ESPIONAJE CORPORATIVO

Inteligencia de mercados, competitiva, empresarial, vigilancia tecnológica, I+D+I, Fabricación de Prototipos, Sector energético, Empresas Estratégicas, Etc...
Responder
Jose Luis Spaltro
Curioso
Curioso
Mensajes: 16
Registrado: 14 Jul 2007 22:08

ESPIONAJE CORPORATIVO

Mensaje por Jose Luis Spaltro »

Espionaje Corporativo
Autor: Edwin E. Guillermo
Extractado de: www.monografias.com


Su competidor publica antes que Ud. una solución novedosa (que dentro de seis meses iba a lanzar su compañía). Sus principales ejecutivos claman al cielo intentando averiguar cómo obtuvieron la información y diseñan frenéticamente nuevas estrategias para recuperar los posibles ingresos perdidos.

El espionaje corporativo no es en absoluto un peligro reciente. En la actualidad se estima que el 70 por ciento del valor medio de una corporación reside en la información que posee (fuente: Trends in Proprietary Information Loss - Tendencias en la pérdida de información confidencial, American Society for Industrial Security and PricewaterhouseCoopers, 1999).

¿Hasta qué punto está protegida su corporación contra la nueva hornada de espías electrónicos?

En este trabajo investigativo, se mostrará los recursos utilizados por estos espías para dañar a las empresas, como también los mecanismos de seguridad que deben usar las empresas vulnerables al espionaje para erradicar a estas personas, asi como otros tópicos de interés.
..
EL ESPIONAJE CORPORATIVO (GENERALES)

Muchas de las corporaciones con más éxito actualmente han sufrido incidentes de espionaje corporativo y el número de estos casos aumenta constantemente. En 1999, las compañías del Ranking Fortune 1000 reportaron un total de 45 billones de dólares en pérdidas debidas al espionaje corporativo (fuente: Trends in Proprietary Information Loss - Tendencias en la pérdida de información confidencial, American Society for Industrial Security and PricewaterhouseCoopers, 1999).
Las tecnologías de Internet son claramente un caldo de cultivo para el robo de información confidencial o protegida. Los directores de sistemas deben dedicar tiempo a proteger a la compañía, aplicando medidas de seguridad adecuadas para su red y estableciendo normas eficaces.

La información más valiosa actualmente está almacenada de forma electrónica y, dado que las computadoras están conectadas a redes y en línea, o accesibles por otros medios físicos, el director de sistemas juega un papel fundamental en la defensa de la corporación frente a las actividades de espionaje (y en la detención de esas actividades cuando se descubren).
A pesar de que lo más probable es que los incidentes de espionaje corporativo no puedan erradicarse completamente, las corporaciones pueden modificar sus estrategias de seguridad para reducir al mínimo los incidentes y las pérdidas que provocan.
Antes de modificar su estrategia de seguridad, resulta útil comprender la diferencia entre los incidentes de espionaje interno y externo, y cómo las distintas tecnologías hacen más fáciles estos delitos.

El espionaje Corporativo presenta algunos sinónimos, a saber:
Espionaje Industrial
Sabotaje Corporativo
Espías Industriales
Espionaje Empresarial
Robos Corporativos
Espionaje Comercial.

DEFINICIONES DEL ESPIONAJE CORPORATIVO

El Espionaje Corporativo no solamente consiste de los esfuerzos de una compañía para robar los secretos comerciales de otra empresa. También puede ser la reacción de los empleados a un cambio en la compañía. Además incluye obtener información sobre ejecutivos clave de otra empresa.

El Espionaje Industrial: Según un Presidente de la Asociación Profesional de Detectives Privados de España, el espionaje corporativo es una de las mayores demandas que se encuentran en la actualidad. Se trata de descubrir a los ejecutivos infieles que venden secretos empresariales a la competencia, con el consiguiente perjuicio.

El Espionaje Corporativo, es por definición, la obtención de información de un competidor haciendo a tal fin uso de medios ilícitos.

¿DE QUIÉN Y DE QUÉ NOS PROTEGEMOS DE LOS ESPÍAS CORPORATIVOS?

