Marketing Mercenario
Artículo publicado originalmente en el Ezine Margerine del 31 de Marzo de 2001
(ISSN 1576-4559)

Autora: Mar Monsoriu Flor, Valencia (España)
http://www.mixmarketing-online.com

Ignoro si es algo que sucede a más gente de marketing pero lo cierto es que para mí bautizar un nuevo concepto es algo que siempre me ha resultado tan difícil como atractivo. Se trata de un reto irresistible. Una suerte de vicio intelectual, lo confieso. Aunque de entrada la idea a encorsetar pueda tenerla perfectamente delimitada, cuesta mucho trasladarla con acierto a una etiqueta que me guste. Por supuesto, no me vale cualquier nombre ya que soy muy consciente que, en sí mismo, ese conjuntillo de letras es esencial para una afortunada comunicación del concepto.

Por eso cuando tengo algo nuevo in mente le doy vueltas y vueltas y más vueltas, hasta que localizo algún término con el que me siento realmente cómoda. Tan a gusto como creo que se sentirían, hace unos años, Al Ries y Jack Trout cuando triunfaron rescatando la idea de "Marketing de Guerra". Idea que, recordemos, se trabajó inicialmente el estratega militar chino Sun Tzu.

De vuelta a la época contemporánea continuo pensando que a Jay Levison también le debe resultar confortable pasar a la historia como padre del "Marketing de Guerrilla", por eso ahora yo inspirada en ellos cuatro -debo reconocerlo- me sentiría muy relajada también si logro que se me reconozca como la madrina del: "Marketing Mercenario". Mi última invención. ;-)

Debo aclarar que a diferencia del Marketing de Guerra y del de Guerrilla, el Mercenario es completamente impresentable, zafio y moralmente inadmisible. No sólo no es de manual, sino que entra en terrenos claramente delictivos. Ya me estoy imaginando la cara de estupefacción de más de uno de mis lectores/as. Paciencia. No penséis que de tanto trabajar se me han aflojado las neuronas y he optado por convertirme en una bandolera. Tranquilos, de momento no, continuo en la parte blanca de la Fuerza, y quizá por eso voy a explicar que se hace en el otro lado como modo de poder combatir las amenazas que nos vengan de ahí.

Insisto en que no apruebo ninguna de las técnicas del Marketing Mercenario. Es más: estoy directamente a la contra de las mismas. Considero que es un uso bastardo de la tecnología para hacer marketing bajo una ética patibularia. Es un asco y una vergüenza, sin embargo, no se debe negar la evidencia y lo que os voy a contar a continuación, queridos y queridas, es algo que se esta haciendo YA y que nos afecta a todos.

Las siguientes barbaridades reflejan una cruda realidad que hay que poner sobre la mesa de una vez por todas. Internet es genial para nuestras empresas, negocios y organizaciones, pero un mal uso de la Red por parte de nuestros competidores puede causarnos muchísimos problemas. Asi que vamos a evitarlo. Información es poder. Es concretamente poder saber cómo capar a los mercenarios el marketing antes de que se reproduzcan.

La definición que he añadido a mi Vocabulario Técnico de Marketing e Internet es la siguiente:

Marketing Mercenario: Uso no ético de la tecnología para captar clientes, conseguir información de la competencia, o perjudicar a la misma dificultando las comunicaciones con su entorno de muy diversos modos. Este tipo de practicas, amen de moralmente impresentables, son en la mayoría de los casos ilegales ya que violan la privacidad de las telecomunicaciones y abusan de la buena fe de los usuarios.

Desde el punto de vista informático las herramientas, o más exactamente el conjunto de programas que se están usando para hacer Marketing Mercenario tienen una clasificación determinada. Este esquema considera que los virus y otro tipo de programas maliciosos, (o malware, en argot de inglés americano) pueden ser agrupados dependiendo del formato de sus archivos y de las rutinas que siguen para llevar a cabo la infección.

