado. Entonces se dedicó al negocio, solicitando órdenes a diario y recogiéndolas en distintos lugares. Después vendió los productos a través de su compañía, Teléfonos Creativos. Sin embargo, un empleado pronto se dio cuenta, pidió participación en el negocio que le fue rehusada, y delató a su jefe pero no antes de que hubiera robado más de $1 millón en equipo telefónico.
La riqueza de información almacenada en las computadoras, que a menudo tiene un valor considerable para los competidores en los negocios, es otro blanco tentador. Por ejemplo, un importante productor de computadoras utilizó un sistema de computadoras para almacenar informes sobre máquinas encargadas pero aun no despachadas. Desafortunadamente, una empleada con acceso al sistema de computación vendió la información a otro fabricante. En esta forma, el competidor podía acercarse a un comprador y ofrecerle un sistema semejante a un costo menor y con una fecha de entrega más cercana.
............
Otro delito común en el área de la computación incluye cambios en la información almacenada, a menudo para inducir a la compañía a tomar decisiones distintas de las que hubiera tomado ordinariamente. Un delito semejante ocurrió recientemente en una universidad de New York que estaba en proceso de automatizar su sistema de informe de notas. Se contrató a estudiantes para llevar a cabo la monumental tarea –que requería que se tabularan en tarjetas de computación las notas anteriores– y alguien comenzó un excelente negocio de convertir una «C» en una «B» o hasta en una «A». Debieron haber pensado que los zorros no pueden cuidar gallineros.
El robo de tiempo de computación es también un problema enredado. Aunque a menudo se le pide a los empleados usar la computadora, su uso puede hacerse inadecuado o excesivo. Por ejemplo, en la mayoría de las universidades se toma el tiempo de computación como si fuera un bien gratuito. Tanto los estudiantes como los profesores a menudo usan la computadora para hacer listados de correos de su iglesia o de sus organizaciones favoritas, considerándolo como simples buenas relaciones públicas. Pero el uso de la computadora para proyectos privados de asesoría sin pagar a la universidad, es verdaderamente inapropiado.
El cuadro es muy semejante en los negocios –la administración a menudo se hará la vista gorda cuando los empleados se dedican a jugar con la computadora o a producir calendarios de tiras cómicas–. Pero si esto se vuelve excesivo, el empleado está «robando» tiempo de trabajo. Y los computadoras solo pueden procesar unos cuantos trabajos al mismo tiempo: análisis de gráficas de biorritmia y los impuestos de la tía podrían retardar la planilla de la compañía. Aunque se les considera delitos menores, estas actividades pueden convertirse en una gran pérdida para el negocio. Si un empleado técnico derrocha media hora cada día en la computadora –lo que no es raro– el costo en tiempo de computación es de más de $3.000 al año, sin incluir los retardos en el procesamiento de las operaciones normales.
Otros acontecimientos calificados a veces como delitos en el área de la computación incluyen robo de programas (el software es uno de los sectores de crecimiento más rápido en la industria), robo de componentes de la computadora y hasta de pequeñas terminales, y la destrucción del sistema de computación de una organización. Por ejemplo, un estudio hecho en la Universidad de Minnesota señala que después de solo 4,8 días sin computadoras, la mayor parte de las compañías no puede funcionar adecuadamente. La destrucción de las computadoras por lo general se debe a una circunstancia accidental como un incendio o una tormenta, pero ha ocurrido destrucción deliberada.
Es tentador comparar a los delincuentes en el área de la computación a otros delincuentes, atribuyéndoles características algo distintas de los individuos «normales», pero ese no es el caso. Donn Parker del SRI considera que el delincuente en computación «marcha a menudo al mismo paso de la víctima potencial pero utiliza una ruta no anticipada». Muchos empleados dignos de confianza en otros sentidos han cometido delitos después de descubrir de manera accidental fallas en el sistema de computación o vacíos en los controles que vigilan sus actividades. Si la recompensa resulta suficiente, individuos hasta entonces honrados podrían sucumbir fácilmente a tales tentaciones.
