El pasado año, por estas mismas fechas, elaborábamos un decálogo de las tendencias de ciberseguridad que tendrían protagonismo durante los siguientes 365 días. Desde entonces, y coincidiendo con determinados hitos, en All4Sec nos hemos parado a pensar cuántas de aquellas predicciones que hicimos se han visto más o menos confirmadas y cuántas de ellas han permanecido hibernadas, quién sabe si por acción u omisión de los diferentes actores que formamos parte del mercado.
En aquellos días de diciembre hablábamos del impacto que tendría la nueva Reglamentación de Protección de Datos, de la necesidad de resiliencia de los servicios en la nube, de la preocupación por la seguridad de los dispositivos IoT, del impacto de la nueva normativa PSD2, de la proliferación del ransomware, del tratamiento de la gestión de identidad, de la progresiva adopción del blockchain, del impacto de la Inteligencia Artificial en la protección de infraestructuras y personas, del control de la información falsa y, como no, del papel que desempeña el usuario en toda esta cadena de elementos.
Hoy, echando una mirada retrospectiva, podríamos decir que prácticamente todas ellas se han visto confirmadas. A casi nadie le resultaría difícil encontrar ejemplos de situaciones que evidenciarían como, una por una, cada una de aquellas afirmaciones han adquirido un determinado protagonismo que les ha hecho más o menos relevantes cara a la opinión pública. Lo llamativo (o quizás no) de la situación es que prácticamente todas ellas continúan hoy siendo de rabiosa actualidad. Si uno se pone a pensar en lo que ha de depararnos el próximo año 2019 en un área tan dinámico y sensible como es el de la ciberseguridad posiblemente llegaría a las mismas conclusiones que entonces, aunque ligeramente matizadas.
- La nueva Reglamentación de Protección de Datos ha aterrizado en 2018 para confirmar la preocupación de la Administración Pública Europea por definir un marco legal para la gestión de la información de los usuarios lo que ha impulsado la adopción de medidas normativas y tecnológicas dirigidas a proteger su uso y explotación. Resulta curioso descubrir como una de las medidas que está alcanzando cierta relevancia en este tema no está relacionada tanto con nuevas propuestas tecnológicas —por otra parte, necesarias como el cifrado de datos, los controles de acceso, la autenticación de usuarios o la trazabilidad de eventos— sino más bien con aproximaciones legales que incluyen la oferta de ciberseguros dirigidas a atenuar el impacto económico en las organizaciones afectadas por una reclamación.Hasta la fecha, las sanciones que se han impuesto a aquellas compañías que han vulnerado (o han visto vulnerada) la protección de datos se han basado en reglamentaciones nacionales, a menudo mucho menos punitivas de lo que habrían sufrido en caso de haberles sido aplicada la nueva reglamentación europea. No han faltado aquellos que han hecho estimaciones de lo que habría ocurrido si las sanciones hubieran respondido a la nueva reglamentación. Quizás, algunas de estas compañías actualmente se encontrarían en dificultades financieras, si no con serias dudas sobre su credibilidad. Así pues, no resulta descabellado pensar que 2019 puede ver por primera vez una sanción por incumplimiento del “RGPD ejemplificador” que impulsará la “sensibilidad en ciberseguridad” del mercado. Así de simple.
- Los servicios en la nube continúan su escalada en el mercado. El mensaje parece haber calado bien, hasta convertirse en una cierta “commodity” para muchas organizaciones. Uno de los elementos clave a la hora de integrar soluciones de nube en una organización proviene de la disponibilidad de un modelo claro de gestión de la ciberseguridad, sin asumir falsas premisas sobre la responsabilidad que tienen los proveedores externos a la hora de prestar el servicio. Saber gestionar esas responsabilidades y hacerlas coexistir con los mecanismos desplegados internamente dentro de una compañía u organismos público es algo que toda organización debe saber afrontar. Para ello debe disponer de medidas adecuadas que sean consistentes entre sí y que den respuesta a los riesgos que el uso de este modelo lleva implícito, teniendo en cuenta, que, a cambio, los beneficios para el negocio pueden ser muy importantes. El mercado de la ciberseguridad parece estar haciendo bien sus deberes con soluciones en la nube que afrontan muchas de las preocupaciones que plantean las organizaciones. A las soluciones de cifrado, VPN o la Gestión de Identidad (IGA) se han unido propuestas como los CASB que muchos consideran la protección perimetral de la nube (casi un oxímoron). Por el momento, se trata de propuestas que tienen que madurar pero que con seguridad se harán más sólidas en los próximos tiempos.
