El pasado año, por estas mismas fechas, publicamos un decálogo de las tendencias de ciberseguridad, elaborado por All4Sec, que tendrían protagonismo durante los siguientes 365 días. Desde entonces, ¿cuántas de aquellas predicciones que hicieron se han visto más o menos confirmadas y cuántas de ellas han permanecido hibernadas, quién sabe si por acción u omisión de los diferentes actores que forman parte del mercado?
En aquellos días de diciembre se habló del impacto que tendría la nueva Reglamentación de Protección de Datos, de la necesidad de resiliencia de los servicios en la nube, de la preocupación por la seguridad de los dispositivos IoT, del impacto de la nueva normativa PSD2, de la proliferación del ransomware, del tratamiento de la gestión de identidad, de la progresiva adopción del blockchain, del impacto de la Inteligencia Artificial en la protección de infraestructuras y personas, del control de la información falsa y, como no, del papel que desempeña el usuario en toda esta cadena de elementos.
Hoy, echando una mirada retrospectiva, podríamos decir que prácticamente todas ellas se han visto confirmadas. A casi nadie le resultaría difícil encontrar ejemplos de situaciones que evidenciarían como, una por una, cada una de aquellas afirmaciones han adquirido un determinado protagonismo que les ha hecho más o menos relevante cara a la opinión pública. Lo llamativo (o quizás no) de la situación es que prácticamente todas ellas continúan hoy siendo de rabiosa actualidad. Si uno se pone a pensar en lo que ha de depararnos el próximo año 2019 en un área tan dinámica y sensible como es el de la ciberseguridad, posiblemente llegaría a las mismas conclusiones que entonces, aunque ligeramente matizadas.
La nueva Reglamentación de Protección de Datos
La nueva Reglamentación de Protección de Datos ha aterrizado en 2018 para confirmar la preocupación de la Administración Pública Europea por definir un marco legal para la gestión de la información de los usuarios, lo que ha impulsado la adopción de medidas normativas y tecnológicas dirigidas a proteger su uso y explotación. Resulta curioso descubrir como una de las medidas que está alcanzando cierta relevancia en este tema no está relacionada tanto con nuevas propuestas tecnológicas —por otra parte, necesarias como el cifrado de datos, los controles de acceso, la autenticación de usuarios o la trazabilidad de eventos— sino más bien con aproximaciones legales, que incluyen la oferta de ciberseguros dirigidas a atenuar el impacto económico en las organizaciones afectadas por una reclamación.
Hasta la fecha, las sanciones que se han impuesto a aquellas compañías que han vulnerado (o han visto vulnerada) la protección de datos, se han basado en reglamentaciones nacionales, a menudo mucho menos punitivas de lo que habrían sufrido en caso de haberles sido aplicada la nueva reglamentación europea.
No han faltado aquellos que han hecho estimaciones de lo que habría ocurrido si las sanciones hubieran respondido a la nueva reglamentación. Quizás, algunas de estas compañías actualmente se encontrarían en dificultades financieras, si no con serias dudas sobre su credibilidad. Así pues, no resulta descabellado pensar que 2019 puede ver por primera vez una sanción por incumplimiento del “RGPD ejemplificador” que impulsará la “sensibilidad en ciberseguridad” del mercado. Así de simple.
Los servicios en la nube
Los servicios en la nube continúan su escalada en el mercado. El mensaje parece haber calado bien, hasta convertirse en una cierta “commodity” para muchas organizaciones. Uno de los elementos clave a la hora de integrar soluciones de nube en una organización proviene de la disponibilidad de un modelo claro de gestión de la ciberseguridad, sin asumir falsas premisas sobre la responsabilidad que tienen los proveedores externos a la hora de prestar el servicio. Saber gestionar esas responsabilidades y hacerlas coexistir con los mecanismos desplegados internamente dentro de una compañía u organismos público es algo que toda organización debe saber afrontar. Para ello debe disponer de medidas adecuadas que sean consistentes entre sí y que den respuesta a los riesgos que el uso de este modelo lleva implícito, teniendo en cuenta, que, a cambio, los beneficios para el negocio pueden ser muy importantes. El mercado de la ciberseguridad parece estar haciendo bien sus deberes con soluciones en la nube que afrontan muchas de las preocupaciones que plantean las organizaciones. A las soluciones de cifrado, VPN o la Gestión de Identidad (IGA) se han unido propuestas como los CASB, que muchos consideran la protección perimetral de la nube. Por el momento, se trata de propuestas que tienen que madurar pero que con seguridad se harán más sólidas en los próximos tiempos.
La seguridad de los dispositivos IoT
La preocupación por la seguridad de los dispositivos IoT ha sido una constante durante este año; desde “inocuos dispositivos caseros” hasta elementos críticos integrados en cadenas de producción —con sus correspondientes chips para el espionaje como, por ejemplo, han revelado los últimos descubrimientos realizados en las placas base del fabricante SuperMicro. También con elementos embarcados en dispositivos semiautónomos. Precisamente este último uso —el de los dispositivos semiautónomos— será uno de los objetivos a seguir durante 2019. Los dispositivos IoT incorporarán nuevos elementos de control y actuación cuya seguridad será uno de los quebraderos de cabeza de buena parte de las empresas de ciberseguridad. De hecho, para algunos expertos, los dispositivos IoT se han convertido ya en el eslabón más débil de la cadena y no el ser humano. De ahí que hayan surgido iniciativas para estandarizar el uso de estos dispositivos IoT y sus interfaces, así como mecanismos para robustecerlos.