Al analizar los informes de delitos en computación y entrevistar a los comprometidos en ellos, Parker ha recopilado un interesante perfil del delincuente en el área de la computación. Estos delincuentes tienden a ser relativamente honrados y a estar en posiciones de confianza; pocos serían capaces de hacerle daño a alguien, y la mayoría no considera su delito realmente fraudulento. La mayor parte son hombres; las mujeres suelen ser cómplices, aunque en los últimos tiempos se han hecho más agresivas. Suelen tener entre 18 y 30 años, generalmente brillantes, alertas, muy motivados, aventureros y deseosos de aceptar desafíos técnicos. En verdad, parecieran ser el tipo de persona que los administradores más quisieran emplear.
Sus posiciones varían desde oficinista de entrada de datos hasta presidente de la compañía. Aunque el acceso directo a una terminal de computadora es útil, solo necesitan un trabajo que les permita producir datos almacenados en la computadora. Y quizás irónicamente, la mayoría de los delincuentes en computación que han sido atrapados no han tenido entrenamiento formal; parece que es suficiente solo un poco de conocimiento. Cometen fraudes en las áreas que conocen mejor: oficinistas de la sección de planillas roban de las planillas y no del activo de la contabilidad.
Preguntar de cuántas maneras se puede robar a una computadora es como preguntar cuántos ángeles pueden bailar en la punta de un alfiler –cuando uno piensa haber oído todos, algún método nuevo aparece–. Pero los delincuentes utilizan ciertos métodos repetidas veces, aunque con algunas variantes. La más común es aprovechar la ausencia de controles en ciertos tipos de transacciones. Por ejemplo, las cuentas bancarias inactivas reciben menos atención que las cuentas activas, y son revisadas con menos frecuencia por los auditores. Un director de una sucursal del Banco de Ahorro del Sindicato en New York –a su vez jugador compulsivo– sabía esto y utilizaba la computadora para «pedir prestado» de esas cuentas para pagar deudas de juego. En la industria, si un oficinista de entrada de datos se percata de que las cuentas computarizadas de inventario no se verifican nunca, el oficinista puede fácilmente rebajar algún número y luego sacar los ítemes del inventario.
Un gambito parecido es aprovecharse de un error en un programa de computación. Un «error» puede permanecer sin ser detectado durante años, en especial si se localiza en una serie de instrucciones que se usan pocas veces, y a menudo se le encuentra por casualidad. Por ejemplo, un oficinista en compensaciones que entra datos incorrectos en un tipo específico de demandas médicas puede lograr descubrir el error de un programa. Aunque el oficinista encuentra el error, tal vez la computadora no lo hace –y entonces el oficinista enfrenta fuertes tentaciones de usar el error para archivar demandas fraudulentas–.
Cambios deliberados en un programa de computación pueden conducir a una variedad de fechorías. Las sumas que son de difícil control o poco sujetas a cuestionamiento son las más fáciles de manipular. Por ejemplo, los derechos que se cobran por el uso de cuentas corrientes están dentro de esta categoría. Un empleado de banco podría hacer un programa que cobre a ciertas cuentas seleccionadas aleatoriamente, un exceso de menor cuantía (menos que el costo del servicio de correos, para evitar que el cliente plantee una queja), con lo que consigue una bonita suma de dinero para depositar en su propia cuenta. O en un caso real, el empleado de una compañía al escribir un programa para producir el informe anual de deducciones del impuesto sobre la renta (fórmula W-2), incluyó instrucciones para deducir $4 de los impuestos federales de cada persona. Agregó el total a sus propias deducciones, imprimió su W-2 con la suma incorrecta, y recibió un enorme reembolso de la IRS (Oficina de Tributación Directa). Sin embargo, un conserje se quejó al departamento de planillas de que su W-2 estaba equivocado y el ardid se descubrió. El error del programador fue pensar que nadie iba a notar un error tan pequeño.
Los programas se pueden procesar más de una vez para encubrir estratagemas. Con frecuencia, un bribón escribirá dos programas para una tarea dada, uno correcto y otro fraudulento. Una vez que el programa fraudulento ha producido órdenes de compra, cheques u otros instrumentos financieros de fácil conversión en dinero en efectivo, se ejecuta el programa correcto para encubrir las pruebas de las transacciones adicionales.