Nos protegemos de potenciales enemigos tales como:
Espías (competencia, empleados, etc)
Usuarios del sistemas.
Ex empleados
Hackers
Crackers
Vándalos
Millones de adolescentes, otros.
Nos protegemos de los espías corporativos de:

Objetivos de los intrusos sobre un sistema de información.
Robo de información confidencial
Fraude financiero
Modificación de archivos
Denegación del servicio del sistema
Destrucción de sistemas informáticos, etc

PERSONAS CON ACCESO A INFORMACIÓN CONFIDENCIAL: SU PEOR ENEMIGO

Según las encuestas del sector, incluido el reporte del año 2000 del FBI y del Computer Security Institute acerca del crimen por computadora, las personas con acceso a información confidencial constituyen el mayor peligro para la seguridad corporativa. El 71% de las compañías encuestadas detectaron accesos no autorizados por parte de estas personas.
Esta cifra no indica qué porcentaje concreto de estos casos tuvo como consecuencia la sustracción de información protegida. Sin embargo, sí implica que existe un grado considerable de vulnerabilidad frente al espionaje por parte de personas con acceso a información confidencial.

RIESGOS DIRECTOS EN RELACIÓN CON LAS PERSONAS QUE TIENEN ACCESO A INFORMACIÓN CONFIDENCIAL

En relación con las personas con accesos especiales, existen tres tipos principales de peligros que pueden facilitar el espionaje corporativo.

Soborno: Es posible que los empleados reciban ofertas directas de agentes de inteligencia de otras corporaciones, que ofrecen dinero en metálico a cambio de información confidencial o protegida.

Ingeniería Social: La manipulación de un administrador de redes o de otras personas del departamento de sistemas (ya sea por parte de personas de la propia corporación o por parte de terceros) para que divulguen información, como datos de inicio de sesión u otros datos de autentificación, que pueden usarse a continuación para obtener el acceso a la información delicada.

Connivencia en Grupos: Cuando varios empleados se alían para usar sus conocimientos y privilegios colectivos para obtener el acceso a la información.
Entre los métodos utilizados para obtener los datos se incluye también el uso de los privilegios de acceso propios del empleado, que pueden facilitarle el acceso a información protegida o confidencial.
Por otro lado, dado que los empleados tienen acceso físico a la organización, pueden iniciar sesiones con la computadora de otro empleado o robar una computadora portátil para tener acceso a otros recursos de la red. La intervención de las líneas de datos y la sustracción de cintas de copia de seguridad son métodos habituales de espionaje físico. Los espías pertenecientes a la organización pueden falsificar la información de otro usuario para solicitar y obtener a través de archivos adjuntos de correo electrónico la información que normalmente no recibirían nunca.
Otras técnicas de ingeniería social, incluida la solicitud de cambios de información de inicio de sesión o contraseñas a través de los centros de soporte de sistemas, haciéndose pasar por otro usuario, o el uso compartido de información de inicio de sesión entre empleados, facilitan el espionaje por parte de las personas de la organización.

AYUDA INDIRECTA AL ESPIONAJE POR PARTE DE LAS PERSONAS CON ACCESO A INFORMACIÓN CONFIDENCIAL, A TRAVÉS DE INTERNET

Uno de los mayores peligros indirectos para la información de la corporación es la actividad de los usuarios en línea. Los grupos de Usenet son una fuente habitual de vulnerabilidad en línea. Si muchos empleados de una misma corporación participan frecuentemente en los grupos de Usenet, los agentes de inteligencia pueden recopilar la información y analizarla para descubrir mucha información y, posiblemente, obtener información confidencial.
Desde el punto de vista técnico, los mensajes almacenados en Usenet revelan información acerca de los sistemas del usuario, lo que puede ayudar a que los hackers consigan llegar hasta la información.
Entre los datos que pueden obtenerse de los mensajes publicados por un empleado cuya compañía utiliza un servidor proxy (incluso si se usa este servidor con fines limitados) son el origen del mensaje, el sistema operativo y el software que se ejecuta en el sistema. Esta información puede ser utilizada por personas ajenas a la organización para conseguir entrar en la red o aprovechar el sistema del usuario.

