10 grandes ideas en seguridad digital

No hace mucho tiempo, las noticias de seguridad significaban vulnerabilidades oscuras y virus que se propagaban por las computadoras de escritorio. Pero ahora la gente de todas partes está preocupada por espiar a las agencias gubernamentales, Heartbleed deja que sus datos personales se pierdan en la Web y las crecientes amenazas móviles. Diablos, la cobertura de las filtraciones de Edward Snowden sobre los esfuerzos de espionaje doméstico de la Agencia de Seguridad Nacional obtuvo premios Pulitzer este año. A medida que nuestras vidas se centran más en los dispositivos digitales e Internet, más personas se preocupan por la seguridad, y con razón. La pregunta es, ¿cuáles son los problemas reales, y cuál es solo el bombo del sabor del mes de los principales medios de comunicación?

Para obtener una visión general sólida de lo que realmente importa, retroceda hasta el pasado febrero, cuando miles de asistentes acudieron en masa a San Francisco para la Conferencia RSA. Entre ellos estaban los creadores de productos de seguridad y los investigadores que han revelado algunas de las historias de seguridad más importantes. Es una de las reuniones más grandes de su tipo, y las ideas de RSAC tendrán un gran impacto en la seguridad digital durante el resto del año.

Snowden y seguridad

La gente solía bromear diciendo que el gobierno de los Estados Unidos estaba escuchando todo lo que todos decían, pero ya nadie se ríe de eso. El supuesto acuerdo entre la Agencia de Seguridad Nacional y la Seguridad de RSA hizo palidecer la conferencia, que ya no está directamente afiliada a la compañía de RSA.

Sorprendentemente, la NSA decidió una vez más tener presencia en el piso de exhibición este año. Incluso si no lo hubieran hecho, era difícil evitar la NSA. Algunos vendedores entregaron posavasos con el logotipo de la agencia en ellos, mientras que otras personas escribieron comentarios sarcásticos en pizarras públicas. Aparentemente, un proveedor se opuso a estar ubicado cerca del stand de la NSA, mientras que otro aprovechó la oportunidad para publicar videos en bucle sobre Snowden.

Algunos oradores hicieron sus presentaciones en protesta y organizaron un evento competitivo de un día llamado Trustycon. Esto estaba destinado a ayudar a crear conciencia sobre los problemas de privacidad, aunque algunas personas lo vieron de manera diferente.

China quien?

El año pasado, el hombre del saco debajo de la cama de todos era China. El temor entre los expertos de la industria era que los atacantes solitarios o patrocinados por el estado de China robaran propiedad intelectual y la vendieran o se la entregaran a competidores chinos. También existía la amenaza de la guerra cibernética entre las naciones, que se hizo aún más real por los continuos informes de amenazas sofisticadas avanzadas y persistentes.

Un avance rápido hasta este año y las preocupaciones son más suaves. Los oradores mencionaron el "robo de propiedad intelectual", pero no vieron la necesidad de decir quién estaría detrás. Cuando se mencionaron los ataques del "estado nación" el año pasado, casi con toda seguridad significaba "China", pero este año podría haber significado fácilmente "Los Estados Unidos de América".

Diez cosas

Fuera de estas grandes historias, hubo algunos desarrollos prometedores, nuevas tecnologías y consejos comprobados en RSA. ¿Primero y ante todo? Parchea tu software. También hubo muchos vendedores dispuestos a mover las contraseñas pasadas, que esperamos veamos que sucedan pronto. Además, espero que todos lean antes del show del próximo año.

Estas fueron algunas de las grandes historias sobre las que los expertos en seguridad están hablando, pero no son las únicas. Aquí están nuestras diez ideas principales que están sucediendo en seguridad en este momento.

1 10. Puertas traseras en encriptación

La Agencia de Seguridad Nacional estuvo en la mente de todos en la conferencia de este año, y ha sido la mayor historia de seguridad del año pasado. Y a pesar de que la Conferencia RSA es una entidad distinta de la compañía RSA Security, la supuesta conexión multimillonaria entre RSA y la NSA fue un tema frecuente de discusión. El presidente de RSA, Art Coviello, rechazó las acusaciones en su discurso de apertura, pero pidió reformas dentro de la agencia de espionaje. En marcado contraste con el año pasado, los temores sobre China quedaron en segundo plano ante las preocupaciones de que el cifrado podría no ser tan seguro como pensábamos.