Muchos de estos fraudes se pueden lograr al manipular el «sistema operativo» de la computadora –básicamente un programa que controla todos los otros programas ejecutados por el sistema–. Los programadores que trabajan con sistemas operativos se llaman «programadores de sistemas» y se les asigna un número de cuenta maestra, semejante al superintendente de un edificio que tiene una llave que abre los apartamentos de todos. Si alguien logra el control del sistema operativo de una computadora mediante la obtención del número de cuenta maestra, puede copiar o cambiar datos, cambiar programas mientras corren y restaurarlos después, o restringir el acceso a varios usuarios. En el otoño de 1980, por ejemplo, dos adolescentes programaron una computadora casera para que produjera códigos de cuenta maestra aleatorios para la computadora de la Universidad De Paul. Lograron penetrar en la computadora de la universidad por teléfono, usando un módem.... Tuvieron éxito después de varios miles de intentos (que tomaban solamente unos segundos), e impidieron a la universidad usar el sistema durante una semana al, cambiar todos los códigos maestros.
Las computadoras se pueden usar también como «herramientas» veloces para facilitar actividades ilegales o cuestionables. Varios estudiantes del Instituto Tecnológico de California escribieron un programa que produjo 1.2 millones de tiquetes para un concurso del restaurante MacDonald. Como tenían casi la tercera parte de los tiquetes, ganaron los premios mayores y muchos otros premios menores. Esto fue posible debido al acceso gratuito e ilimitado de los estudiantes a la computadora de Caltech y a la política de MacDonald de permitir que los tiquetes se imprimieran en papel corriente. Por lo tanto, el verdadero delito de los estudiantes fue robo de valioso tiempo de la computadora, aunque los funcionarios de MacDonald no lo vieron de este modo.
Otro caso famoso que dependió de la velocidad de la computadora ocurrió en una pista de carreras de galgos en la Florida. Para ganar una «trifecta», los apostadores deben escoger el orden exacto de los tres primero perros. Hay pocos ganadores, y la recompensa se eleva a varios miles de dólares. El número de combinaciones posibles es enorme, por lo tanto no se calculan las probabilidades hasta después de que las apuestas han sido hechas –y solo entonces se hace del conocimiento del público la recompensa del ganador–.
En el fraude, un operador de computadora comenzó los cálculos de computación como siempre al comienzo de la carrera. Sin embargo, después de la carrera registró fraudulentamente que varios tiquetes más se habían vendido. Entonces hubo que crear los tiquetes fraudulentos. Dado que cada máquina vendedora se inspecciona después de que finalizan las carreras, una persona del servicio podía producir en ese momento los tiquetes «ganadores» para cambiarlos después por dinero. Esta estratagema continuó por años, con el reparto de personajes cambiado varias veces. Solamente una enorme cantidad de trabajo detectivesco resolvió este caso, y la cantidad de dinero robado nunca se pudo averiguar.
Casi todos los bancos tienen guardas armados, controles de video, cajeros con timbres de alarma y muchos otros instrumentos de seguridad. Un distribuidor de bebidas gaseosas mantiene a sus camiones de reparto encerrados con candado, con un perro centinela como vigilante nocturno. ¿Por qué es más difícil robar a un banco $2.500 que robar millones de sus computadoras? ¿Para qué se mantienen encerrados los camiones si casi cualquiera puede entrar en la sala de computación del distribuidor de bebidas gaseosas?
A pesar de que mucha gente no cree que el acceso a los centros de computación sea a menudo fácil, mi experiencia demuestra que sí lo es. Mientras hacía una asesoría sobre un proyecto de seguridad en un hotel de Atlantic City, pasé una noche en el casino con un socio. Cerca de las 11 pm nos dirigimos a nuestras habitaciones, pero el elevador se detuvo en el piso en que estaba el centro de computación y decidimos darle un vistazo. La puerta marcada «Centro de cómputo – Se prohibe la entrada» estaba trancada con llave pero tenía un timbre al lado. A1 tocarlo, nos abrió la puerta un operador de la computadora y nos dejó pasar sin decir ni media palabra. Durante los próximos diez minutos anduvimos por el Centro sin hablar con los operadores que estaban de guardia. Finalmente dijimos «muchas gracias» y nos fuimos. ¡Tuvieron suerte de que no fuéramos perdedores enfadados!