Sin embargo yo he optado por agruparlas en función a los objetivos que se persiguen en cada caso, concretamente:

1.-Envío de Información No Solicitada a través de Correo Electrónico. El Spam.
2.-Envío de mensajes a Teléfonos Móviles usando la Triangulación.
3.-Secuestro virtual de los usuarios para que visiten una página web.
4.-Espionaje de los usuarios que han visitado una web para ver que hacen en Internet.
5.-Espionaje de los usuarios de un determinado programa.
6.-Acceso remoto a los ordenadores de la competencia para robar información.
7.-Utilización de máquinas de un segundo para perjudicar a un tercero.

Antes de pasar a referir los objetivos y las herramientas de las que se sirven los mercenarios del marketing para hacer el salvaje, quiero animar a quien esto lea apuntando que al final de este elenco de animaladas, hay una serie de precisas instrucciones de cómo se activan las contramedidas para quedar inmunes ante los intentos de ataques de quienes malviven en el reverso tenebroso de la fuerza. Aclaremos que no se trata de guerreros con causa integrados en una organización (marketing’s warriors, en inglés) sino de gentuza a sueldo de quien mejor les pague en cada momento. .

1.- Envío de Información No Solicitada a través de Correo Electrónico. El Spam.

Por inocente que parezca, por aquí se empieza. Solo quien pierde cuentas de correo profesionales inundadas de información que no le interesa; tiempo filtrando y borrando mensajes No solicitados; y recursos de su sistema, es capaz de calibrar la dimensión del problema. El spam resulta tan irritante como si cada vez que nos pasaran una serie de anuncios en medio de un programa de televisión encima nos cobraran un euro por ver cada uno de ellos.

Para quien entienda el inglés aconsejo un vistazo al sitio web de la Lista Salvaje (http://www.wildlist.org/conduct.htm) que es una Ong creada por el especialista en investigación de virus, Joe Wells. Dicha asociación, de tan curioso nombre, pretende concienciar a los usuarios de la Red y educarlos frente a las practicas perniciosas. Prácticas tales como propagar virus sin querer, o enviar spam queriendo.

Esta lista debería verla algunos que consideran que es baratito y cómodo enviar mensajes publicitarios a miles de personas. Es barato porque de modo gratuito en la Red es sencillo localizar montones de programas llamados extractores (sniffers) que sirven para aspirar permanentemente direcciones de correo electrónico de las páginas web e ir elaborando listados con ellas que luego venden.

Por cierto, como consejo para evitar el spam en cuentas de correo en web, en el código fuente cabe añadir algo que no le sirva a los robots. Yo he puesto: bagheera@mixmarketing-online.com(SOLO-PARA-NO-SPAMMERS). Cuando se deban incluir las cuentas de correo de diferentes departamentos, existe una solución que es menos interactiva pero más buena respecto a resguardar esas cuentas de su detección por los spammers, esta solución consiste en incluir la relación de cuentas de correo dentro de un archivo de imagen, del tipo *.gif, por ejemplo.

Respecto al spam cabe añadir además que estos trileros del Marketing en Internet olvidan que en la Red las iniciativas anti-spammers están prácticamente protocolizadas. Un ejemplo de lo anterior, es decir, el de una sistemática a la hora de activar contramedidas frente a los spammers lo tenéis a vuestra disposición en la FAQ de nuestro grupo de Noticias es.ciencia.marketing (http://www.mixmarketing-online.com/faq-es_ciencia_marketing.html). Son muchas las iniciativas que se están llevando a cabo contra los spammers de modo que es una cuestión de tiempo. El temporizador ya esta en marcha...

2 - Envío de mensajes a teléfonos moviles usando la Triangulación

El desarrollo de este sistema se atribuye a los servicios secretos israelitas, es decir, el Mosad, entidad de reconocida solvencia en el campo de la investigación... electrónica e informática. Durante un tiempo corrió incluso el rumor que gracias al uso de un teléfono móvil fue localizado y fulminado un miembro de Al-Fatah en Túnez. Vaya usted a saber si fue por eso, pero el caso es que actualmente tengo entendido que el sistema por el que se triangula esta mucho más perfeccionado.

