Imaginemos el siguiente escenario. Usted administra un sitio de comercio electrónico donde se almacenan los números de tarjetas de crédito de sus clientes⁴. Uno de los miembros del equipo de desarrollo descubre en Internet una herramienta que mejorará la productividad del equipo de una u otra forma. El empleado, con absoluta honestidad y queriendo favorecer a la empresa, decide instalarla para que todo el equipo la utilice. Ahora supongamos que tal herramienta fue desarrollada por una banda dedicada al robo de números de tarjeta de crédito, quienes la pusieron a disposición del público precisamente para que los desarrolladores de sitios de e-commerce la instalaran inocentemente. La herramienta no sólo presta la función que publicita sino que también, utilizando los permisos de los desarrolladores que la ejecutan, recorre las bases de datos en busca de números de tarjetas de crédito y los envía por e-mail (algo que cualquier desarrollador puede hacer) a una cuenta anónima de algún servidor como Hotmail o Yahoo, evitando de forma sencilla pero contundente el control de acceso del sistema operativo, la base de datos y el firewall.

Este tipo de software de ataque se denomina caballo de Troya. En el ejemplo anterior el caballo de Troya efectuó un ataque contra la confidencialidad de su información. La comunidad científica del área de Seguridad Informática, luego de años de investigación, estipula que ninguno de los sistemas operativos comerciales, y por extensión otros software de base, brindan protección efectiva contra ataques a la confidencialidad efectuados por medio de caballos de Troya. Su accionar es prácticamente indetectable e indistinguible del funcionamiento de un programa similar sin fines ofensivos.