A fondo
Las amenazas que vienen
Es un secreto a voces. Nadie lo comenta pero todos lo saben, no aparece en las ofertas de trabajo pero es un elemento clave en las entrevistas, no se enseña en ningún sitio pero puede aprenderse… Hablo, claro, de la videncia, esa facultad paranormal que nos permite, al observar una esfera de cristal o los posos del café, saber qué ocurrirá dentro de unos días, unas semanas o unos años. Algo que todo profesional de IT y, especialmente, dentro del área de seguridad, debe tener entre sus skills.
¿Es una exageración? Bueno, en realidad solo la referencia a la bola de cristal y a los posos del café, por lo demás, un buen profesional de la seguridad no solo debe estar muy al tanto de las amenazas actuales, también debe ser capaz, usando sus conocimientos y toda la información a su alcance, de extrapolar hacia el futuro, intentando imaginar cuáles serán los próximos pasos de la industria del cibercrimen.
Afortunadamente, los expertos son muy conscientes de esta necesidad y, en consecuencia, suelen pronunciarse adelantando, desde su perspectiva, lo que está por venir. ¿Y a qué piensan que nos vamos a enfrentar en breve? ¿Para qué tenemos que prepararnos? Estos son algunos puntos destacables
Phising refinado y combinado con ingeniería social
Seguro que aún recuerdas la primera ocasión en la que recibiste un email de una entidad bancaria, en el que te indicaban que tus credenciales de acceso se habían visto comprometidas y que, como medida de seguridad, habían bloqueado tu cuenta, acción que podías revertir haciendo login con tus datos en una url sospechosa. Lo más curioso de todo era que, en la mayoría de los casos, ni siquiera tenías una cuenta en dicho banco, y parecía que el email lo había redactando alguien seriamente enfrentado con la ortografía y la gramática.
Durante sus primeros años, la inmensa mayoría de los ataques de phishing eran tan sofisticados como un cesto de esparto. Sin embargo, con los años su nivel ha ido mejorando significativamente, y a día de hoy ya es una técnica que funciona muy bien (o muy mal, dependiendo del lado en el que estés). Y las perspectivas para un futuro cercano señalan a una evolución en ese camino. Los ataques de suplantación de identidad serán, cada día, más creíbles, y un punto clave de ello será el uso de la ingeniería social.
Es decir, recibiremos ataques de phishing personalizados. Un ejemplo básico, si hoy publico un mensaje en Twitter celebrando que me acabo de comprar mi primer iPhone y acto seguido, que me voy de vacaciones a Vietnam, es posible que en unos días o semanas reciba un email “de Apple” en el que me indican que se ha producido un inicio de sesión sospechoso con mi cuenta en el sudeste asiático, que mi cuenta ha sido bloqueada y que… bueno, ya sabes cómo sigue la historia.
Y ese sencillo pero potencialmente efectivo ataque está dirigido a un particular. Imagina la cantidad de esquemas combinados de ingeniería social que se pueden diseñar y ejecutar para obtener información sensible o, incluso, acceso a la infraestructura IT de una pyme o una gran empresa. En muchos casos el eslabón más débil de la seguridad de los sistemas que administramos son los empleados, y los ciberdelincuentes lo saben, así que no escatimarán en esfuerzos para aprovechar esa debilidad.
Seguridad en IoT con despliegue 5G
Una frase recurrente al hablar de seguridad en el entorno de IoT es esa que dice The S in IoT stands for security. ¿Tú ves una S en IoT? No, ¿verdad? No hay más preguntas señoría. Vale, quizá es un postulado un tanto extremo, de acuerdo, hay muchos fabricantes que sí que han tenido en cuenta los potenciales problemas de seguridad a los que se enfrentarían sus dispositivos, y se han preocupado de que estos estén preparados frente a dichas amenazas.
El problema es que es lo han hecho mucho, no todos. Y tenemos que volver a aquello del eslabón más débil: ¿qué ocurre si yo tengo, interconectados, nueve dispositivos seguros y un dispositivo inseguro? Efectivamente, la infraestructura, al completo, se vuelve insegura. Y si esto en la actualidad ya es un problema, el boom demográfico de dispositivos IoT que está a la vuelta de la esquina, con el ya inminente despliegue de las redes 5G (recordemos que por ejemplo, en España, dentro de unos meses se producirá un nuevo cambio en las frecuencias de la TDT para dejar libre el espectro asignado a esta tecnología).
