Mirando más allá del perímetro de ciberseguridad

A diario oímos cómo tal o cual servicio es vulnerado, rompiendo sus defensas, y saldándose, por lo general, con una ingente cantidad de datos de clientes, que acabarán en el mejor de los casos olvidados en algún enlace de internet, y que en el peor serán vendidos a terceros para explotación de los mismos.

industria

Es un problema recurrente, que se acrecenta con el paso del tiempo debido a la cada vez más dependencia del medio digital. Y por mucho que se habla de ello, se imponen pocas medidas paliativas, viviendo en un entorno de pura confianza en el que cruzar los dedos y rezar para que a uno no le pase nada es cuestión más de suerte que de otra cosa.

Así pues, me parece interesante señalar dos puntos que deberían tomarse como pilares tecnológicos de toda esta nueva oleada de servicios.

Seguridad en el diseño

Parece algo trivial, y sigue siendo un mero añadido en aquellos proyectos en los que hay dinero de sobra para ello. hoy en día, y a sabiendas de todo lo que está ocurriendo en relación al tráfico ilegal de datos, la propia industria debería tomar medidas en el asunto imponiendo un mínimo aceptable de patrones seguros. Y un buen comienzo podría encontrarse en la figura del market de aplicaciones, sirviendo de ese filtro previo que gestionase, ya no solo las posibles acciones que comprometieran el SO donde se instalase, sino la propia integridad de la aplicación en sí.

Mientras siga saliendo más barato poner remedio que solventar el problema en el origen, nada motivará a la industria del software a hacer bien las cosas.

Palabras de Schneier, que no mías, en referencia al estudio económico de la ciberseguridad en EEUU. #ParaPensar.

Los sistemas informáticos están creados para producir valor, y no para mejorar y actualizar aquello que no repercute directamente en el modelo de negocio establecido. Esto se une a la bajada drástica de los ciclos de desarrollo del software (ahora es habitual que una app se actualice cada pocos meses, o un SO cada con periodos inferiores a un año), dejando poco margen de actuación a un departamento de TI, que se ve forzado a implementar nuevas prestaciones antes de asegurar que lo que hay tiene una arquitectura óptima y fortificada.

Industrialización del crimen

Un problema que obliga a tratar este tipo de ataques desde otra óptica. Hemos pasado, en apenas una década, de temer que nuestro ordenador fuera infectado por un virus que acababa por imposibilitar su uso, hacia un entorno en el que el malware, de sobrevivir a las defensas perimetrales de nuestro sistema, es capaz de mejorar las prestaciones del mismo.

Ya no estamos por tanto frente al niñato de turno que quiere causar mal y vanagloriarse de sus conocimientos, sino frente a una industria que busca beneficios, fuertemente institucionada y gestionada con conocimiento de causa. Los ataques de la actualidad son sofisticados, en muchos casos invisibles, y dirigidos a que el usuario no sea capaz de detectarlos. Ataques persistentes, pacientes, capaces de mantenerse en letargo durante meses recopilando información, para más tarde empezar a mover ficha lentamente, cual juego de ajedrez. Malware inofensivo, que pide permisos al propio usuario, que funciona como un servicio totalmente legítimo, hasta que ve prudente conectarse a otra parte del código, normalmente colgada en la red, para obtener el resto de características que precisa.

Y muy señor mío, no tenemos herramientas ni capacidad para defendernos de algo así. Los antivirus ya no sirven para nada (para casi nada), y el sentido común queda relegado a un segundo término cuando el par causa-efecto se produce en un lapso de tiempo tan elevado, en un entorno fuertemente modularizado.