Llegamos a ustedes gracias a:



Columnas de opinión

4 predicciones positivas para la seguridad en el 2015

Por: Roger A. Grimes, experto en seguridad informática

Roger Grimes

[07/01/2015] En el mundo loco de hoy, donde los hackers pueden llevarse abajo a compañías enteras, cancelar proyectos, y arruinar millones de noches de cine, tengo que creer que nos hemos topado con una especie de punto de inflexión. Quiero decir, alguien a quien no le guste su empresa, no debería poder destruirla.

Yo no estoy hablando solamente de Sony. Los hackers han estado dejando a las empresas fuera del negocio por años. En el pasado han sido las empresas más pequeñas pero, ahora, los daños que causan pérdidas de cientos de millones de dólares -en el caso de Sony, probablemente 500 millones en el largo plazo- son comunes. Recuerde que algunos de estos ataques requieren sofisticadas técnicas de hacking y, por lo general, es cuestión también de tener defensas pobres. Casi cualquier empresa podría ser Sony.

El estado de la seguridad es tan malo que tiene que mejorar. De hecho, veo cuatro zonas que atender en la lucha sin fin contra los hackers maliciosos y el malware:

1. Mejor entrenamiento para hacerle frente a la ingeniería social

La mayoría de las empresas que fueron hackeadas este año, fueron vencidas por profesionales calificados de la ingeniería social.

Los correos electrónicos de phishing sobre los que debería preocuparse no son aquellos que tienen los errores tipográficos que vienen de gente extraña y que le piden involucrarse en algo de lo que nunca usted ha oído hablar. No, el anzuelo de los correos de phishing de hoy llega de parte de alguien que usted conoce y con quien trabaja regularmente. Estos correos se refieren a un proyecto que ambos han estado trabajando durante mucho tiempo, y le piden que haga algo que parece muy aceptable, dados los otros hechos compartidos y el conocimiento contenido en la solicitud.

La única defensa contra este tipo de ataques sofisticados es un mejor entrenamiento. Tenemos que educar a nuestros usuarios acerca de los tipos de ataques más comunes, y lo que los atacantes tratarán de lograr hacer -cosas como el inicio de sesión en un sitio web (para robar sus credenciales corporativas) o ejecutar un programa (generalmente un troyano).

Estoy seguro de que usted ha escuchado las viejas y repetitivas instrucciones que la mayoría de las empresas utilizan, como decirle a las personas que no abran archivos adjuntos sospechosos o que eviten los sitios web "poco confiables. En el 2015, creo que, finalmente, las compañías actualizarán estos consejos para afrontar el reto de las amenazas más sofisticadas de hoy en día.

2. Más privacidad por defecto

Durante el último año y más, gracias a Edward Snowden, todo el mundo ha aprendido que no tenía privacidad.

La revelación acerca de que la mayoría de los gobiernos están leyendo nuestros correos electrónicos y haciendo seguimiento de nuestras llamadas hechas a través de teléfonos celulares, ha creado una reacción que no morirá. La mayoría de los servicios en la nube ya permiten el cifrado por defecto en sus productos, o están creando la funcionalidad y planean estrenarla en el 2015. Creo que para el año 2016 será muy difícil encontrar un producto, de nube o de otro tipo, que no incluya por defecto el cifrado, con el cual la única persona que puede acceder a las claves es el propietario. Ese será un gran desarrollo.

No me desaniman quienes siembran miedo y argumentan que el cifrado predeterminado hará que el mundo sea invadido por terroristas y pornógrafos infantiles. Lo siento, chicos, ustedes tendrán que volver a hacer el trabajo policial duro -o al menos obtener una orden judicial. Nunca voy a estar dispuesto a renunciar a mi derecho a la intimidad personal, junto con la de miles de millones de otros, para atrapar a unos pocos cientos, o miles, de los chicos malos.

Cada vez más empresas están contratando a defensores de la privacidad, incluyendo directores responsables de la seguridad de la privacidad (chief privacy officers). Garantizar la protección de los datos y de la privacidad de un cliente, o de los datos de un empleado, ha llegado a ser mainstream. No hay marcha atrás. Este período terrible de viciosa invasión orwelliana finalmente llegará a su fin.