Dicho esto, solo cabe considerar de mercenarios a los anunciantes que enfocan sus mensajes publicitarios hacia una audiencia de la que quieren saber todo a cualquier precio, incluido en un momento dado, su exacta localización. Y ello sin el consentimiento del cliente, claro esta. De momento ya se esta empezando a dar una situación de permanente acecho-control-rastreo del cliente al objeto de freírlo a anuncios a través del teléfono móvil. De hecho, empresas como GeePS.com y AirFlash.com ya ofrecen servicios sensibles a la ubicación geográfica.

Antes de que alguien me tilde de exagerada y piense que estoy en contra de la potencialidad del medio, permitidme que os recuerde la definición del Mix de Marketing Online. Expresión que acuñé cuando para enviar mensajes a teléfonos móviles, de España a España, algunos lo hacíamos a través de un servidor de gratuito de Sudáfrica porque aquí el servicio estaba a un precio prohibitivo y encima funcionaba mal.

Más o menos por la misma época en la que, en el primer mensaje de texto que, de broma, yo enviaba a mis amig@s se podía leer esto: “beep, beep, beep, este teléfono se autodestruirà en 20 segundos,...19, beep, 18, beep, 17, beep,16.....”, idee lo siguiente:

“Mix de Marketing Online: Concepto acuñado por la autora de estas líneas para definir al conjunto de herramientas y estrategias de marketing que se desarrollan en la convergencia de Internet y la telefonía móvil.”

Creo en la telefonía como canal, por supuesto, pero por encima de ello defiendo el marketing con consentimiento. Lo otro es marketing cafre que solo se dedica a spammear las pantallas de los teléfonos con, de momento, nulos resultados comerciales cuantificados.

Por eso deberíamos celebrar que el reglamento a la privacidad en la industria de la telefonía móvil vaya a venir de la mano de la propia industria que trata de autoregularse. Con esa finalidad se ha creado: The Wireless Advertising Industry Association (WAIA), una nueva organización en la Red administrada por AdForce y que incluye a Motorola, OmniSky, Battenberg Fillhardt & Wright, Contra, FusionOne, Media Metrix, Motorola, Nokia, OmniSky, OpenGrid, Oracle, PCS Innovations, and SF Interactive entre otros.

La WAIA tiene como objetivo lograr que: "la publicidad en el mundo de la telefonía móvil sea fruto de un acuerdo entre el anunciante y el cliente". Dee Cravens, vicepresidente ejecutivo de Adforce, vislumbra un futuro en donde uno opte por recibir, mediante un convenio, únicamente la publicidad que le sea relevante periódicamente.

El nacimiento de la Wireless Advertising Industry Association (WAIA), el día 18 de abril de 2000 en San Francisco (California) curiosamente en Estados Unidos, resulta más loable si cabe porque ese país lleva un considerable retraso en telefonía móvil respecto a Europa. Retraso al extremo que el protocolo WAP (Wireless Protocol Application) para recibir una Internet primitiva a través de la pantalla del móvil en USA lo han rebautizado como "Where are the phones?".

La “desventaja” que les supone a los norteamericanos no poder disfrutar de navegar en piragua por la Red a través de su terminal Wap, les deja a salvo de un tipo de Virus que sólo afecta a los teléfonos móviles que se apoyan en esa tecnología. El virus consiste en un ataque al software que hace posible la conexión y la descarga de información de Internet remotamente. Es decir el teléfono llama y se conecta a lo que al mercenario del marketing le da la gana, y la llamada, a carísimo precio de móvil, la paga el cliente.

3.- Secuestro virtual de los usuarios para que visiten una página web.