2 9. Palabras de moda que matan palabras

Una vez que una palabra alcanza el estado de palabra de moda, deja de significar algo útil. Lamentablemente, había un montón de palabras así en RSAC, donde todos usaban las mismas palabras, pero nadie estaba de acuerdo con la definición. Cuando se trata de inteligencia de amenazas, ¿estábamos hablando de indicadores de compromiso o de enriquecer los datos existentes con fuentes de terceros? ¿Qué significa exactamente "next-gen" incluso más? En este punto, deberíamos estar en next-next-gen. ¿Cómo pueden tantos productos anunciar una revolución de seguridad? ¿La industria ya sabe lo que promete?

Imagen vía el usuario de Flickr Soumyadeep Paul



3 8. Cuando las tostadoras, los autos y las cafeteras atacan

El Internet de las cosas se infiltró en la Conferencia RSA este año y todos están preocupados por la posibilidad de asegurarlos. La conclusión clave, bastante angustiosa, es que todavía no estamos listos para proteger todos nuestros dispositivos, ya sean electrodomésticos, dispositivos médicos o automóviles. Aun así, algunos no estaban tan preocupados, diciendo que no era probable que los delincuentes intentaran controlar o chocar de forma remota un automóvil conectado. Sería más probable que los delincuentes fueran "aguas arriba" para comprometer los servidores que usan las Cosas, como los servidores OnStar para automóviles, y monetizarlos.

El Internet de las cosas sin duda surgirá cada vez más a medida que se conecten más dispositivos. A raíz de Heartbleed, los investigadores no solo estaban preocupados por los servidores, sino por todos y cada uno de los dispositivos conectados.



4 7. Cifrar todo

La respuesta de todos sobre cómo mejorar la seguridad, particularmente la seguridad móvil, fue encriptación, encriptación, encriptación. Las aplicaciones móviles están moviendo grandes cantidades de información a través de Internet, y muchos desarrolladores están optando por no cifrar esas transacciones, dando a los atacantes y a los estados nacionales mucho para mirar. Volviendo nuevamente a la NSA, el CTO de Co3 Bruce Schneier postuló que la agencia probablemente ha roto alguna forma de cifrado pero no puede procesar grandes cantidades de datos cifrados. Dijo que la gran cantidad de información no encriptada que volaba simplemente está haciendo que sea demasiado fácil para cualquiera que busque almacenar datos. En febrero, las preocupaciones sobre el cifrado se basaban en las vulnerabilidades creadas por la NSA y los problemas de SSL de Apple. El anuncio de Heartbleed es un recordatorio aleccionador de que incluso las mejores herramientas que tenemos todavía no son perfectas.

Imagen a través de la cuenta anónima del usuario de Flickr

• 5 6. No hay balas de plata

  Pasamos mucho tiempo hablando de presentaciones e individuos en RSAC, pero no debemos olvidar que el evento es una feria comercial y que el piso de exhibición está lleno de vendedores que trabajan para convencer a los compradores de que su producto es el mejor. Sorprendentemente, muchas compañías de seguridad todavía estaban impulsando la idea de las balas de plata, una solución de servicio único para todos y cada uno de sus problemas de seguridad. Esto es un poco sorprendente dado que el año pasado demostró que existen numerosas vías para los ataques, y que pueden diferir dependiendo de quién está detrás de ellos y qué buscan. El vicepresidente senior de HP, Art Gilliland, sugirió que las empresas dejen de buscar nuevas armas y adopten un enfoque más holístico de la seguridad. ¿Lo más importante en su lista de mejoras? Invierta en individuos y mejore la capacitación en seguridad.