El blockchain
El blockchain ha sido otro de los temas estrella durante este año pese a la fulminante caída de algunas criptomonedas desde el pasado mes de enero (más de un 60% en el caso del Bitcoin). Resulta cuanto menos interesante observar cómo la tecnología de blockchain se ha ido adaptando a otros entornos, aunque difícilmente ha pasado de prototipos avanzados. Aquellos que pensaban en una rápida inmersión de la tecnología en sectores como el financiero, logístico, sanitario… están comprobando como, por el momento, su desarrollo operacional está tardando en llegar. En 2019 veremos como el enfoque del blockchain seguirá madurando, aunque posiblemente continuará quedándole recorrido por realizar antes de mostrar su verdadera utilidad.
Análisis masivo de datos y el uso de la inteligencia artificial
Otro de los elementos que continúa su imparable desarrollo es el del análisis masivo de datos y el uso de la inteligencia artificial, tanto para la defensa como para el ataque a los sistemas informáticos. Los sistemas de gestión de eventos de seguridad se están enriqueciendo con soluciones basadas en análisis de datos que cierran el tradicional ciclo de “Plan-Do-Verify-Act” que rige los principios de la ciberseguridad. Desde soluciones de DLP o protección de puesto, hasta plataformas SIEM, las nuevas soluciones tecnológicas incorporan cada vez más el análisis inteligente de la información y la toma de decisiones —cuando no incluso de la acción automatizada-. Es muy probable que las propuestas que aparezcan en 2019 incorporen novedosas aproximaciones basadas en inteligencia artificial como una funcionalidad básica más.
A este respecto, cabe reseñar, aunque de forma colateral, el uso que está experimentado esta tecnología en los asistentes personales basados en voz. No están faltando en el mercado los “Alexa, Cortana, Siri” y demás aplicaciones que ofrecen al usuario una aparente facilidad de uso que, sin embargo, no estarán exentas de riesgos. La ciberseguridad, hasta ahora muy centrada en la interacción física con los elementos tecnológicos, posiblemente va a tener que desplazarse hacia otras formas de intercambio de información y órdenes que abrirán un interfaz diferente a la interacción y que posiblemente tendrá numerosas vulnerabilidades aún por identificar y cualificar.
Ciberseguridad, geopolítica y economía
Enmarcado bajo el tópico de las fake news el uso por parte de los Estados de herramientas de ciberseguridad ha comenzado a despertar la inquietud en ciertos entornos más informados. Bien es cierto que, por el momento, la sociedad parece no haber asumido la importancia que esta situación representa. Quizás se deba a falta de formación; quizás a falta de interés, pero lo cierto es que la ciberseguridad se está convirtiendo en una potente arma para los Estados que invierten cada vez más dinero en robustecer sus “ciber-ejércitos” y dotarse de herramientas de ciber-defensa y ciber-ataque. Es lo que algunos han llamado los ataques y amenazas híbridas: ciberseguridad, geopolítica y economía. Quién sabe si en el futuro asistiremos a conversaciones para hablar de la ampliación de los tratados de no proliferación de armas (sean nucleares o no) con algunos apartados para armas cibernéticas. Quizás sea un poco pronto para ello.
El ciudadano
Sin dejar de mencionar lo que el año pasado llamábamos el eslabón más débil de la cadena: el ciudadano. Durante 2018 no han dejado de surgir noticias sobre ataques por medio de ingeniería social a estos elementos de la cadena que han afectado a la seguridad de las organizaciones, algunos con éxitos nada despreciables. La sensibilización de los usuarios sigue siendo una asignatura pendiente, pero lo es mucho más con la relativización de las consecuencias que provienen de la “cultura millenial”. Algunos se atreverían a decir que esta cultura ha banalizado la privacidad de los datos. Entre las compañías interesadas en recopilar indiscriminadamente información sobre sus clientes y los usuarios dispuestos a proporcionarlos por mor del uso de aplicaciones o redes sociales, la pérdida de la privacidad de la información se ha manifestado como una práctica desafortunadamente habitual. La sensibilización de los usuarios continuará su recorrido y quizás las compañías y los ciudadanos deberán afrontarla de forma ciertamente más metodológica.
Cuestiones aparte
Se han dejado aparte cuestiones tan importantes como la Gestión de la Identidad, los mecanismos de autenticación, las amenazas del ransomware o la proliferación de ataques de DDoS. Todos son aspectos que continuarán siendo de actualidad y que probablemente llenarán muchas páginas de noticias. En particular la gestión de la identidad y los mecanismos de autenticación empiezan a adquirir un nuevo protagonismo. Las nuevas normativas europeas, como por ejemplo la PSD2, imponen el uso de dobles niveles de autenticación para verificar la identidad de los usuarios.
Pero si algo ha quedado claro este 2018 es que la ciberseguridad ha pasado de ser un concepto propio de determinados entornos especializados, grandes empresas y Administraciones Públicas, para convertirse en una realidad cada vez más extendida entre los ciudadanos y las pequeñas y medianas empresas. Y es que al fin y al cabo la ciberseguridad nos afecta a todos.