El 40% de las empresas monitorizan de alguna forma a sus trabajadores

La monitorización es algo cada vez más frecuente en Internet. Empresas y proveedores analizan el correo de sus usuarios para prevenir virus y correo basura (spam). Algunos programas instalan código adicional que espía con propósitos comerciales. Los administradores de sistemas monitorizan el tráfico en sus redes para comprobar que todo funciona. Los padres escudriñan los pasos cibernéticos de sus hijos. Y las empresas usan cada vez más estos programas para saber a qué se dedican sus empleados.

Según Pricewaterhouse y la Universidad de Navarra, una de cada 10 empresas españolas ha sancionado al menos a un empleado por usar Internet "indebidamente". El 3% ha despedido a alguien. En Europa, según Datamonitor, dos de cada tres empresas filtran Internet a sus empleados. El 40%, sistemáticamente.

En Estados Unidos, la American Management Association (AMA) asegura que el 40% de empresas espían el correo de los trabajadores y el 20% ha despedido por abusar de los recursos informáticos. Desde 2001, el control empresarial se ha duplicado.

La empresa WinWhatWhere vende Investigator, un programa que se instala en el ordenador del empleado y muestra a distancia lo que hay en pantalla, la navegación web, el correo, la mensajería y el chat, con una función especial para no ser descubierto. Según la empresa, el FBI utilizó Investigator en la detención de dos rusos que habían robado miles de números de tarjetas en eBay.

En pocos países hay leyes para la monitorización empresarial. En España, ha habido sentencias para todos los gustos, pero la tendencia es a seguir el Código Penal, que asegura el secreto de las comunicaciones, y las directrices de la Unión Europea, que consideran legal el espionaje si no hay alternativa, se tiene un fin legítimo, el empleado sabe que se le espía, los datos controlados no son excesivos y no se monitoriza a toda la plantilla.

Otro punto importante es que el empleado sepa que espiarle entra en las normas de la empresa. Según PriceWaterHouse, sólo el 38,5% de empresas españolas tienen un protocolo sobre esta cuestión. En Estados Unidos, la creación de políticas empresariales de monitorización se encuentra estancada en el 34% desde 2001, según la AMA.

Gran Bretaña, pionera en el espionaje de empleados, ha sido también el primer país europeo en salir en defensa de la privacidad en horas de trabajo. El Comisionado de la Información prohíbe desde junio espiar a un trabajador sin su consentimiento, excepto en casos criminales o prácticas inadecuadas.

En Finlandia, el Ministerio de Trabajo regula la videovigilancia, pero permite que la empresa mire el correo de empleados enfermos o de vacaciones.

Hace 10 años, la monitorización en las empresas era exclusiva de los administradores informáticos, que usaban herramientas del sistema operativo Unix para vigilar el tráfico a efectos técnicos; mientras, en el mundo Windows, nacían los primeros filtros parentales, como CyberPatrol, que bloqueaban el acceso a los sitios que los niños no debían visitar. Hoy, los filtros han ampliado el mercado a bibliotecas y, especialmente, a empresas, diversificando las posibilidades de sus productos, que ya no sólo filtran sino que espían abiertamente la vida internáutica de los empleados.

Las estrellas del control del momento son Spector y eBlaster, ambos de la misma compañía, SpectorSoft. El primero permite filtrar y grabar el contenido del correo, chat, mensajería instantánea, navegación web, teclado y pantalla. Cuando hay algún movimiento no permitido en el ordenador, el programa avisa por correo electrónico al espía.

eBlaster es más de lo mismo, con dos funciones añadidas: envía copia de todos los mensajes del empleado. No es necesario estar en el ordenador de la víctima para instalarlo, puede hacerse remotamente: se le envía un mensaje, con el programa adjunto, y se le convence para que lo ejecute.

La aparición de este troyano comercial ha alertado a la comunidad de seguridad porque, aunque ya existen programas de este tipo para Windows, como el gratuito Back Orifice, su popularización comercial hace temer un aumento de su uso entre delincuentes.

El-Espía no tiene este problema. Es el único programa comercial de monitorización para Windows hecho desde España, según su autor, Josep Llobet, un leridano de 45 años: "El-Espía permite la monitorización remota en una red de área local, pero no desde Internet, para evitar entradas de terceros".

Llobet creó El-Espía hace tres años. Hoy se comercializa en Estados Unidos con el nombre de SALUS y, en Holanda y Portugal, como BigBrother is Watching you!. Cuesta 42 euros y lo compran padres y empresas.

El-Espía captura el tecleado, aplicaciones, inicio y fin de conexiones a Internet, páginas visitadas, claves... Según Llobet, "facilita el acceso a determinada información a usuarios muy poco especializados que, de otra forma, un informático experto podría rastrear".

La mayoría de programas de este tipo aúnan dos formas de espionaje: el keylogging y la administración remota. Los keyloggers capturan lo que sale por la pantalla, lo que se envía a la impresora, lo que se teclea... Hay muchos, como 2Spy!, PC Activity Monitor Net, STARR Pro, ProBot SE y Spy Agent. Los administradores remotos toman el control del ordenador, como Radmin y el programa libre Virtual Network Computing (VNC).

Hay programas espía que no se instalan en el ordenador del empleado sino en los servidores de la empresa. Es el caso de Websense, líder en este campo, que filtra y monitoriza todo el tráfico web.

Stealth Email Redirector es otro ejemplo: reenvía a la dirección que se le indique todos los mensajes que pasan a través del servidor de correo. WebMail hace lo mismo con el correo por web. Win Sniffer captura las contraseñas.

A pesar del crecimiento de estos programas en el entorno Windows, los administradores de sistemas y usuarios de software libre no se muestran impresionados: "A nivel del servidor, con los programas libres se puede hacer de todo: ver el correo, las webs, cuándo entra y sale del sistema... Basta con configurar alguna opción del servidor. En el equipo de trabajo, si se ha instalado administración remota segura, el administrador puede entrar en el ordenador y ver qué se está ejecutando", afirma Celso González.

"Están también las herramientas libres ethereal y etercap. Esta última acepta plugins y puede rastrear contraseñas, interceptar correos, conversaciones de chat e incluso interceptarlas al vuelo y modificarlas o añadir paquetes. Además de romper comunicaciones cifradas. En administración remota, lo que quieras en Linux, es ideal para esto", añade Aritz Beraza.

Instalar un keylogger y un administrador remoto en el ordenador de un empleado, sin dejar rastros, son seis horas de trabajo. Cuatro o cinco horas cada 15 días, para revisar los datos monitorizados.