Suena como la peor pesadilla para un usuario de computadora:

Alguien obtiene acceso a su computador personal via Internet y borra archivos. Altera cuentas monetarias. Destruye información almacenada en el disco duro. Y sólo tarda un minuto o dos.

¿Imposible? Hace unas pocas semanas, un programador de Bothell llamado Fred McLain hizo lo anterior durante una demostración en San Francisco, reabriendo el candente debate acerca de una crítica preocupación de los usuarios de computadora hoy: la seguridad en Internet.

Usando una tecnología de Micro$oft llamada ActiveX y el navegador Micro$oft Internet Explorer, McLain invadió una computadora remota en la World Wide Web y movió archivos, alteró una cuenta bancaria, llamó expedientes de impuestos y cometió estragos digitales en el disco duro del PC.

La demostración puso a la luz un espinoso dilema de la explosión de la Internet. La habilidad de la Red para conectar computadoras en todo el mundo ha abierto nuevas puertas en comunicaciones y en la compartición de información. Con dicha capacidad, sin embargo, viene también el potencial para fuerzas malintencionadas de tener acceso a computadoras conectadas en red en cualquier parte.

El resultado es que, tal como quienes conducen por una autopista deben estar alerta de los peligros de otros automóviles, los usuarios de computadora tendrán que acostumbrarse a tener cuidado al ejecutar programas transmitidos por la Red, dicen los expertos.

Las corporaciones en busca de hacer negocios por Internet y adaptando sus propias PCs y redes a intranets, o redes internas que usan conexiones a Internet, están particularmente alerta del problema.

Un estudio realizado por el Instituto de Seguridad de Computadoras y el FBI el año pasado (1996) reveló que el 47% de 563 organizaciones han sido atacadas via Internet, un incremento del 10% con respecto al año 95. Otro estudio de la consultora Arthur Andersen encontró que la mitad de los ejecutivos de mantenimiento piensan que los sistemas de seguridad de Internet son inadecuados en sus compañías.

La hazaña de McLain se convirtió en el tema de JavaOne, la conferencia donde él puso la demostración y donde cerca de 10,000 desarrolladores que usan el lenguaje de programación llamado Java asistieron. Luego, a McLain le pidieron autógrafos, fue contratado por IBM como asesor de seguridad y apareció en televisión nacional. "Siento como si empezara a convertirme en héroe entre cabezas de héroe," dijo.

Micro$oft lo tomó de otro modo. "Lo que Fred McLain hizo fue parecido a lo que hizo la United Airlines cuando mostró cómo estrellar un avión de la American Airlines," dijo Tod Nielsen, gerente general de relaciones de desarrollo de Micro$oft. En lugar de concentrarse en los abusos que "destruyen la confianza del consumidor" en la industria de las computadoras personales, "deberíamos estar trabajando juntos para decir que es seguro volar," dijo Nielsen.

McLain debió haber venido a Micro$oft privadamente con sus preocupaciones, posibilitando a la compañía de manejar el asunto sin "tácticas de susto," continuó Nielsen. McLain dijo que así lo hizo inicialmente, pero que el remedio de Micro$oft - incrementar el nivel de seguridad predeterminado de su navegador de "medio" a "alto" - era inadecuado.

McLain aceptó US$6,000 para hacer la demostración, lo cual, según Nielsen, le dio el aire de un pistolero a sueldo. Sin embargo, McLain afirmó que el pago cubrió en su mayoría gastos. La patrocinadora de la conferencia, el rival de Micro$oft Sun Microsystems, asistió.

Micro$oft también protestó que los hackers serán capaces de hacer lo mismo usando tecnologías en competencia de Sun y Netscape. "Este es realmente un asunto que involucra a toda la industria," dijo Nielsen.

Otras tecnologías con capacidades similares están en el horizonte. El riesgo se corre con la habilidad de obtener acceso al disco duro de un usuario de la Web desde una computadora remota. Java, que hasta ahora se ha protegido contra accesos a discos duros, está siendo alterada (por Micro$oft*) para hacer exactamente lo mismo.

Los que apoyan a Java dicen que están construyendo capas de seguridad extra para protegerla contra incursiones estilo ActiveX. Pero los expertos en seguridad dicen que cualquier tecnología de acceso a discos posee riesgos.

En cualquier caso, dijo McLain, "estaré ahí para mostrar" riesgos potenciales para los usuarios de computadores "de cualquier tecnología."

Hasta cierto punto, la preocupación está en los programas compactos y rápidos transmitidos por Internet llamados applets, los cuales necesitan acceso al disco duro de una computadora para trabajar. Los beneficios de usar applets son considerables, y muchos observadores creen que son la gran fase siguiente de avance para la Internet.