¿Y qué cabe hacer frente a esta amenaza? Pues son varios los planteamientos en esta situación. El primero y más evidente, es poner el foco en la seguridad a la hora de adquirir dispositivos conectados. Como ya he comentado antes, son muchos los fabricantes que sí que son conscientes de estas amenazas, y han tenido en cuenta la seguridad como un elemento clave en el diseño de sus productos.
También debemos prestar mucha atención a la interacción entre dispositivos, tanto a la acción misma como al canal por el que se efectúa, por lo que tanto en el despliegue de redes como en la instalación y el mantenimiento es fundamental una observación en profundidad de las políticas de seguridad previamente definidas.
Terceras partes: la cadena de suministros
No es una amenaza nueva, en realidad llevamos ya un tiempo hablando de ella, pero todos los expertos coinciden en valorarla como una de las que más van a destacar en un futuro inmediato. Y es que, si hasta ahora hemos buscado el eslabón más débil de puertas para dentro, llega el momento de dar unos cuantos pasos atrás para ganar en perspectiva. Y puede que lo que veamos no nos guste nada…
Y es que, de repente, la foto ya no es tan nítida como podíamos pensar. De acuerdo, hemos tenido la seguridad presente desde el primer día y nuestra infraestructura es segura. ¿Pero qué ocurre con la de nuestros proveedores, clientes, etcétera? Pueden existir puntos de interconexión entre sus infraestructuras y la nuestra. Y cuando hablo de infraestructura no hablo solo de cables y máquinas, también me refiero al factor humano.
Un ejemplo muy básico (hasta naïf, me atrevería a decir): un día uno de nuestros empleados de ventas recibe un email de un nuevo empleado de una de las empresas con las que trabajamos de manera habitual. En dicho mensaje esa persona se presenta, muestra conocer el historial de las operaciones conjuntas y pide el login al CRM con el que gestionamos nuestras interacciones con la empresa cliente.
Todo bien, ¿verdad? O quizá no. ¿Y si el correo electrónico de un empleado de esa persona se ha visto comprometido, y un atacante ha podido fisgar nuestras comunicaciones (así es como ha averiguado lo que demuestra saber en su presentación)? Después ha esperado a que esa persona esté unos días ausente, ha dado de alta una nueva cuenta de email corporativa y nos contacta aparentando estar sustituyendo a X.
Un aspecto fundamental de la formación para obtener el carné de conducir es mentalizarse de que actuar de manera segura es solo una parte de la ecuación, también hay que prever que el resto del mundo puede no hacerlo, y que debemos estar preparados para dicha posibilidad. Pues bien, este es un principio que, en realidad, es aplicable a otras muchas actividades de nuestro día a día, y la seguridad es un ejemplo muy claro de ello.
Fallos en la IA
La inteligencia artificial va a cambiarlo todo, la inteligencia artificial es el futuro, la inteligencia artificial tiene más propiedades que el aloe vera… Vale, estamos de acuerdo en que hablamos de una tecnología revolucionaria, y que el futuro que abre parece, aún a día de hoy, más propio de la ciencia ficción que de la realidad.
Sin embargo, con su llegada y evolución, también aparecen nuevos problemas que hay que tener en cuenta, puesto que nos pueden generar algunos dolores de cabeza. Así que para evitar tener que comprar aspirinas al peso, hay algunos aspectos que conviene tener muy en cuenta.
El primero es el origen y la calidad de los datasets empleados. Existe un más que conocido mercado del dato, en el que con la billetera en la mano, podemos hacernos con grandes paquetes de datos listos para ser ingeridos por nuestro algoritmo. Ahora bien, ¿son seguros todos los datasets? ¿Podemos confiar en todas las fuentes de datos? Evidentemente no. Es clave que solo trabajemos con datos obtenidos de fuentes seguras. Y es que, en caso contrario, nuestro proyecto basado en IA puede acabar como aquel malogrado bot de Microsoft en Twitter, que a las pocas horas de ser puesto en funcionamiento ya se mostraba racista, machista, simpatizante del tercer reich… Y no queremos algo así, ¿verdad?
