Imaginemos
el siguiente escenario. Usted administra un sitio de comercio
electrónico donde se almacenan los números de tarjetas de
crédito de sus clientes. Uno de los miembros del equipo de desarrollo
descubre en Internet una herramienta que mejorará la productividad
del equipo de una u otra forma. El empleado, con absoluta
honestidad y queriendo favorecer a la empresa, decide instalarla
para que todo el equipo la utilice. Ahora supongamos que
tal herramienta fue desarrollada por una banda dedicada
al robo de números de tarjeta de crédito, quienes la pusieron
a disposición del público precisamente para que los desarrolladores
de sitios de e-commerce la instalaran inocentemente.
La herramienta no sólo presta la función que publicita sino
que también, utilizando los permisos de los desarrolladores
que la ejecutan, recorre las bases de datos en busca de
números de tarjetas de crédito y los envía por e-mail (algo
que cualquier desarrollador puede hacer) a una cuenta anónima
de algún servidor como Hotmail o Yahoo, evitando de forma
sencilla pero contundente el control de acceso del sistema
operativo, la base de datos y el firewall.
Este
tipo de software de ataque se denomina caballo de Troya.
En el ejemplo anterior el caballo de Troya efectuó un ataque
contra la confidencialidad de su información. La
comunidad científica del área de Seguridad Informática,
luego de años de investigación, estipula que ninguno de
los sistemas operativos comerciales, y por extensión otros
software de base, brindan protección efectiva contra ataques
a la confidencialidad efectuados por medio de caballos de
Troya. Su accionar es prácticamente indetectable e indistinguible
del funcionamiento de un programa similar sin fines ofensivos.