El modo menos elegante de hacer la gracia que da título a este epígrafe es con el denominado “Homepage Hijackers” que es un tipo de programas que obligan a un ordenador conectado a Internet a visitar una web. Para ello se requiere que esté instalado el WSH (Windows Scripting Host). Del citado soft hacen mal uso unos de gusanos que se cuelan en el sistema de la víctima y, por ejemplo, le cambian la página de inicio del navegador, o le abren otra y conectan a la del secuestrador quien, de este modo tan sui generis, tiene garantizadas un número alto de visitas. No les importa a los mercenarios del marketing que los internautas hayan ido a ver su web a la fuerza. Son así de brutos.

Además para hacer esto los aficionados al Marketing Mercenario también se sirven de las prestaciones de los controles de ActiveX los cuales permiten a los desarrolladores web crear paginas interactivas y dinámicas con funcionalidades concretas. Un control de Active X es un componente que tiene como objetivo activarse de modo automático cuando una página es vista. La mayoría de los navegadores pueden ser configurados para que no se ejecuten los Active X con solo cambiar el nivel de seguridad a alto. Con demasiada frecuencia estos controles son usados para atacar sistemas. Consuela saber que es fácil librarse de ellos ya que solo es necesario borrarlos.

Algo similar ocurre con los Java applets, programas pequeños multiplataforma que son usados indistintamente por los desarrolladores de web para aumentar la interactividad de las páginas y por los crackeros para violar las inseguridades ajenas. Así pues, en el ámbito profesional es aconsejable tener desactivadas en el ordenador del trabajo las opciones de Java del navegador que se use.

4.- Espionaje de los usuarios que han visitado una web para ver que hacen en Internet.

Aquí ya la cosa empieza a ponerse mas caliente porque el espionaje supone una manifiesta violación de la privacidad del internauta. ¿Cómo lo hacen? Ejem…, lo cierto es que hay un montón de formas. La más tonta es a través de cookies, que en realidad, a lo mejor no son sólo archivos de texto, pudiendo ser programas de MS-DOS. Ni por esta vía ni por ninguna otra hay que permitir a nuestros competidores que puedan saber si acudimos a visitar sus webs y de ahí a otros sitios web, de no importa qué temática.

Un modo frecuente de colar cualquier cosa al prójimo es a través de lo que se denominan Virus de Script, los cuales están escritos en lenguajes de programación tal que el Visual Basic Script (vbs) o el JavaScript. Ambos se activan haciendo doble clic en *.vbs or *.js. Al parecer un de los modos más sencillo camuflar este tipo de virus es dentro de supuestas ciberpostales. Así que si en el trabajo recibís un mensaje de correo del tipo: “Marta te envía una postal cachonda” mandadlo sin abrir a la papelera y vaciad esta inmediatamente.

5.-Espionaje a los usuarios de un determinado programa.

Este espionaje se hace a través de un tipo de software que responde al genérico de Adware. Suele venir incluido dentro de programas de uso muy común como pudiera ser el Cuteftp. El usuario cree razonable ver una serie de anuncios a la vez que usa gratis algo que le es cómodo. Lo que sucede es que no solo ve ya que al ejecutar el programa le colocan un archivo que es algo así como: ADVERT.DLL y a partir de ahí, cada vez que el cliente se conecta a Internet, el anunciante patrocinador de los programas cotillea lo que le interesa de quien lo esta usando.

Sobre el adware ya se ha montado un cristo en Estados Unidos porque además del abuso contra la privacidad que supone que cuelen algo de bajo mano, en ninguna parte queda claro ni que información se envía al anunciante ni que es exactamente lo que se hace con la misma. En cualquier caso, no se cuenta con el consentimiento del cliente al que en la mayoría de las ocasiones le toman el pelo haciéndole creer que esta viendo inofensivos banners.

Desgraciadamente no es ilegal (a veces) porque en las cláusulas contractuales de la licencia de uso del software se informa sobre el particular. De modo que el cliente, que bien podemos ser nosotros o alguna persona de nuestras empresas, autoriza a que le instalen el adware. El abuso viene al aprovecharse de la falta de costumbre que la gente tiene de leer esta información. Para los hispanos, además con mayor motivo porque tenemos que enfrentarnos con la barrera que supone que dichas advertencias estén en inglés, casi siempre.