Los agentes de información pueden usar incluso las compras en línea para obtener pequeñas cantidades de información que pueden ser aprovechadas a la larga para obtener información confidencial o protegida. Un ejemplo hecho público recientemente son los "círculos de compras" de Amazon.com. Amazon.com hace seguimientos de las compras y recopila otros tipos de información acerca de los grupos de usuarios, como por ejemplo las corporaciones, a los que pertenecen más de 200 clientes. Esta información podía ser utilizada por los agentes de información de las corporaciones para obtener información competitiva acerca de las empresas, que normalmente debe ser privada.

ALERTA DE INTRUSOS: ESPÍAS EXTERNOS

El espionaje corporativo realizado por las personas ajenas a las organizaciones recibe más atención de los medios de comunicación que las actividades ilícitas del personal, especialmente porque las protecciones de red que se aplican frente a los espías externos son similares a las que se usan como protección frente a los hackers.

Las vulnerabilidades de su red que permiten el acceso de las personas externas a su red les permitirán eventualmente el acceso a la información protegida que buscan.

En el caso de los espías externos, los métodos comunes de conseguir el acceso a los datos protegidos son los siguientes

:Descifrado de Contraseñas: Existen varios programas de descifrado de contraseñas que pueden obtenerse sin problemas, como BO2K y SATAN, y que ayudan a los hackers a penetrar en las redes. La mayoría de los analizadores de contraseñas están limitados a combinaciones sencillas de palabras que aparecen en los diccionarios y combinaciones numéricas. Los programas de descifrado de contraseñas con fuerza bruta prueban con todas las combinaciones posibles hasta que descubren la correcta. Se trata del método preferido por los espías más decididos, pero no es frecuente en el caso de los espías ocasionales. Para excluir esta posibilidad, existen varias protecciones obvias

Cree contraseñas resistentes, de 8 a 12 caracteres con una combinación alfanumérica, cambie las contraseñas cada 30 días y bloquee indefinidamente las contraseñas después de tres intentos fallidos.

Puertas Traseras y Caballos de Troya: Es posible ejecutar programas en la computadora de un usuario para permitir el acceso y el control de la computadora por parte de una persona ajena a la organización, que consigue de esta forma un acceso mayor a la red. NetBus, Back Orifice y el reciente BO2K pueden ser utilizados para capturar datos de la computadora de la víctima y enviarlos a una ubicación remota. BO2K incorpora mejoras que le permiten ocultarse automáticamente después de la instalación en la computadora del usuario. Normalmente, las puertas traseras son enviadas al usuario o descargadas de un sitio Web, camufladas como archivos adjuntos o programas benignos. Cuando se abre el archivo adjunto, éste se instala automáticamente en la computadora del usuario, sin el conocimiento ni la autorización de éste. Otros sistemas de método trasero permiten a los fisgones grabar todo lo que se escribe en la computadora del usuario, lo que permite al espía capturar los datos protegidos o la información de autentificación que permite el acceso a dichos datos.

El "Olfateo" de paquetes se basa en un programa que monitorea los datos que viajan a través de una red, lo que permite a los espías robar la información directamente. Las soluciones de detección de intrusiones pueden ayudar a los directores de sistemas a detectar y detener estas actividades en su red.

La Ingeniería Social: es una forma no técnica de obtener la información que está almacenada en la red. Esta actividad puede incluir contactos con los empleados para intentar conseguir los documentos delicados a través de correo electrónico. Por ejemplo, imagine que el asistente de un ejecutivo de alto rango recibe una llamada de alguien que afirma ser el asistente de una persona importante y conocida. El interlocutor le pide que reenvíe un documento que no se ha recibido. Es probable que el asistente tenga acceso a la computadora de su jefe y que envíe rápidamente el documento. Este ejemplo demuestra una técnica habitual entre los espías corporativos modernos. Los espías tienen la habilidad necesaria para convencer a los empleados para que les entreguen pequeños fragmentos de información que pueden usarse para obtener un acceso mayor a los sistemas de la organización. Los empleados de los centros de soporte suelen ser el objetivo de este tipo de espías, que intentan obtener más información acerca de la estructura de la red y obtener de esta forma el acceso.

