Llegamos a ustedes gracias a:



Reportajes y análisis

Futuras amenazas y desafíos de la seguridad cibernética

¿Está listo para lo que se viene?

[13/10/2017] El mundo está cambiando, y con éste también la Internet. O tal vez es al revés. Internet continúa creando nuevas oportunidades empresariales y sociales que se expanden masivamente y se interconectan de manera amplia. La creciente profundidad y volumen de datos personales y corporativos, la convierten en un objetivo más gratificante para los delincuentes cibernéticos y el espionaje o sabotaje patrocinado por el Estado. Al mismo tiempo, una mayor conectividad proporciona más vectores potenciales de ataque.

Esto hace que la industria, los gobiernos e individuos se sientan incómodos y no sepan cómo prepararse. Predecir la naturaleza exacta de las amenazas futuras y cómo combatirlas es difícil, pero un nuevo estudio de la Internet Society (ISOC) ofrece información creíble. La ISOC fue fundada por los pioneros de Internet Vint Cerf y Bob Kahn en 1992 para "promover el desarrollo, la evolución y el uso de Internet abiertamente para el beneficio de todas las personas del mundo. El 18 de septiembre, la ISOC lanzó su reporte 'Paths to our Digital Future' (Caminos a nuestro Futuro Digital), que hace énfasis en la forma en que el desarrollo de la Internet podría continuar a servicio a todos.

El informe es el resultado de encuestas, entrevistas telefónicas y mesas redondas llevadas a cabo en el 2016 con más de tres miembros y socios de la ISOC, expertos externos y usuarios de los sectores privado y público. Se centra en seis "motores de cambio" que afectarán a la Internet en los próximos años: Internet y el mundo físico; inteligencia artificial; amenazas cibernéticas; la economía de la Internet; redes, estándares e interoperabilidad; y el papel del gobierno. Aunque solo uno de los impulsores apunta a la seguridad cibernética, los hallazgos en todas las áreas la impactan directa o indirectamente.

El informe refleja las preguntas y preocupaciones de los encuestados sobre el futuro de la Internet como motor económico y medio social. Un tema central es que para que la Internet continúe teniendo éxito en ambas áreas, debe ser confiable, segura y fácil de usar. A continuación, se presentan algunas de las cuestiones de seguridad relevantes que el informe plantea.

¿Qué efecto tendrá la acción gubernamental (o la inacción) sobre la ciberseguridad?

Los encuestados esperan que las políticas gubernamentales y normativas heredadas sigan siendo contraproducentes. Tecnologías como la inteligencia artificial (IA, por sus siglas en inglés), Internet de las cosas (IoT, por sus siglas en inglés) y la cadena de bloques (blockchain) -todas juegan roles significativos en el espacio de la seguridad cibernética- enfatizarán aún más los marcos de políticas. "Ni el gobierno ni el sector privado pueden abordar el alcance y la escala de las amenazas cibernéticas por sí solos. Se requerirá colaboración", señala Constance Bommelaer, director senior de política global de Internet de ISOC.

Bommelaer comenta que mucha gente se mostró preocupada por las posibles acciones de los gobiernos perjudiciales para la seguridad cibernética. "El interés gubernamental por la seguridad nacional continuará manifestándose en acciones regulatorias, que inevitablemente comprometerán la privacidad y la seguridad personales", afirmó un participante en la investigación.

"La formulación de políticas reactiva, y no a largo plazo, puede fragmentar la Internet a lo largo de los límites del Estado-Nación; y, además, socavar los derechos humanos", anota Bommelaer. "Técnicamente, esta fragmentación ocurrirá si los gobiernos tratan de limitar la capacidad del sistema para interoperar plenamente, e intercambiar paquetes de datos de un extremo a otro -perjudicando una de sus propiedades fundamentales y claves del éxito. Vemos una tendencia preocupante hacia esta dirección en algunas partes del mundo, donde priorizan los intereses nacionales a corto plazo -a veces denominados "soberanía cibernética"- sobre los intereses a largo plazo y la responsabilidad compartida", añade.

Algunas acciones del gobierno podrían resultar positivas. "También existe un escenario en el que, por ejemplo, las leyes de protección de datos, la responsabilidad y las leyes de protección al consumidor, apoyan las estrategias de seguridad cibernética, y donde los gobiernos promueven y permiten las soluciones más eficientes", indica Bommelaer.

Otra tendencia que alarmó a los participantes en el informe fue el aumento de los ataques cibernéticos patrocinados por el Estado, ya que la Internet está cada vez más entrelazada con la seguridad nacional. "[Una] perspectiva incierta es el uso de armas cibernéticas y ciberguerras para lograr ganancias políticas entre las principales potencias. Esto ya está ocurriendo, pero no se sabe si conducirá a grandes interrupciones de la red y causará una reducción en la confianza de los usuarios de internet", mencionó un participante en la investigación.

"La sociedad se vuelve cada vez más dependiente de la Internet, desde procesos políticos hasta las economías, lo que hace que los ataques cibernéticos sean un medio atractivo para los actores maliciosos -incluidos los ataques patrocinados por el Estado", indica Bommelaer.

Sin solución política aparente, Bommelaer cita la necesidad de normas internacionales para ayudar a controlar este tipo de comportamiento estatal. "Las organizaciones deberían considerar los ataques patrocinados por el Estado, como una posibilidad en sus evaluaciones de riesgos. Entender qué activos deben ser considerados, en términos de datos o infraestructura, por ser posibles blancos para atacantes con motivación política", agrega.