La seguridad industrial y la bancaria son bastante bien conocidas, pero la seguridad en el área de la computación no lo es. La historia proporciona datos con base en los cuales calcular las probabilidades de que ocurra un robo y su posible monto, y este análisis de riesgo muestra los costos y beneficios de usar guardas en el banco y perros centinelas. Sin embargo, datos sobre los delitos relacionados con computación no se encuentran fácilmente disponibles, por lo que el análisis de riesgos se dificulta. ¿Cuánto vale un listado de correos de los clientes para un competidor? ¿Cuánto daño se podría hacer si se alteraran los registros de inventario? ¿Cuán probable es un delito en el área de computación? Todas estas son buenas preguntas que no tienen una buena respuesta. Debido a que los datos sobre delincuencia en computación no se han estandarizado o reunido en un depósito central, es difícil llevar a cabo un análisis de las estadísticas. También la complejidad y la variedad de los sistemas de computación significan que un método de análisis de riesgo para un sistema podría no funcionar para otro, por lo cual los programas de seguridad deben ser diseñados específicamente para cada organización.
Los administradores han contribuido a la relativa facilidad de la delincuencia en computación –aunque es cierto que algunos trabajan muy bien para lograr mantener la seguridad– y los controles en relación con los sistemas de computación por lo general son más débiles que en otras áreas de la organización. Cuando las computadoras se hicieron importantes por primera vez en los negocios, muchos administradores no los entendían y dieron completa libertad a la gente de procesamiento de datos. Los profesionales en computación se convirtieron en enigmas, que se suponía hacían un buen trabajo puesto que las operaciones se podían realizar más velozmente.
Los administradores trasmitieron esta actitud a los auditores de la compañía, que adoptaron la política de realizar las verificaciones «sin meterse con la computadora». Las transacciones se seguían cuidadosamente hasta llegar a la computadora y se recogían una vez que salían de allí. Muy a menudo, controles de verificación tradicionales que se conservaban rigurosamente en los sistemas de contabilidad manuales, se eliminaban o se debilitaban en favor de la velocidad de la computadora....
Afortunadamente, hoy día un número mayor de auditores trabaja «tomando en cuenta a la computadora». Estos auditores escriben programas que pueden seguir la pista a las transacciones o utilizan paquetes de software que se pueden conseguir fácilmente en el mercado. Estos nuevos paquetes de software permiten a los auditores identificar a cualquier operador que logre acceso a ciertos datos en períodos en que tales expedientes se encuentran normalmente cerrados. Los programas también pueden detectar empleados que gocen de sobresueldos exagerados o llamar la atención sobre un número anormal de correcciones, que a menudo son señales de fraude en la computación. La mayor parte de los nuevos auditores aprende estas habilidades, pero juega al ratón y el gato dado que hasta las compañías más grandes tienen solo un puñado de auditores a quienes no pueden ganar en astucia los técnicos en computación.
Algunos administradores se han resistido a adoptar sistemas de control adicionales, pues los consideran contrarios a las metas de desempeño. Los controles adicionales pueden retardar la respuesta de la computadora por unos segundos, y cuando se procesan 100.000 transacciones al día –tal y como sucede en las grandes aerolíneas o en los bancos– el retardo extra por cada transacción se hace significativo. Un administrador tiene que mantener la producción diaria, desarrollar nuevos sistemas de procesamiento, planear el desarrollo futuro y atender asuntos de personal. Como resultado, planear para la rara posibilidad de que ocurra un delito en computación –e instalar los controles de seguridad necesarios– no recibe mucha atención.
A menudo se señala mucho con el dedo, y se ha desarrollado un conocido juego de «usted tiene la culpa» en la industria. Los usuarios de computadoras señalan a los especialistas para que resuelvan los problemas. La gente de computación señala a los auditores, quienes señalan a la administración del centro de computación, que a su vez señala a los fabricantes. Es hora de reconocer que la seguridad de la computación es un problema administrativo, y que solo un esfuerzo coordinado, hará que la delincuencia en el área de la computación se haga más difícil.
Finalmente, la delincuencia en computación prospera debido a un rasgo fundamental del ser humano. Quien comete un delito puede decir al cliente que lo interroga, al administrador o al auditor, que probablemente la computadora hizo un error. Entonces el delincuente puede corregir la transacción y continuar con el fraude –dado que casi todos desean creer que la computadora es quien tiene la culpa–.
Quizás el cambio más grande en los sistemas de computación en los negocios es el giro hacia el procesamiento de datos distribuido. En un momento dado las computadoras eran tan caras, que fueron instalados en lugares centrales donde se llevó a cabo todo el procesamiento. Ahora el hardware es mucho más barato y más pequeño, y las terminales de computación se distribuyen por todos los departamentos de la organización, unidos electrónicamente entre ellos y con una gran computadora central. En verdad, el número de terminales en los Estados Unidos se ha más que duplicado en los últimos cinco años, hasta cerca de 3 millones, y los operadores pueden lograr acceso a los archivos de la computadora central desde las terminales más remotas.