A pesar de que la ingeniería social no es algo que pueda controlarse desde el departamento de sistemas, los empleados deben comprender al menos las distintas técnicas que se utilizan para conseguir el acceso a la red o para obtener información protegida. La protección de documentos con contraseñas de archivo y/o encriptaciones puede reducir al mínimo el riesgo que plantean estos espías.

MÉTODOS UTILIZADOS POR ESPÍAS CORPORATIVOS INTERNOS DE LA EMPRESA

Entre los métodos más frecuentes usados por estos espías tenemos:
Habladurías, jactancias y charlas descuidadas del personal.
Venta de información por un empleado desleal o corrupto.

Una persona infiltrada como "Caballo de Troya" por una empresa rival, como empleado.
Oferta de un importante cargo y remuneración a un empleado o directivo, por parte de la empresa rival.
Escuchas, ambientales y/o telefónicas…
Intrusión y robo de información encubierto, como robo común (para lo cual se "roban" algunos objetos como cobertura).

Observación, mucha información puede destilarse de la observación de personas que entran y salen de una empresa durante un periodo prolongado de tiempo.
Oferta ficticia de empleo a empleados de la empresa rival, como pretexto para efectuar profundas entrevistas a los mismos .

Más Info: www.info-resumendeseguridad.blogspot.com

SIMO
Aprendiz
Aprendiz
Mensajes: 52
Registrado: 15 Dic 2010 12:16

Re: ESPIONAJE CORPORATIVO

Mensaje por SIMO »

Tres años de prisión por robar y revelar información de su empresa.

06.01.2011 Victoria Martínez-Vares 1

Un tribunal condena a un ingeniero por sustraer de la consultora en la que trabajaba información confidencial y ponerla a disposición de la compañía a la que se incorporó poco después.

Un juzgado de lo Penal acaba de condenar a tres años de prisión y a una multa de 6.000 euros a un ingeniero que robó información confidencial de su empresa para utilizarla en una compañía de la competencia a la que se incorporó después. El tribunal ha considerado al condenado como autor de un delito de revelación de secretos de empresa por el que deberá indemnizar a su antigua compañía por los daños y perjuicios que le causó con una cantidad equivalente al valor de mercado de la información sustraída.

Este tipo de condenas “no son habituales”, ya que hay pocas sentencias que impongan 3 años por este tipo de conductas, explica González Franco Abogados, que asesora a la empresa. Con independencia de que el empleado tenga o no antecedentes, ingresará en prisión.

La sentencia –que según ha podido saber EXPANSIÓN se ha recurrido ante la Audiencia de Barcelona– supone un espaldarazo a la lucha del empresariado por evitar la fuga de información trascendental para su negocio. En muchos casos, ésta se produce como consecuencia de la salida de sus directivos a compañías de la competencia.

La Justicia ha dado la razón a la consultora de proyectos de ingeniería Alten, que denunció a un exempleado tras comprobar que justo antes de abandonar de forma voluntaria la compañía, envió desde su correo corporativo al suyo particular y al de una antigua compañera de trabajo información confidencial de la empresa. Sólo unos días después, el trabajador se incorporó a Kxiop, una empresa nueva creada por exempleados de Alten, dedicada también a la consultoría de ingeniería.

Confidencialidad

El acusado accedió de forma masiva a ficheros que no estaban almacenados en su ordenador, sino en el servidor de la compañía. Y ello, a pesar de que en su contrato había firmado una cláusula de confidencialidad. La misma le obligaba a guardar total discreción sobre los datos técnicos y comerciales relativos a empresas y clientes a los que tuviera acceso por sus funciones de manager.

Se trataba de listados de clientes, currículos de trabajadores u ofertas de proyectos de ejecución, y contenían datos relacionados con las necesidades de los clientes, precios pactados, duración del proyecto o personas de contacto con los que concretar aspectos de la contratación.