6.-Acceso remoto a los ordenadores de la competencia para robar información.

Este acceso se hace generalmente a través de programas llamados troyanos. En su origen un troyano no es mas que un programa que permite la administración remota de un ordenador. Algo muy útil, sin duda, para mantenimiento de equipos en organizaciones, y en general para acceder de información a distancia. Estos programas funcionan en modo cliente/servidor, siendo la maquina a administrar la que tiene el servidor que queda a la escucha, para cuando el cliente le llama y, si recibe respuesta afirmativa, entrar en contacto.

Esto es ideal de no ser porque basado en la potencialidad de este software, hay quien se dedica a colocar servidores de troyanos en ordenadores ajenos (sin consentimiento de la víctima, claro esta) a fin tener el dominio absoluto de ese equipo. Repito, dominio total y absoluto. Incluye incluso saber lo que charlamos por IRC con otras personas, aunque sea usando la opción DCC, porque la mayoría de troyanos pueden incluir un logeador de teclas que reproduce lo que la víctima está escribiendo en un momento dado

Antiguamente se comenta que había empresas que pagaban por obtener información de la competencia, unas fotocopias por aquí, unos planos por allá...ahora las nuevas tecnologías han revolucionado el modus operandi y nuestros competidores menos escrupulosos bien pueden estar debatiendo en su sala de juntas el presupuesto anual de nuestra empresa, o los planes estratégicos, a los que acceden, en tiempo real, a través del troyano que alguien haya colado en nuestra organización.

Tengo conocimiento de tantos casos en esta línea que si hiciera una relación se pondría de nuevo de moda el ábaco. Nadie se salva. Subsecretarios, consejeros delegados, gente de las finanzas, de la iglesia y de los medios de comunicación. Así pues: quien este libre de troyanos, que empiece a tirar el primer cd-rom. No seré yo, no quien lo haga…

Las estrellas de este firmamento de herramientas del cotilleo profesional son: NetBus, Back Orifice, ICQtrogen, PWSteal, PrettyPark, Sun Seven, Bionet,... aunque en el mundo hispano se ha puesto de moda el denominado Controltotal, desde cuya web (http://www.controltotal.org) se da un cursillo detallado de cómo violar la privacidad de las telecomunicaciones. Ignoro el componente delictivo de tal incitación pero sin duda desde el punto de vista ético, al menos, si que podría estar justificado trasladar al autor de esa cosa el perjuicio económico y moral que nos pueda ocasionar el uso de su obra por parte de nuestros competidores y exigirle responsabilidades.

Con todo para causar una destroza en los equipos ajenos el método tradicional que emplean los que se dedican al Marketing Mercenario es lograr colarle un virus que de verdad arrase con la información que contienen sus ordenadores. Esto se logra con, por ejemplo, los virus del tipo: Boot Sector que son aquellos que atacan la tabla de partición del disco duro o sea la pista cero donde esta la información del disco. Una de estas monadas es el conocido Win95.CIH.

Ese tipo ataca las BIOS y los ficheros con la extensión exe. Destroza la BIOS y normalmente hay que cambiar hasta la placa base. Es de los que se activa con una fecha determinada (¿al inicio de una campaña promocional? ¿por ejemplo?) y son salvajes, ni modernos ni nada, solo salvajes. Estos virus a lo rústico hacen casi el mismo destrozo que si le pegas fuego al ordenador. Con el inconveniente de que encima no cobras de la compañía aseguradora.

Otro tipo viene de la mano de los programas conocidos como clásicos Infectadores de Com y de Exes, especializados en pringar los archivos ejecutables con el objetivo de continuar replicándose en otros programas del mismo servidor. Algunos son muy destructivos ya que tienden a formatear el disco duro.

