Hace unas semanas, HISPASEC publicaba en una de sus “píldoras” diarias unas reflexiones relativas a la eficacia de los servicios anti-phishing y a su capacidad para reaccionar a tiempo, teniendo en cuenta que en este tipo de fraudes por phishing las primeras horas son cruciales y concentran el mayor porcentaje de las visitas y estafas. Esta página se preguntaba, a la vista de un informe elaborado por Symantec al respecto, lo siguiente:
“(…) Durante las 6 primeras horas del ataque se llegarían a concentrar el 51,6% de las visitas, entre las 6 y 12 horas aumenta un 10,7%, entre las 12 y 24 horas se suma un 13%, y el 24,6% de las visitas restantes se suceden transcurridas las primeras 24 horas.
Estos datos dejan en entredicho la efectividad de los servicios antiphishing reactivos que mantienen medias superiores a las 12 horas de cierre, ya que no evitarían la mayoría de las visitas y por tanto la rentabilidad del ataque. Esto explica en parte que, pese a la inversión en este tipo de servicios, los ataques a ciertas entidades sigan siendo periódicos.
Desde el punto de vista del atacante, un servicio antiphishing de una entidad que cierre en el menor tiempo posible repercutiría negativamente en su negocio, y por tanto es de preveer que migrara sus ataques a otras entidades que no entorpecieran tanto el fraude. Por ello la velocidad en el cierre de las infraestructuras de phishing es crucial en la prevención, tanto por los casos puntuales, como por estrategia a medio plazo que conlleve una disminución en los ataques a una entidad al dejar de ser un objetivo rentable.
¿Deberían las entidades exigir tiempos de reacción a los servicios antiphishing?”
La cuestión es que si contratas y pagas un servicio anti-phishing para ti o para tu empresa que no garantiza un porcentaje alto de éxito en las primeras horas del ataque, ¿para qué sirve ese contrato? Esta reflexión se podría extender a cualquier otra forma de contratación.
La lectura de este informe me ha llevado a pensar en los S.L.A. y en la necesidad de generalizar estas prácticas en los supuestos de contrataciones electrónicas. Como sabéis, en su acepción más sencilla pero, a la vez, más clara, los S.L.A. o Service Level Agreement (o Acuerdos de Nivel de Servicio) constituyen, más que un acuerdo entre partes, un compromiso que una empresa de telecomunicaciones ofrece a un cliente (real o potencial) sobre el propio Servicio. Por mejor decir, en ese S.L.A. se recogen los estándares de calidad y cantidad, la responsabilidad, las garantías de continuidad del servicio, los tiempos de respuesta ante averías o incidencias, etc. que la empresa oferente garantiza frente al cliente en todo momento. Los S.L.A. acompañan (complementando) al articulado del contrato, así como a las condiciones generales y supone, fundamentalmente, la caracterización técnica de los mínimos en que el servicio se va a prestar en todo caso.
Es un “uso” de raigambre claramente anglosajona, aunque empiezan a verse cada más ejemplos de esta práctica en nuestro país. La introducción de los S.L.A. en las contrataciones informáticas y de telecomunicaciones es una vieja aspiración de los estudiosos de la materia y, también, de los abogados especializados en la defensa de los consumidores. No se deben confundir con los S.L.S. (Service Level Specification, de carácter más técnico y no contractual) o S.L.O. (Service Level Objetive, como derivación de la anterior).
Una vez realizada la oferta de S.L.A. y, conocida por el cliente, ésta pasa a ser una obligación para la empresa y un derecho del usuario que, en todo momento, puede reclamar su cumplimiento. Si pasamos de la teoría a la práctica, en España podemos observar la inexistencia de este tipo de Acuerdos en la práctica totalidad de los contratos que los usuarios finales tienen que firmar para recibir algún servicio de telecomunicaciones. El mejor ejemplo puede ser el de la ADSL en el que se te dice hasta qué velocidad has contratado (que nunca se alcanza, ni de subida ni de bajada) pero no te garantiza qué velocidad mínima vas a tener en todo momento o no te ofrece una plazo de respuesta del servicio técnico (a nos ser pagues un complemento para ello) o no te ofrece una alternativa por si te quedas sin servicio (por ejemplo, una conexión RTB gratuita para estos supuestos y durante el plazo en que el servicio no funcione o no lo haga en las condiciones pactadas).
Si nos vamos a un “nivel superior” que podemos denominar el relativo a los “grandes clientes” o las “grandes cuentas” en las que el consumidor-empresa tiene mayor poder económico y, por ello, mejor capacidad de negociación las cosas cambian y, desde hace algún tiempo, venimos negociando la introducción de una cláusulas mínimas que, en definitiva, constituyen un S.L.A. En la reciente negociación de un contrato entre una operador de telecomunicaciones y una empresa para “the provisioning of telecommunications services, as well as the installation, leasing, and maintenance service for the equipment associated with a content broadcasting platform” se fijó un clausulado de S.L.A. con la siguiente introducción:
“This Agreement describes the target performance levels which “operador de comunicaciones” aims to deliver for the Project, “empresa” procedures for managing unavailability of the Services, and the penalties which will be applied if “operador de comunicaciones” fails to deliver “empresa” to the stated service performance targets in accordance with this Agreement”.
En pocas hojas, os aseguro que menos de 10 
, es posible fijar todos los parámetros de respuesta de la operadora de telecomunicaciones por el servicio contratado: parametrización del servicio, auditoría del servicio, informes de servicio, fallos del servicio (donde se recoge algo tan difícil de definir como qué se consideran fallos), respuesta a los fallos (servicio técnico, tiempos de respuesta en función del tipo de fallo, reparación o arreglo de los fallos, etc.), garantías, responsabilidades por el fallo y consecuencias. Jurídicamente, se ha sostenido en ocasiones que el Acuerdo de Nivel de Servicio existe de manera implícita en la prestación de todo tipo de servicios de telecomunicaciones, con independencia de que exista o no por escrita.Desde este punto de vista constituiría una obligación mínima del proveedor de servicios por debajo del cual no podría exigir la retribución pactada al usuario e incluso éste estaría capacitado para rescindir el contrato y exigir una indemnización por daños. Soy un firme defensor de esta teoría.
Publicado en ICNET
Escrito por Alvaro Suarez 
Escrito por Alvaro Suarez 