La juez califica toda esta documentación sustraída de “vital importancia para la mercantil y, por tanto, de secreto de empresa, pues resulta de gran utilidad para las empresas de la competencia y, sobre todo, para una de nueva creación”. La magistrada recuerda que el Tribunal Supremo, en una sentencia de diciembre de 2008, ya dejó claro que las listas de clientes se han de considerar secreto de empresa. “Máxime, en este caso, cuando la información también comprendía currículos de ingenieros de Alten, las ofertas y los datos personales de los clientes con quien contactar en caso necesario”, argumenta.

El acusado alegó que envió la información a sus cuentas para “cubrirse las espaldas” puesto que creía que le iban a echar de la consultora y temía que no le pagaran. También señaló que le era útil cuando trabajaba desde su domicilio. Sin embargo, la sentencia califica estos argumentos de “insostenibles e inconsistentes”, pues, según dice, no se “comprende para qué la necesitaba para trabajar en casa, si se hizo con ella cuando ya había comunicado su baja voluntaria”.

También ha quedado probado que el ingeniero, vigente aún su relación laboral, envió correos a la empresa Kxiop, negociando sus condiciones salariales como Business Development Associate Manager, firma en la que empezó a trabajar poco después. Por ello, la magistrada considera que “el acusado recopiló de manera masiva información confidencial y de un alto valor económico para Alten, con el propósito de servirse de ella en la nueva empresa”. Y, concluye, señalando que “esta información resultaba de gran utilidad” para el desarrollo de la nueva actividad de Kxiop, que “nacería perfectamente situada en el sector”, es decir, “con suficiente información para instalarse con fuerza en el mercado en clara competencia con Alten”.

Fuga de información
Eduardo Ortega Figueiral, socio de Ortega-Raich Abogados, señala que sentencias como ésta revelan claramente “cómo, en ocasiones, las irregularidades laborales se convierten en verdaderos ilícitos penales generando relevantes consecuencias para los sujetos que las causan”. Advierte, además, de que “muchas veces el productor de tales hechos no valora o no es consciente de la gravedad de sus actos y de las responsabilidades en que puede incurrir”.

Para Ortega, resulta trascendente que se condene al autor del delito a indemnizar a su exempleadora en la cantidad que se determine en la ejecución de sentencia por el valor de mercado de la información sustraída. En su opinión, esta indemnización “podría llegar a alcanzar cifras millonarias”, ya que la consultora “ha sufrido una fuga de información trascendental para su negocio”.
Esther Anglés, socia de González Franco Abogados, anima a los empresarios a denunciar estas conductas para que “no queden impunes”.

Finalmente, Luis Dívar, director del área Procesal de Deloitte, cree que “los delitos enjuiciados en esta sentencia no son habituales en el panorama procesal”, pero prevé que “el desarrollo de las nuevas tecnologías los convertirán en unos habituales de la jurisdicción penal”. A su juicio, las compañías “poco pueden hacer contra estas prácticas”, por lo que recomienda que “pidan a su empleados firmar cláusulas de confidencialidad”.

Las compañías deben actuar con más cautela
Los expertos advierten de que si el delito enjuiciado por el juzgado de Barcelona –juicio nº 256/2009- se hubiera producido tras el 23 de diciembre, fecha en la que entró en vigor la reforma del Código Penal, la empresa que recibió la información robada podía haber sido imputada penalmente. Luis Dívar, socio de Deloitte, indica que “si la compañía se hubiera visto beneficiada por la información revelada por su nuevo empleado, ésta podría haber sido imputada e incluso condenada” y recomienda que “el nuevo trabajador firme un documento en el que se le obligue a no traer información confidencial de su anterior empleadora”.

La traición
1. Las represalias de los exempleados son la gran ‘ciberamenaza’ para las empresas, según un estudio de Ernst & Young

2. Pese a ello, sólo un 26% de las compañías afirma tener medidas implantadas para mitigar este riesgo

3. La informática forense es crucial para probar que tras la salida del directivo hay un caso de competencia desleal y fuga de información


saludos

Responder

Volver a “Inteligencia Económica-Empresarial; Espionaje Industrial-Tecnológico; Sector Energético”