Por el hecho de tener más sitios de procesamiento, el problema de controlar el acceso a la computadora aparece muchas veces en vez de solo una. Además, los usuarios se encuentran físicamente más cerca del equipo, lo que ofrece mayores oportunidades de abuso. Y cada sitio requiere administradores calificados, operadores y programadores –profesionales de los cuales hay pocos– por lo que las compañías a veces tienen que aceptar individuos menos calificados que no entienden o no emplean procedimientos operativos normales.
Para controlar el acceso del usuario, el método más común ha sido otorgar palabras de paso secretas. Pero esto está lejos de ser infalible: por ejemplo, una vez que los individuos han obtenido el acceso a la computadora, a menudo tienen acceso total. Se está desarrollando un nuevo mercado que crece rápidamente, de sistemas de software para control de acceso, con el objeto de evitar esos problemas. Este tipo de software limita a los usuarios de la terminal (identificados por la palabra de paso) a aquellos archivos que están autorizados para usar, y los usuarios solamente pueden realizar ciertas funciones. Lo que se necesita es un sistema de frenos y contrapesos en todo el sistema: ningún programador debería poner a prueba su propio trabajo, los programadores no deberían operar el equipo y los operadores no deberían escribir los programas.
............
Otro desarrollo tecnológico que provoca inquietudes en cuanto a su seguridad es el crecimiento que se espera en los sistemas de trabajo a distancia, en los que los empleados trabajan en su hogar o en centros alejados mediante el uso de terminales conectadas electrónicamente a la computadora central de la firma. Está además el rápido aumento de las computadoras caseras, que se pueden usar para interceptar líneas comerciales de transmisión de datos. Hace cinco años solo 1.500 computadoras personales se habían vendido en los Estados Unidos; hoy el total alcanza 500.000, y a mediados de los 80, el número será de 3 millones. La posibilidad dé interceptar era antes considerada como muy remota debido al costo de los equipos, pero ahora Motorola suele hacer una demostración a los banqueros sobre cómo se pueden interceptar líneas de datos con ayuda de un sencillo equipo que se compra en cualquier tienda de artículos de computación.
Existe también la preocupación de «cruces» accidentales de transmisión de datos. Pensemos en una conversación telefónica en que es posible oír a otros hablando en la línea; lo mismo sucede a veces en la comunicación de datos, y de esta manera un tercero puede obtener información que pertenece a otra compañía sin hacer un esfuerzo delictivo deliberado. La industria de las comunicaciones ha estado trabajando en este problema por años, pero todavía no hay solución a la vista.
Para resolver algunas de las inquietudes que surgen acerca del procesamiento de datos distribuidos y la transmisión de información electrónica, se le está dando más énfasis a la criptografía o técnicas de enciframiento. La Oficina Nacional de Estándares y la IBM han desarrollado el Estándar de Criptografía de Datos, modelo matemático que se puede poner en práctica (por medio de software o de chip de microcomputadora) en forma de dispositivo de codificación. Cada usuario tiene una «clave» –una lista de 56 ceros y unos– que permite codificar un mensaje o unos datos, y cualquiera que conozca la clave puede descifrar la información. Por lo tanto, en la banca por ejemplo, una transacción financiera se codifica y se trasmite a la computadora de otro banco, que usa la clave para reproducir el mensaje original. Tal vez unos $400 millones se trasladan diariamente por todo el país con la ayuda de estos sistemas.
Sin embargo, todos los esquemas de criptografía se pueden violar; el trabajo que se requiere para violar un código depende en gran parte del largo de la clave. Los defensores del sistema que hemos descrito alegan que el esfuerzo que se requiere para aprender la clave, usando un enfoque de prueba y error con computación, es tan grande que nadie tendría éxito jamás. Pero algunos críticos señalan que el trabajo no es tan grande, y que la recompensa de violar un esquema de criptografía para sistemas de transferencia de fondos electrónicos hace que el esfuerzo valga la pena.
