Recomendaciones para que las empresas eviten los riesgos derivados del uso de software no autorizado

La descarga del software no autorizado tiene un alto riesgo ya que la compartición de este tipo de programas a través de la Red constituye un mecanismo para la distribución de malware o código malicioso, entendiendo por tal cualquier software que tiene como objetivo infiltrarse o dañar un ordenador sin el conocimiento de su dueño y con finalidades diversas. De hecho 3 de cada 10 programas de uso no autorizado que se descargan de fuentes de compartición de archivos contienen malware.

Las descargas con mayores probabilidades de tener malware son las de programas de video y sonido, con un 44,9% y 39,9% respectivamente. El prototipo de fichero con malware es un archivo ejecutable y de tamaño pequeño (hasta 10MB) y se suele encontrar en las descargas dentro de ficheros comprimidos con el fin de pasar más desapercibidos.

Para conocer las implicaciones y las consecuencias, desde el punto de vista de la seguridad, de la utilización de programas informáticos no autorizados analizando la posible relación de causalidad entre las descargas de este tipo de software y las incidencias basadas en malware en los sistemas de información, el Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha elaborado el “Estudio sobre riesgos de seguridadderivados del software de uso no autorizado”.

En este estudio se analiza desde el marco regulatorio del uso y adquisición del software, hasta la demanda, presencia e impacto del software de uso no autorizado. Como resultado del análisis realizado, se dan una serie de recomendaciones a las empresas, a los fabricantes de software, a las administraciones públicas y a los usuarios particulares.

Recomendaciones para las empresas

Según los responsables de seguridad de las diferentes empresas y administraciones españolas el mecanismo más frecuente de expansión de malware es el exceso de confianza de los usuarios. A este mecanismo, cabe añadir la explotación de vulnerabilidades a través de la navegación web, el phising y el spam como principales herramientas de propagación.

Mayoritariamente coinciden que el evento de seguridad más grave en las organizaciones es la fuga y la pérdida de la integridad de la información. Además, también se considera grave el fraude, el robo de identidades y el daño a la imagen corporativa.

Sobre los mecanismos de detección y limpieza de malware, los productos de antivirus/antimalware instalados en los equipos de los usuarios son la herramienta más eficaz en la lucha contra el malware. De la misma manera son muy eficientes el uso de sondas y detectores del tipo IDS e IPS y el escaneo del código de las páginas web visitadas en tiempo real y escaneo de vulnerabilidades.

En cuanto al uso de software no autorizado, los expertos en el marco jurídico coinciden, mayoritariamente, en destacar que las empresas se exponen a implicaciones legales y civiles como consecuencia del uso de software no autorizado.

La medida de prevención de uso de software no autorizado en las empresas más efectiva consiste en el control de los privilegios de administración de los equipos junto con la concienciación y formación de los usuarios y la creación de listas blancas de software autorizado.

Otras medidas efectivas para el control de uso de software no autorizado pasan por el control de administración y gestión de productos, los inventarios y los servidores de licencias.