Otro aspecto clave es la complejidad del algoritmo mediante el que estamos procesando los datos. Es un error común, al pretender sofisticar un modelo de ingesta y procesado de datos, optar directamente por partir del desarrollo previo y, sobre el mismo, ir añadiendo lo que sea. En muchos casos, aunque lleve más tiempo, lo ideal es partir de cero, contemplando los nuevos parámetros desde el principio. Esto no solo redundará en un mejor rendimiento de nuestra solución, sino que además evitará todos los potenciales problemas de seguridad de un algoritmo parcheado varias veces.
También, a la hora de valorar la seguridad de nuestros procesos con inteligencia artificial, debemos tener en cuenta la interacción entre aplicaciones. Como ya mencionaba antes, la sofisticación de los procesos está a la orden del día, y cada vez es más común encontrar soluciones en las que se emplean diversas herramientas. Esto, en principio, no tiene nada de malo y, es más, puede ser de gran ayuda a la hora de refinar al máximo la información obtenida desde el bruto de los datos. Sin embargo, hay que prestar una profunda atención a esas interacciones, para asegurarnos de que son 100% seguras y, especialmente, de que no es posible que algún agente malintencionado pueda inyectar datos en una de esas interacciones, malogrando el resultado final.
Empleados de lealtad voluble
Hace solo unos meses, la justicia de Estados Unidos condenó a dos ex-empleados de Twitter por haber filtrado información a las autoridades saudíes. Según se desprende del sumario de la causa, los acusados llegaron a recibir pagos de hasta 300.000 dólares por obtener información de usuarios de la red social, para entregarlos a una persona identificada en la causa como Foreign Official-1.
Ya hemos hablado de las medidas de seguridad que hay que adoptar frente a usuarios negligentes y próximamente lo haremos sobre los ataques internos malintencionados. No obstante, y como punto de partida frente a esta amenaza, es clave asegurarnos de que solo las personas autorizadas pueden acceder a según qué información.
Agotamiento de los profesionales
Qué complicado puede llegar a ser esto de la seguridad, ¿verdad? Lejos quedan ya los tiempos en los que, con la instalación de un antivirus, o a lo sumo una suite de seguridad, ya estábamos a salvo de todas las amenazas imaginables, y podíamos dormir tranquilos. A día de hoy es necesario someterse a un constante proceso de formación y actualización, si queremos ser capaces de dar respuesta a todas las posibles amenazas a las que nos enfrentamos.
Esto puede parecer una queja pueril, pero no lo es en absoluto. No lo es hasta el punto de que el agotamiento de los profesionales de IT dedicados a la seguridad empieza a ser un riesgo a tener en cuenta. He llegado a leer que hasta un 65% de los profesionales especializados en seguridad han considerado la posibilidad de cambiar de área de especialización, buscando faenar en aguas menos revueltas. Y esto es preocupante por varias razones.
La primera es algo de lo que ya llevamos tiempo hablando: la falta de profesionales especializados en seguridad. La demanda de los mismos es tan, tan alta, que en muchos casos, no se llegan a cubrir todas las ofertas de trabajo para dicho perfil. Quizá sea cuestión de tiempo, pero de momento no es un buen momento para que nuestro responsable de seguridad decida darle un vuelco a su vida y montar una floristería.
Otro problema es que, incluso si logramos ir cubriendo toda nuestra demanda con nuevos profesionales, nos enfrentaremos a una potencial falta de continuidad en los planes de seguridad a medio y largo plazo. Cada profesional tiene su mentalidad y su propio estilo, por lo que es posible que, vista con perspectiva, la línea recta que debería ser el plan integral de seguridad, podría acabar por parecerse más a una carretera de puerto de montaña que a una autopista.
Así, si tenemos la suerte de contar con un profesional competente en este campo, es más que recomendable cuidarlo como oro en paño, asegurarnos de que cuenta con todos los recursos que necesita, incluir sus directrices en las políticas y los procesos de trabajo y, sobre todo, nunca minusvalorar su trabajo. Hacer que se sienta valorado y que vea que cuenta con todo el apoyo que necesita servirá, no obviamente para mitigar el esfuerzo que supone su tarea, pero sí para que vea que, en todo momento, aquello que quiere proteger merece ser protegido.