Una solución posible, insinuada por Leonard Adelman de la Universidad de Southern California, es usar un nuevo método de criptografía «sin clave». Aunque es más seguro, el sistema requiere que el mensaje se trasmita tres veces, lo que aumenta enormemente la carga de trabajo asociada con la transmisión de datos.
Pareciera que el sistema descrito es adecuado virtualmente para toda la información que se trasmite actualmente. El problema es que pocas compañías usan estas técnicas en la actualidad porque consideran los costos muy altos y difícil su ejecución. Pero en verdad las unidades de hardware cuestan menos de $200, y la criptografía de una transacción no requiere trabajo extra porque se hace automáticamente. De hecho, todas las máquinas cajeros automáticos utilizan estos dispositivos.
El delincuente en el área de computación pocas veces se presenta ante los tribunales y menos veces aun va a la cárcel. A menudo las compañías no entablan juicio, porque piensan que los clientes reaccionarán desfavorablemente a la percepción de brechas en la seguridad y trasladarán sus negocios a otra parte. Además, la definición legal actual de ciertos delitos puede ser que no cubra adecuadamente los fraudes en el área de la computación. Por ejemplo, en un robo convencional el ítem se le arrebata físicamente a la víctima. Sin embargo, el robo de información de computación a menudo incluye copia de los datos pero el disco o la cinta originales permanecen en su lugar. Aun cuando se sospecha un fraude, recolectar las pruebas es a menudo difícil, y tales pruebas no son de fácil comprensión para el juez ni para el jurado.
Debido a que las leyes actuales son inadecuadas, ha habido mucha actividad tanto en la legislatura federal como en la estatal. Por ejemplo, el Congreso ha venido considerando por varios años la propuesta Ley Federal de Protección de Sistemas de Computación, que propone severos castigos para los delitos en el área de la computación.
...........
Otra legislación protege los datos de computación de actividades delictivas en ciertas industrias o ramas del gobierno federal. Por ejemplo, la Administración de Alimentos y Drogas (FDA) regula «la manera en que los sistemas de computación usados en la manufactura, empaque y almacenamiento de productos químicos, deben ser operados y controlados». Esta norma, enfocada hacia una única industria, ha sido eficaz por lo general.
Los profesionales en computación deben tomar el liderazgo en la lucha para mejorar la seguridad en la computación. Conforme cada sistema computarizado reemplaza a un sistema manual, el delincuente potencial tiene otra oportunidad. Los programadores, los analistas de sistemas y otros que desarrollan nuevos sistemas de computación, deber ser entrenados en programas patrocinados por las compañías o las industrias en relación con las medidas de control de la seguridad. Se necesitan más auditores capacitados en computación. Así como los programadores necesitan comprender los controles, los auditores necesitan comprender la programación, de modo que sean capaces de participar en el desarrollo de nuevos sistemas de seguridad. Una relación sana de trabajo entre programadores y auditores sería un gran paso hacia la solución del problema.
A los usuarios de computación, que pronto lo serán casi todos en muchas organizaciones, se les debe inculcar un saludable respeto hacia las computadoras. Deben entender el uso adecuado y el potencial de la computadora, y los programas de entrenamiento deberían enfatizar que el robo con ayuda de la computadora no es distinto que robar personalmente una bóveda.
Las instituciones educativas deberían adoptar estrategias semejantes, y darle más atención a la ética de la computación, especialmente ahora que más de 400.000 estudiantes universitarios se gradúan cada año con experiencia en computación. Algunos profesores alientan a los estudiantes a violar la base de datos del colegio, con base en la errónea creencia de que esto les va a ayudar a comprender mejor cómo opera el sistema. Es preferible, no obstante, que los profesores logren este objetivo por medio de acciones más positivas. En mis propias clases, por ejemplo, enseño a los estudiantes cómo vigilar el flujo de las transacciones y la importancia de los controles.
La premisa fundamental es que existen instrumentos para impedir la mayor parte de los delitos en el área de la computación. Es posible comprar dispositivos de criptografía y se pueden adaptar medidas de seguridad de otras situaciones industriales. La legislación se va mejorando, pero con lentitud. Falta, sin embargo, el apoyo de los niveles administrativos superiores. A1 mismo paso que el planeamiento estratégico y el desarrollo de nuevos productos, la seguridad adecuada debe ser una prioridad administrativa. Esta clase de atención es fundamental si queremos poner a salvo la confianza creciente de nuestro país en las computadoras.