Ciberseguridad: mucho que replantear

15 julio 2016

4 min read

La ciberseguridad es, sin duda, una de las disciplinas más dinámicas dentro del entorno de la tecnología. Pocas profesiones precisan de una demanda de actualización tan elevada, tan constante, tan sujeta a cambios dimensionales que parecen redefinirlo todo en un instante. 

Ciberseguridad: mucho que replantear (Desktop)

Image: gratisography

El arsenal de armas con las que un delincuente puede amenazar una propiedad en la red parece prácticamente ilimitado, y además de abarcar todos y cada uno de los componentes de una instalación tecnológica, se extiende también a otra parte sin duda más débil y más impredecible: el usuario. Entre la lista de vulnerabilidades intrínsecamente tecnológicas y aquellas que provienen de campos como la ingeniería social, un profesional de la ciberseguridad tiene prácticamente garantizado no tener tiempo para aburrirse.

La ciberseguridad, en este momento, responde a muy pocos axiomas o verdades absolutas. Pero hay una que se hace cada día más evidente: si existe un interés muy elevado en acceder a un sistema determinado, se logrará, de una manera u otra acceder a él independientemente de la calidad de los profesionales que traten de impedirlo. En la práctica totalidad de las compañías existen agujeros de seguridad de algún tipo que van desde lo más obvio a lo más insospechado, que permitirían un acceso a datos sensibles en caso de que, por la razón que fuese, existiese un interés en llevar a cabo esas intrusiones.

En el caso de los usuarios individuales, la cuestión es infinitamente más grave: acceder a las cuentas en redes sociales de algunos famosos es, para según quién, un juego de niños. En unos u otros casos, la cuestión empieza a reducirse ya no a intentar evitar los incidentes, sino simplemente a no generar interés en ser objeto de un ataque, no provocar o no ponerse de alguna manera, en el punto de mira de los ciberdelincuentes, o en poder demostrar que, al menos, se intentó poner los medios adecuados y razonables para intentar impedirlo; que no existían vulnerabilidades excesivamente obvias o que se han comunicado las posibles consecuencias a los afectados de una manera digna y responsable.

Mirando al campo de la prevención, indudablemente, también hay mucho trabajo que hacer. Actitudes maximalistas que pretenden poner toda la responsabilidad en los usuarios, políticas absurdas e irrealizables que terminan con contraseñas imposibles de recordar apuntadas en un post-it pegado sobre el monitor, o responsables de seguridad convertidos en auténticos adalides de la complicación y la dificultad, hacen muy poco, desde un punto de vista práctico, por la seguridad real. Obviamente, es necesario concienciar a los usuarios de que "12345678" o "passw0rd" no son contraseñas aceptables en ningún entorno, pero de ahí a que tengan que contener, como decía una míticatira de Dilbert, letras, números, emoticonos, lenguaje de signos y sonidos de ardillas, va un trecho.

A principios del mes de junio Cylance, una compañía de ciberseguridad, llevó a cabo una ronda de financiación de cien millones de dólares, elevando su valoración hasta los míticos mil millones de dólares y otorgándole la admisión en el selecto club de los llamados unicornios. ¿La novedad? Se trata de una compañía que plantea modelos de machine learning e inteligencia artificial. El hecho de que no sea, ni con mucho, la única compañía que trabaja en este tipo de aplicaciones, debería llevarnos a imaginar escenarios de futuro en los que una parte del trabajo rutinario de detección y eliminación de vulnerabilidades se convierte en desarrollos algorítmicos que, tras identificar nuevos problemas en función de fuentes de información especializadas y alimentadas a partir de compañías de seguridad y derivaciones empíricas, son capaces de revisar sistemas enteros para detectarlas y corregirlas en tiempo real.

Por otro lado, y dada la amplia y creciente disponibilidad de machine learning e inteligencia artificial, en muchos casos llevada a cabo mediante herramientas de código abierto, cabe esperar que los propios delincuentes puedan plantearse recurrir a ella para intentar precisamente lo contrario. Lógicamente, la clave está en los datos, que cada día más, son leña para llevar a cabo procesos de machine learning: es bien sabido que el uso más avanzado de los enormes listados de contraseñas cifradas obtenidos en algunos incidentes recientes es, precisamente, contar con datos para alimentar algoritmos que, eventualmente, lleguen a ser capaces de romper esos cifrados.

¿Somos capaces de imaginar escenarios en los que los desarrollos generados mediante inteligencias artificiales dotadas de algoritmos que automatizan la búsqueda de vulnerabilidades, luchan con otras inteligencias aplicadas a la detección y corrigen a tiempo esas mismas vulnerabilidades en los sistemas que pretenden proteger? ¿Generará la aplicación del machine learning y la inteligencia artificial a la ciberseguridad una especie de escalada armamentística entre ciberdelincuentes y compañías?

Hoy, la tarea de un buen responsable de seguridad es ser capaz de pensar como un delincuente, y la del delincuente termina siendo tratar de ponerse en el lugar de un responsable de seguridad o de un usuario que puede cometer errores o deslices de muchos tipos. Algunas de las últimas intrusiones o ataques son auténticas jugadas maestras que mezclan vulnerabilidades con ingeniería social y que parecen dignas del argumento de las mejores novelas policíacas. Pero en el momento que una máquina empieza a iterar escenarios de búsqueda de vulnerabilidades consigo misma, las soluciones que pueden surgir van mucho más allá, como aquel histórico momento en la partida de Go entre Lee Sedol y AlphaGo, la inteligencia artificial diseñada por Google, en el que el movimiento de la máquina fue descrito como algo que ningún humano podría comprender – y mucho menos anticipar.

¿Cuántas de las tareas de seguridad serán automatizadas y convertidas en algoritmos capaces de discernir una amenaza de un error rutinario en el acceso, o de un comportamiento anómalo pero sin importancia? ¿En este entorno, hasta qué punto vamos a tener que continuamente replantear las funciones del responsable de seguridad o de sus herramientas?

Por Enrique Dans, Profesor de Sistemas y Tecnologías de la Información, Instituto de Empresa

 

Conozca más sobre ciberseguridad aquí.

Imprimir
Cyber Security eBook