Contadores Públicos Autorizados y Consultores Firma Miembro en Panamá de Grant Thornton International Grant Thornton Cheng y Asociados Boletín Fiscal 2000-32 10 de mayo de 2000 Hemos recurrido a nuestro siempre colaborador y consultor en materia informática, Alex Neuman van der Hans de AlterNet Technologies, S. A., para que nos escribiera el presente artículo para ayudar a evitar la contaminación cibernética de virus. A pesar de que el presente tema no se relaciona con la materia tributaria, no obstante, a raíz del último ataque masivo que ha sufrido el ámbito mundial informático de un virus en las computadoras transmitido a través del correo electrónico. Muchos suscriptores de nuestros Boletines Fiscales nos han llamado para que escribiéramos, en una forma sencilla, cómo evitar este tipo de destrucción a nuestras computadoras. En días pasados los virus informáticos y sus distintas variantes han ocupado una vez más las primeras planas de los principales diarios y demás medios de comunicación masiva. Desde el impacto del famoso virus denominado Melissa, se ha incrementado el conocimiento general en cuanto a materia de virus se refiere; esto no ha impedido que conjuntos de instrucciones maliciosas como el llamado virus del amor, se hayan reproducido a gran escala aprovechándose de descuidos por parte de las casas fabricantes de software de aplicaciones de oficina (procesamiento de palabras, correo electrónico), y actitudes negligentes por parte de los creadores de software antivirus ante la gran cantidad de brechas de seguridad existentes en los programas de mayor uso en el mercado. Aunque la responsabilidad de la infección recae casi siempre sobre el usuario final que ejecuta programas maliciosos disfrazados de contenido benigno, el nivel creciente de sofisticación adquirido por los programas de correo electrónico y acceso a Internet ha permitido que se implementen, en nombre de una supuesta mejor experiencia para el usuario, métodos y tecnologías que brindan la posibilidad de enviar mensajes de correo electrónico y crear contenido de Web que ejecute complicadas instrucciones con el objetivo principal de brindar contenido especial – que incluye material multimedia, animación, o interactividad – el cual debiera ceñirse a diversos criterios de seguridad para evitar filtración no deseada de información y respetar el derecho a la privacidad de los usuarios de Internet. Ante este tipo de vulnerabilidad, las posibles soluciones van desde medidas básicas de seguridad basadas en el sentido común hasta la im- plementación de sofisticados sistemas de detección, remoción e inmunización contra este tipo de ataques. El verdadero problema está en que este tipo de técnicas, que en el caso de Melissa y el virus ILOVEYOU solo tuvieron repercusiones dado su alto potencial de replicación, pueden tener consecuencias nefastas en caso de ataques perpetrados con premeditación ante enemigos corporativos en una guerra informática; del mismo modo en que uno de estos virus puede reproducirse, podrían utilizarse para conseguir acceso a información privilegiada y confidencial, la cual podría ser utilizada en nuestra contra por nuestra competencia o por un empleado insatisfecho. Es necesario, al margen del esfuerzo de los medios masivos de comunicación por alertar a los usuarios finales ante el peligro, brindar los conocimientos y técnicas necesarias para evitar este tipo de contagios a toda costa, ya que el costo que implica un contagio puede ir desde el tiempo necesitado por los profesionales de informática para desinfectar uno o más equipos hasta la pérdida de negocios por filtración de información a nuestra competencia o cualquier otro elemento que pudiera estar interesado en hacernos daño. En principio, la realidad es que todo usuario de sistemas operativos, aplicaciones y demás accesorios provenientes de Microsoft están bajo riesgo. La comunidad de usuarios de Linux, Macintosh y demás sistemas operativos han tenido la dicha de mirar casi impávidos como los usuarios de Windows, Word, Excel, Internet Explorer y las diversas encarnaciones de Outlook han tenido que lidiar con estos problemas casi desde un principio. Con el advenimiento de la inversión hecha por Microsoft en Apple, y la implementación de Microsoft Office e Internet Explorer en las Macintosh, el temor de contagio ha sido minimizado solo por el hecho de que el sistema operativo de las Macintosh es suficientemente distinto como para permitir la ejecución de virus diseñados para PC’s con Windows. El problema para estos usuarios radica en que cada día más funciones son creadas cross-platform, es decir, que Grant Thornton Cheng yAsociados funcionan de manera idéntica sin importar si la plataforma es PC o Macintosh. He aquí algunos consejos para evitar este tipo de problemas, los cuales esperamos sean efectivos a la hora de impedir cualquier tipo de ataque a sus sistemas informáticos. Esta lista es de carácter general e informativo y de ningún modo intenta ser una referencia absoluta en cuanto a seguridad de sistemas se refiere. 