3. Más defensas del crowdsourcing.

El crowdsourcing ha funcionado para todo, desde la financiación de inventos hasta para permitirle a las buenas causas organizar protestas. El crowdsourcing puede funcionar también para la seguridad informática.

Tendencias positivas seguridad, Roger Grimes

La mayoría de los "chicos malos ejecutan sus planes con mucha gente al mismo tiempo. Los spammers envían de decenas a cientos de millones de copias del mismo correo electrónico. Los grupos APT generalmente invaden cientos, o incluso miles, de empresas al mismo tiempo. Cada víctima tiene información valiosa y detallada para compartir acerca de estas fechorías.

El por qué no hemos compartido esta inteligencia colectiva entre nosotros con más frecuencia -por no decir que con mayor rapidez- siempre me ha dejado perplejo. Pero en el 2014 me encontré con más organizaciones que existían únicamente para compartir sus experiencias de hackeo, ya sea entre un grupo selecto de socios de trabajo, o dentro de industrias enteras. Los resultados fueron productivos.

Los hackers han compartido durante mucho tiempo diferentes métodos de hacking y sus éxitos. ¿Por qué las víctimas no pueden hacer lo mismo?

En el 2015, surgirán más organizaciones dedicadas a compartir información -así como más herramientas que utilicen la información aprendida. La información compartida hoy en día entre los antivirus, comenzará a ser compartida en foros abiertos y en feeds. El crowdsourcing de las defensas de la seguridad informática hará más difícil que los hackers se mantengan ocultos.

4. Mayor cooperación internacional.

Los delincuentes de Internet delinquen porque saben que sus posibilidades de ser atrapados son escasas.

En la actual Internet, al igual que en el 'salvaje oeste', los hackers maliciosos solo necesitan deslizarse a través de las fronteras para evitar la persecución. Sabemos las identidades de muchos hackers que causan daño, pero sus países de origen no reconocen nuestras ordenanzas ni los arrestan, incluso si tenemos una gran cantidad de evidencia directa.

El salvaje oeste fue reemplazado por una civilización más segura, porque las c-munidades (ver Tombstone City) decidieron que la ley y el orden debían prevalecer para que la humanidad tuviera éxito. Hoy en día, incluso los países en donde se ha permitido florecer a los operadores sin escrúpulos, están viendo la luz, aunque solo sea por interés propio. Por ejemplo, muchas empresas estadounidenses ahora bloquean el tráfico de Internet proveniente de países completos debido a las acciones de unas pocas "malas semillas. Eso no puede ser bueno para las economías de dichos países.

En el pasado, muchos de estos países con protección legal, cínicamente se han hecho los de la "vista gorda con tal de que los hackers se centren en víctimas extranjeras. Eventualmente, estos ladrones no pudieron consigo mismos y comenzaron también a atacar objetivos nacionales fáciles. Los gobiernos que suelen tolerar los ataques contra extranjeros están descubriendo lo que es pagar las consecuencias de lo sembrado.

Eventualmente, una frontera no será tanto un bloqueador jurisdiccional como lo demostró ser en el pasado. Creo que verá más criminales cibernéticos internacionales reunidos y puestos en la cárcel. Siempre habrá algunos estados, como Rusia, en donde los sobornos recorren un largo camino para mantener la protección local. Pero incluso la vieja guardia será probada, conforme sale a la luz más evidencia pública.

¿El cambio real? Tal vez sea así.

Mi actitud de Grinch por defecto no permitirá que crea que la seguridad informática mejorará radicalmente en el 2015, pero veo destellos de esperanza. Diablos, seré feliz si solo una de estas predicciones se hiciera realidad; aun un solo éxito de estos nos dará más municiones para combatir el crimen cibernético que las que hemos tenido antes.

Tengo grandes esperanzas porque algo tiene que cambiar. No podemos dejar que alguien que no esté de acuerdo con una película, ataque a una empresa e interrumpa la vida social de casi todo el mundo. Eso es muy del salvaje oeste.

Roger A. Grimes, InfoWorld (EE.UU.)

Roger A. Grimes es columnista en el tema de seguridad para la revista americana InfoWorld desde el 2005. Posee más de 40 certificaciones y publicado ocho libros sobre seguridad informática.