Estas pequeñas aplicaciones (little applications) - de ahí el término "applets" - pueden manejar cualquier cosa desde texto y números hasta juegos, animaciones, finanzas, consultas médicas y avisos de compras. Las compañías de software también pueden usarlos para suministrar un mejor servicio y dar soporte via telefónica sobre la Web.

El acceso al disco duro es también clave para la actual ola de nueva tecnología Web, llamada "push." Publicistas, vendedores y directores de sistemas de información corporativos esperan usar la tecnología push para "transmitir" automáticamente una variedad de aplicaciones y servicios por toda la Web a usuarios que han indicado intereses y necesidades específicas. El potencial comercial del push se estima en el rango de los miles de millones de dólares. Sin embargo, para que el push trabaje la puerta a su computadora tendrá que dejarse abierta. Y eso trae riesgos.

"Push es un problema de seguridad a punto de estallar," dijo Jonathan Littman, autor de un nuevo libro, "The Watchman: The Twisted Life and Crimes of Serial Hacker Kevin Poulsen" (El Guardián: La vida torcida y los crímenes del hacker en serie Kevin Poulsen). "Para el que diariamente alguien alcance y toque su computadora, crea la posibilidad obvia de que un malévolo hacker pueda ingresar en dicha interacción. O puede haber un accidente sólo por una mala programación (en push)."

No todos los problemas de seguridad están contenidos en la malicia, anotó Mark Estep, uno de los gerentes de la sección de manejo de riesgos computacionales de Arthur Andersen. "La gente habla de las exóticas incursiones de los hackers, pero la mayoría son de lejos más mundanas, donde alguien accidentalmente destruya un archivo o haga algo indebido," dijo. Estep ve un choque cultural al corazón de la ética del hacker.

Hablando en general, el ve a la gente que ejecuta redes de computadores y diseñan sus programas queriendo un ambiente abierto que posibilite un libre intercambio de archivos, programas e información. Los gerentes corporativos, sin embargo, se preocupan del robo o abuso de propiedad de información.

Los hackers pueden verse ejecutando una función de alarma para el público usuario, afirman sus defensores. "La seguridad siempre es más importante para las corporaciones y los consumidores que para las compañías que venden software," dijo Littman. "Los hackers le prestan un servicio al público. Puede que a la industria no les gusten, pero al final es para su beneficio."

El cofundador de Netscape Marc Andreessen recuerda cuando su navegador líder en el mercado fue víctima de los hackers. "Me alegra que los hackers se concentren en intentar romper nuestros productos," dijo. "Como resultado, los mejoramos."

La demostración de McLain y un programa ActiveX similar que publicó el pasado otoño en la Web llamado "Internet Exploder" lo ha metido en aguas calientes con un certificado de seguridad líder en la Web. "Exploder" tomó control de un PC remoto en la Web y apagó la computadora después de asegurarse de que ningún programa o datos fueran dañados. El esfuerzo le dio a McLain la distinción de ser la única persona en habérsele revocado su licencia en VeriSign, una compañía de Silicon Valley que autentica la identidad digital de la fuente de un programa.

Con VeriSign, los programadores - quienes pagan para ser certificados - deben prometer no "dañar, desapropiar o interferir" en las operaciones de una computadora. VeriSign hace un chequeo de seguridad, similar al que un banco debe hacer para dar un crédito, en cada persona u organización antes de emitir la certificación. El sistema trabaja notificándole al usuario que descarga (o baja) un programa del creador de dicho programa. Greg Smirin, gerente de mercadeo del grupo de productos de VeriSign, usa el ejemplo de IBM vs. "Ted's Software Shack." Si usted no conoce a Ted, "probablemente no va a querer bajar su software."

Los nuevos browsers en desarrollo por Micro$oft y Netscape revisarán la autenticación de VeriSign al bajar applets y les enviará a los usuarios una advertencia si no hay certificación. Si los mensajes de alerta son atendidos, dice Micro$oft, incidentes como la demostración de McLain no podrán suceder. "Decimos 'Practiquen el sexo seguro,' " dijo Cornelius Willis, gerente de grupo de productos de Micro$oft. "No acepten dulces de los extraños."**

Los que apoyan a McLain, notando que el conocido programador independiente ha escrito software para Boeing y otras firmas comerciales, dicen que él y los diseñadores de software comparten el logro de informar mejor al público acerca de los riesgos de seguridad. "Lo que Fred está haciendo es totalmente legítimo," dijo Ben Thorsteinson. "Sun, IBM (and) Micro$oft conocen a Fred, y saben que Fred sabe de qué está hablando."