1. 2. Actualice su antivirus; de ser posible, actualícelo semanalmente. Si es usuario de PC, jamás abra, bajo ninguna circunstancia, archivos cuyo nombre termine en “.com”, “.exe”, “.bat”, “.vbs”, “.sys”, “.drv”, “.dll”, “.vxd” o “.reg”. Es importante notar que algunos archivos se “disfrazan”, ya que a menos que se le especifique lo contrario, el Windows no despliega automáticamente la extensión de 3 letras al final de un archivo. Esto podría hacer que un archivo llamado mifoto.jpg.exe aparezca en la pantalla como mifoto.jpg. Para verificarlo, puede guardar el attachment y luego pasar el botón derecho del mouse y elegir propiedades. Alternativamente puede ir a Mi PC, Unidad C:, Ver… Opciones, y quitar la marca de ocultar las extensiones para tipos conocidos de archivos. Esto permitirá que pueda observar la verda- 3. 4. dera extensión del archivo antes de abrirlo. Deshabilite la posibilidad de ejecutar contenido activo en Internet Explorer. Hay varias maneras de hacerlo; la más fácil es bajo Opciones de Internet incrementar el nivel de seguridad a Alto – en la mayoría de las computadoras esta como medio o bajo. Es posible que algunas paginas de Internet no abran apropiadamente. Aunque el ambiente Java, de Sun Microsystems, es de un alto nivel de seguridad en su especificación original, el intérprete de Java de Internet Explorer desarrollado por Microsoft es notablemente inseguro. Si lo desea, puede deshabilitar Java en opciones de Internet. 5. 6. 7. 8. 9. Si utiliza Outlook, deshabilite la ventana de previsualización, que aparece en la ventana inferior de la pantalla. Otra alternativa es deshabilitar el contenido activo como en el paso 3, y evitar abrir los attachments descritos en el punto 2. Si necesita abrir un documento de Word, Excel, PowerPoint u otro archivo creado en Microsoft Office, asegúrese de responder abrir sin macros si se le pregunta al abrirlo. El abrir con macros hará que su PC quede infectada si la macro es un virus. Conserve respaldos de su información en medios de almacenamiento confiables. Deshabilite el Windows Scripting Host – el principal responsable de ILOVEYOU. Vaya a Panel de Control, añadir archivos y/o programas, instalación de Windows, Accesorios, y le quita la marca a Windows Scripting Host. Considere alternativas a los programas y sistemas operativos de Microsoft con mejor seguridad, o salvaguardar sus sistemas a partir de una completa asesoría en cuanto a procedimientos, técnicas, equipos y programas de seguridad. Siguiendo estos pasos podrá usted estar un poco más tranquilo a la hora de enviar y recibir correo, sabiendo que con un poquito de sentido común y los conocimientos correctos sobre como trabajan estos virus podrá evitar un contagio. Nota: Los términos virus, gusano, Caballo de Troya y demás están siendo mal utilizados constantemente en los medios de comunicación, y los hemos utilizado de una manera un poco liberal en este articulo para identificarnos con los términos utilizados por dichos medios. Si desea una aclaración sobre estos u otros términos informáticos (como hacker, cracker, etc.), o para cualquier otra duda sobre el tema, escríbanos a: infovirus@chengyasoc.com y con gusto le ayudaremos. El contenido de este boletín fiscal, al igual que los anteriores, es de tipo informativo y general sobre temas que nuestra firma considera pueden ser de interés para nuestros clientes y amigos. Bajo ningún concepto, el contenido de estos boletines debe ser considerado como una opinión formal de Grant Thornton Cheng y Asociados +507/264-9511. Estimados Colegas CPA: El Colegio de Contadores Públicos Autorizados de Panamá, como todos los años, el próximo día 26 de mayo, llevará a cabo el torneo de las elecciones de la Junta Directiva. Informamos a nuestros suscritores que estamos liderizando la nómina CPA: Gestor de Estrategias y Cambios. Esperamos el apoyo de nuestros colegiados en las elecciones y el apoyo moral de nuestros amigos de otras disciplinas.