6 5. AV móvil no funciona

Si bien celebró que la comunidad de seguridad trabaja con y dentro de Android para mejorarlo, el ingeniero principal de Google para seguridad de Android tuvo una visión tenue de la seguridad móvil hasta el momento. Dijo que el objetivo de Google era proporcionar seguridad silenciosa e invisible y sugirió que las compañías de seguridad tenían más que ver con llamar la atención y aumentar las ventas. El CEO y cofundador de viaForensics, Andrew Hoog, también tuvo problemas con los modelos de seguridad tradicionales en dispositivos móviles. Señaló que el sandboxing de aplicaciones en los sistemas operativos móviles hace un buen trabajo al proteger las aplicaciones, pero también limita la capacidad de las aplicaciones de seguridad para hacer frente a las amenazas. Su solución? Brinde a los desarrolladores de seguridad acceso a privilegios de root.

No estoy totalmente de acuerdo con ninguna de las posiciones, pero las crecientes amenazas móviles exigen nuevas formas de proteger los dispositivos. Protegerse contra aplicaciones maliciosas no es suficiente, y aunque las herramientas que las compañías de seguridad están agregando a sus aplicaciones móviles son útiles, no serán suficientes para siempre.

Imagen vía el usuario de Flickr Tiago A. Pereira



7 4. Seguridad en el asiento del conductor

Hablamos mucho sobre cómo la seguridad debe ser parte del ADN de la organización, y cómo los equipos de seguridad no pueden estar reaccionando a las crisis o en modo de lucha contra incendios todo el tiempo. El consenso general parece adelantarse a las amenazas, ya sea al tener mejores prácticas de seguridad para cerrar las vías de ataque o al integrarse con otros equipos para asegurarse de que las preocupaciones de seguridad se consideren desde el principio.



8 3. Necesitamos más personas en seguridad

Una de las cosas de las que seguíamos escuchando era cómo había escasez de profesionales de seguridad. Las empresas que tradicionalmente no tenían que pensar en la seguridad (proteger sus datos o asegurarse de que sus productos fueran seguros) ahora luchan por encontrar profesionales de seguridad con experiencia. Las agencias gubernamentales están tratando de atraer a los hackers más brillantes para llenar sus filas. Hay una brecha de habilidades, en parte porque no tenemos suficientes personas especializadas en seguridad, sino también porque las empresas no están haciendo un buen trabajo al reclutar.

Necesitamos más mujeres en tecnología y seguridad de la información en particular. Las sesiones en RSAC se centraron en crear estructuras de apoyo para alentar a las mujeres interesadas en infosec, pero también para resaltar algunos de sus logros.



9 2. Las aplicaciones con fugas son peores que el malware móvil

La defensa contra el malware continúa siendo un foco para muchas compañías de seguridad móvil, pero esa no es la única amenaza. Muchos asistentes a la conferencia de RSAC sugirieron que las aplicaciones con fugas, es decir, las aplicaciones que transmiten los datos personales de los usuarios sin cifrado o en grandes cantidades, son una amenaza mucho mayor para los usuarios. Para los lectores de nuestra cobertura Mobile Threat Monday, esto no debería sorprendernos. Este año, esperamos nuevas herramientas como viaProtect para ayudar a los consumidores a ver qué están haciendo realmente sus aplicaciones. Dicho esto, ver a alguien destrozar, modificar y reempaquetar una aplicación de Android en cinco minutos es un recordatorio de que el malware sigue siendo un problema.

Imagen vía el usuario de Flickr Grotuk

• 10 1. La vigilancia no desaparece

  El recién nombrado director del FBI, James Comey, dejó en claro dos cosas en su presentación de RSAC 2014: el FBI necesita la cooperación de las empresas para combatir las amenazas cibernéticas, pero esa vigilancia electrónica está aquí para quedarse. En un nivel, todos lo sabemos. No podemos esperar que espías y policías sigan tocando teléfonos cuando los malos se comunican con el correo electrónico y otras herramientas. Como sociedad, debemos aceptar que las comunicaciones digitales son un objetivo, y quizás legítimo. Del mismo modo, los panelistas en una fascinante mesa redonda de expertos de inteligencia de Estados Unidos enfatizaron que la NSA no es una "agencia deshonesta" y que todos los demás estados nacionales están participando en la vigilancia electrónica. También dijeron que el espionaje doméstico debe lograr un mejor equilibrio con la privacidad, y que las personas no deben permitir que los funcionarios electos usen su "historia de portada" de negación plausible para las operaciones de inteligencia.