Cabe añadir, por último, un sistema de ataque indirecto que se realiza desde dentro de la organización víctima. Esta amenaza es posible mediante el uso de sniffers. Es decir, de programas que permiten a quien los usa ver el tráfico de red del resto de los ordenadores de su segmento de red. Por ejemplo, supongamos que tenemos dos ordenadores que estén conectados en una red local a un mismo hub. Si desde uno de ellos se activa un sniffer cuando desde el otro un usuario vaya a leer su correo, el primero podrá tranquilamente capturar su login y password, y a partir de ahí usarlos a discreción.

La solucion contra eso es usar switches en vez de hubs, o concentradores. Por lo visto hay que hacer esto porque un hub lo que hace es que cuando recibe un paquete de datos lo reenvía a todos los ordenadores y se supone que el sistema operativo de cada ordenador se encargará de recibir sólo los paquetes que sean para él. Contra ese sistema el sniffer pone la tarjeta de red en "modo promiscuo" (se llama así) y captura todos los paquetes de datos aunque originalmente no estuvieran destinados para ese ordenador.

Conclusión: si te colocan un troyano en un ordenador conectado al mismo segmento que los ordenadores de la directiva de una empresa los Mercenarios del Marketing podrían leer el correo de la dirección incluso antes de que le llegue a los legítimos destinatarios. Y encima todo ello desde un ordenador de cualquier becario sin necesidad de entrar directamente a los ordenadores del staff de la compañía.

7.-Utilización de máquinas de un segundo para perjudicar a un tercero.

Voy a tratar de explicar este punto con un caso hipotético. Supongamos que algún mercenario del marketing que trabaja para la empresa A en Alemania, quiere perjudicar a la empresa B, de Estados Unidos. Para ello, con una determinada antelación se dedica a introducir programas maliciosos en maquinas de la empresa C, de España. Normalmente la tal empresa C es un organismo oficial (universidades, bolsas, cámaras de comercio, ministerios), o una compañía con una cantidad importante de equipos (petroleras, eléctricas, aseguradoras).

Cada máquina que se logra infectar puede además contagiar y controlar a unas cuantas más, por ejemplo a 20. A determinada fecha para la que se prepara la ofensiva, ante una instrucción concreta, estas máquinas actúan como repetidores y empiezan a atacan a la empresa B, pidiendo todas a la vez, vamos a suponer las páginas web dicha empresa B. Tal es la cantidad y la frecuencia de la demanda que el servidor de la empresa B encargado de darle respuesta no puede satisfacerla por lo que le tumban el sistema por denegación de servicio.

A poco que la empresa afectada y fuera de servicio pida una investigación oficial, descubre que el atacante, la petición anormal, orquestada y programada de páginas procede de la empresa C, la española, a la que le puede pedir una indemnización. No se puede actuar por la vía penal, pero por lo que me han explicado, sí por lo civil. De esta manera, con los repetidores, los mercenarios del marketing pueden incordiar a dos competidores de un plumazo, o colocarle el muerto a quien se les ocurra.

Por eso es importante no dejar que puedan usar nuestros equipos para hacer calamaradas desde ellos, como no dejamos una pistola al alcance de un niño, por más que nosotros pudiéramos tener licencia de armas. Mi abuela decía que quien evita la ocasión, evita el peligro, y nunca hasta ahora había pensado yo que seria capaz de relacionar esa frase con la informática.

El genérico de la herramienta para llevar a cabo este tipo de gracias se denomina: Spyware y son componentes que se cuelan a hurtadillas y activan procesos de fondo, para violar la privacidad o exponer un ordenador a un ataque. Dentro del software espia quedan incluidas varias subespecialidades con a su vez utilidades diversas.

La manera más tonta de colar este software espía es a través de virus de macros asociadas a plantillas de programas tipo el Microsoft Word o el Excel. Estos virus suelen estar hechos en Visual Basic for Applications (con extensión vba), y se colocan a miles todos los días gracias, entre otras razones, a la falta de conciencia que sobre el riesgo que corre tiene quien usa el Outlook Express.