Lo que tiene y no tiene el aumento de la seguridad cibernética

A medida que aumenta el riesgo y la complejidad de la seguridad cibernética, también lo hacen los recursos necesarios para responder a ellos. Algunos participantes de la investigación se imaginan a esto creando "divisiones de seguridad", donde algunas entidades no serán capaces de manejar amenazas apropiadamente. Se espera que esto ocurra entre naciones, individuos en la sociedad y negocios.

"Una de las cuestiones más alarmantes que vemos en este informe es el riesgo de una división de seguridad emergente -tanto dentro como entre sociedades", indica Bommelaer. "Esta brecha de seguridad puede jugar un rol a nivel de usuario individual, siendo algunos usuarios capaces de proteger sus datos; pero también puede convertirse en una brecha a nivel organizacional, donde las nuevas empresas de los países en desarrollo están en desventaja debido a la seguridad".

Mientras que una organización tiene las habilidades y recursos adecuados, puede que sus socios y proveedores no; lo que creará vulnerabilidades. "Es posible que sea el ecosistema de servicios bancarios del que su negocio depende, su proveedor de servicios de Internet o el marco legal en su país, lo que pone a su empresa en una situación desventajosa en cuanto a seguridad", comenta Bommelaer, quien añade que la colaboración entre todos los actores dentro de un ecosistema es necesaria para promover la seguridad.

¿Cómo afectará la IoT a las organizaciones?

Los participantes de la investigación esperan lo que Bommelaer calificó como "una explosión" de nuevos dispositivos conectados a internet. Esto sugiere que el rango de vectores de ataque y vulnerabilidades aumentará. "No solo aumentará el riesgo de ataques, sino también potencialmente la gravedad de los ataques a medida que se conectan con el mundo físico", señala Bommelaer.

Este riesgo se ve agravado por la naturaleza de las empresas que adoptan la tecnología IoT. "Además, veremos una gama de negocios nuevos o tradicionales entrando al mundo digital; de los cuales algunos podrían carecer de experiencia, conocimiento y habilidades para asegurar efectivamente sus dispositivos", indica Bommelaer, añadiendo que ISOC anima a las organizaciones a adoptar el marco de seguridad IoT de Online Trust Alliance (OTA). Proporciona mejores prácticas y principios de seguridad para guiar el despliegue del IoT.

¿Proteger la conexión a Internet dificultará su uso?

Una vez más, el informe hace hincapié en que la Internet debe mantenerse segura y fácil de usar. Hoy en día, los usuarios se quejan de algunas medidas básicas de seguridad, como la autenticación de dos factores, por lo que es razonable cuestionar si futuras medidas de seguridad desalentarán a los usuarios. "Se habla mucho sobre la seguridad y la encriptación, pero los usuarios no están dispuestos a usar nada que sea incómodo. Sospecho que en cinco años seguiremos hablando de lo importante que es la seguridad, y las cosas serán aún más inseguras", comentó un participante en la investigación.

Bommelaer afirma que ese no tiene por qué ser el caso si las organizaciones se enfocan en la concientización sobre la seguridad y la adopción de un enfoque centrado en la solución. "La mayor preocupación hoy en día es la falta de seguridad, lo que se traduce en socavar la confianza en la Internet. Los usuarios y empresas deben sentirse seguros de que la integridad de sus datos está protegida; y, probablemente, una tendencia a incrementar los ataques contra la red y sus servicios socave esta confianza. Aquí, la clave es la gestión de riesgos; minimizarlos a través de mejores prácticas de seguridad y, al mismo tiempo, tratar de optimizar los beneficios inherentes a la naturaleza abierta y global del internet. La seguridad colaborativa es clave para minimizar ese riesgo de manera eficiente".

Enfrentando futuros desafíos de seguridad

Si se rescata una lección en cuanto a ciberseguridad en las conclusiones del informe de ISOC, es que las organizaciones necesitan revisar y repensar la forma en que realizan negocios y protegen sus activos y datos. "La cuestión subyacente es que la prioridad de muchas empresas es recopilar datos, no asegurarlos", señala Bommelaer. "La falta de encriptación de extremo a extremo, y como en algunos casos: el descuido u olvido de cifrar los datos almacenados, son solo algunos de los factores que agravan el problema y el impacto de una violación de datos en los usuarios".

Aunque los participantes del informe esperan que las inversiones en ciberseguridad aumenten, Bommelaer cree que el solo el dinero no es la respuesta. "El mayor obstáculo no es necesariamente el dinero, sino la concientización sobre seguridad y ésta como una prioridad. La OTA realizó un informe hace dos años que mostró que más del 90% de las violaciones que estudiaron pudieron haberse evitado, y que el 29% fueron causadas por empleados -accidental o maliciosamente- debido a la falta de controles internos".

La colaboración y la comunicación son también muy importantes. "Afianzar todas estas cuestiones es un desafío para muchas industrias y otras partes interesadas, al considerar la necesidad de colaboración en la seguridad cibernética", indica Bommelaer. "La Internet es un sistema altamente interdependiente, y ningún actor puede adoptar una solución única. Requerirá colaboración entre proveedores y fabricantes para asegurar que los dispositivos estén protegidos por el diseño, y que los usuarios puedan interactuar con el dispositivo para confirmar o realizar actualizaciones, llevar a cabo cambios en la configuración, etc.

Los resultados del estudio también refuerzan la noción de que la seguridad debe ser adoptada de arriba a abajo dentro de una organización, especialmente por los que recogen los datos personales de los individuos. Existe un creciente sentimiento de que las organizaciones necesitan hacer más para proteger los datos personales y asumir mayor responsabilidad cuando ocurre una violación. "Las organizaciones que manejan datos privados necesitan aclarar su responsabilidad y ser plenamente transparentes en cuanto al manejo de las situaciones. Si hay una violación, el peso debe caer en los hombros de aquellos que manejan los datos", finaliza Bommelaer.