También ha llegado a mis orejas que hay quien programa con mala idea en base 64 y cuando una víctima abre el correo no ve nada. Es más da igual que el programa le diga si quiere abrir o guardar en disco, el caso es que el gusano ya esta dentro. El problema existe porque el Outlook Express utiliza, para mostrar los mensajes, el mismo componente que el Internet Explorer usa para mostrar las páginas web.

Cuando Internet Explorer recibe un fichero para descargar de Internet, pregunta al usuario si desea almacenarlo en disco o ejecutarlo directamente, pero para aprovechar el tiempo al máximo posible el programa ya va guardándolo en un archivo temporal. Si se usa el Outlook Express, como en la actualidad los discos duros son muy rápidos y los mensajes son relativamente pequeños antes de que de tiempo a darle al botón de cancelar, ya se ha almacenado el fichero en el directorio temporal de Windows.

Si a continuación recibimos un mensaje también programado en VBScript con la instrucción 0.de que ejecute el fichero recién almacenado... pues ya se nos ha colado un virus/gusano simplemente por tratar de leer los mensajes con el Outlook.

Así pues, para niveles altos de seguridad, hay que ver el correo en texto plano y antes de abrir nada, tomarse un día de reflexión y luego olvidarse del asunto.

Después de leer esto, - quien haya llegado hasta aquí -, puede hacerse la pregunta: ¿quién hace estas cerdadas en el ámbito profesional?, Evidentemente, los hijos de una víbora que necesitan apoyarse en la fuerza de los bytes mal llevados antes de lograr conquistar un mercado empleando medios que supongan esfuerzo e imaginación. Observad si tiene narices la cosa que un sitio argentino ha encontrado como modo de promocionarse el ofrecer un kit de fabricar troyanos ( http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_VBSWG)

Así se activan las contramedidas

Nuestras empresas, organizaciones y casas, son nuestros reinos de pin y pon y como tales hay que defenderlos. Por lo tanto para protegerlos de quienes se dedicar a usar el Marketing Mercenario conviene como mínimo seguir las instrucciones que explican en la FAQ Oficial del grupo de Noticias de Usenet es.comp.hackers, (cuya versión integra puede encontrarse en: http://www.faqs.es.org/faqs/comp/hackers/comp-hackers.txt). Según la citada fuente:

Para aumentar la seguridad General de los sistemas:

1º.- Instale y mantenga actualizado un buen antivirus.
2º.- Instale y configure adecuadamente un buen cortafuegos.
3º.- Instale todos los parches de seguridad de su sistema operativo.
4º.- Cierre todos los servicios excepto los imprescindibles.
5º.- Si accede a su ordenador de forma remota, reemplace el Telnet y por el SSH (Secure Shell) el motivo es que los datos, por Telnet, van en texto plano, (contraseñas incluidas) mientras que en SSH todos los datos van encriptados.

A esto yo añado de mi cosecha:

1º.-No acepte ninguna cookie.
2º.-Borre la memoria cache a diario. Hay un ataque mediante el uso exploits por medio de la cache, que esta genialmente descrito por unos profes de la Universidad de Princenton. Eso lo he omitido adrede para no poner más nerviosos a los lectores/as de este número.( Más información en la bibliografía recomendada.)
3º.-Escoja en las opciones de los navegadores que use el nivel de seguridad alto.
4º.-Desactive todos los javas y los controles de Active X.
5º.-Desactive la opción de ver Javascripts.
6º.-Desinstale el Windows Scripting Host.
7º.-Ponga números o símbolos en el registro del Windows, y no aquello tan socorrido del nombre de verdad tal que: "Manuel Sánchez"; y en organización: "Casa".
8º.-No envíe la cuenta de correo buena al registro de programa alguno para que el fabricante le remita información sobre las actualizaciones. En todo caso lo aconsejable es disponer de una gratuita a tal efecto.
9º.-Ponga contraseñas diferentes mezclando números, y letras mayúsculas y minúsculas, a la BIOS, al Windows y de protector de pantalla. Anote todas las contraseñas en un folio y métalo entre las páginas de un diccionario de papel, junto a la palabra “contraseña”.
10º.-Si tiene que enviar o recibir por correo electrónico o mediante el send del IRC archivos de texto adjuntos, hágalo usando el formato .rtf, es decir, Rich Text File, ya conserva el formato, pesa poco, puede incluir objetos OLE y al no llevar macros se libra de los virus que puedan colarse a través de un Documento de Microsoft Word, (* .doc).

Inciso: yo hablo en todo momento de un uso profesional del medio y para quien tiene que ir a morir a la plataforma Windows, sistema operativo que en sí mismo muchos consideran que es padre de todos los virus. Con las máquinas del trabajo hay que mucho cuidado porque nos estamos jugando el futuro de la empresa u organización día a día.

Si por motivos de nuestra actividad laboral debiéramos no obstante visitar páginas web muy cargadas de elementos de programación potencialmente peligrosos, lo profesional es verlas desde un ordenador aislado de la red corporativa común, o bien, a través de una maquina virtual (http://www.vmware.com). En el mejor de los casos, desde una red local que sea independiente de aquella otra donde se guarden los datos sensibles de nuestro negocio, que lo ideal es que estén en algo así como una red del tipo SAN (Storage Area Network). Información ampliada en español sobre lo anterior la tenéis en: http://www.smdata.es/definicionsan.htm.

Por supuesto para completar el kit de seguridad falta añadir que además cabe tener un buen antivirus en el servidor con las máximas opciones posibles y permanentemente actualizado. Muchos administradores recomiendan el lote completo que lleva el Mcfee. Además conviene tener un antitroyanos (El más conocido es el programa "The Cleaner", shareware que puede obtenerse de http://www.moosoft.com), un cortafuegos, y cerrado a cal y canto el puerto de ftp.

Cada mail que se reciba debe ser escaneado desde el servidor para detectar posibles virus y en caso de ser sospechoso alertar sin abrir al receptor y a quien lo envió, sin que llegue a entrar en el sistema. Hay quien incluso bloquea cuentas de correo receptoras y/o emisoras de virus. Por último puede añadirse también un cortafuegos en cada maquina de una empresa para que evite las fugas de información de tal suerte que si pese a todo, a través de un cd-rom, por ejemplo, te instalan spyware, el ordenador este protegido y no envíe por libre información nuestra, que después de todo lo que he comentado, hasta ahí podríamos llegar.

Bibliografía Recomendada:

-“Timing Attacs on Web Privacy”, por Eduard Felten y Michael Schneider del Secure Internet Programming Laboratory de la Universidad de Princenton, Usa.

Enlaces Recomendados:

http://www.cexx.org
http://www.neworder.com
http://www.hackerethic.org
http://www.avp.com
http://www.mocosoft.com
http://www.kriptopolis.com/prointimidad.html

NOTA FINAL:Quisiera dejar constancia de mi más sincero agradecimiento a todos aquellos y aquellas que me han ido ayudando mientras elaboraba este trabajo. Sus comentarios, la resolución de dudas, aclaración de conceptos y colaboración a la hora de recopilar valiosa e interesantísima documentación ha sido inestimable. De entre los anteriores sólo puedo citar con su autorización a: Javier Molina, (numeropi en la Red); José Cuenca (net-ip); Juan Pedro Serrano (jotape); Roberto Oliveira (wes); Josep Verd (buqui); Luis Miguel Rodríguez (Silverfox); Lisette Vazquez (Belica); Moises Rustullet (Warlock), Antonio Armero (antarm), Francisco Monteagudo (Maki), Luis Monedo (Somatic), Merce Navas (Bonnie), y Antonio Dueñas (hun0).

© Mar Monsoriu.-
Valencia, Marzo 2001.-