- La preocupación por la seguridad de los dispositivos IoT ha sido una constante durante este año; desde “inocuos dispositivos caseros” hasta elementos críticos integrados en cadenas de producción —con sus correspondientes chips para el espionaje como, por ejemplo, han revelado los últimos descubrimientos realizados en las placas base del fabricante SuperMicro. También con elementos embarcados en dispositivos semi-autónomos. Precisamente este último uso —el de los dispositivos semi-autónomos— será uno de los objetivos a seguir durante 2019. La aparición de vehículos semi-autónomos en forma de drones, automóviles u otros medios de transporte o trabajo incorporarán nuevos elementos de control y actuación cuya seguridad se convertirá en objeto de profundo análisis por buena parte de comunidad de ciberseguridad. De hecho, algunos ya lo consideran el “nuevo punto débil de la cadena” en sustitución del papel desempeñado por el usuario humano. No faltan, a este respecto, iniciativas surgidas para estandarizar el uso de estos elementos de IoT y sus interfaces como mecanismos de robustecerlos. Sin embargo, tenemos que admitir que aún nos encontramos lejos de conseguirlo. Mientras tanto, es de prever que los “incumbentes tecnológicos” pugnarán por ganar la posición cara al futuro que ha de llegar. Será un área interesante para seguir.
- El blockchain ha sido otro de los temas estrella durante este año pese a la fulminante caída de algunas criptomonedas desde el pasado mes de enero (más de un 60% en el caso del Bitcoin). Resulta cuanto menos interesante observar como la tecnología de blockchain se ha ido adaptando a otros entornos, aunque difícilmente ha pasado de prototipos avanzados. Aquellos que pensaban en una rápida inmersión de la tecnología en sectores como el financiero, logístico, sanitario… están comprobando como, por el momento, su desarrollo operacional está tardando en llegar. En 2019 veremos como el enfoque del blockchain seguirá madurando, aunque posiblemente continuará quedándole recorrido por realizar antes de mostrar su verdadera utilidad.
- Otro de los elementos que continúa su imparable desarrollo es el del análisis masivo de datos y el uso de técnicas de inteligencia artificial tanto para la defensa como para el ataque a los sistemas informáticos. Desde el reconocimiento de patrones o el análisis de comportamientos hasta los ataques multi-vector o la suplantación de la identidad son numerosas las aproximaciones que se están siguiendo a través del uso de este tipo de tecnologías. Los sistemas de gestión de eventos de seguridad se están enriqueciendo con soluciones basadas en análisis de datos que cierran el tradicional ciclo de “Plan-Do-Verify-Act” que rige los principios de la ciberseguridad. Desde soluciones de DLP o protección de puesto, hasta plataformas SIEM, las nuevas soluciones tecnológicas incorporan cada vez más el análisis inteligente de la información y la toma de decisiones —cuando no incluso de la acción automatizada. Es muy probable que las propuestas que aparezcan en el próximo año incorporen novedosas aproximaciones basadas en inteligencia artificial como una funcionalidad básica más.
- A este respecto, cabe reseñar, aunque de forma colateral, el uso que está experimentado esta tecnología en los asistentes personales basados en voz. No están faltando en el mercado los “Alexa, Cortana, Siri” y demás aplicaciones que ofrecen al usuario una aparente facilidad de uso que, sin embargo, no estarán exentas de riesgos. La ciberseguridad, hasta ahora muy centrada en la interacción física con los elementos tecnológicos, posiblemente va a tener que desplazarse hacia otras formas de intercambio de información y órdenes que abrirán un interfaz diferente a la interacción y que posiblemente tendrá numerosas vulnerabilidades aún por identificar y cualificar.
- Enmarcado bajo el tópico de las “fake news” el uso por parte de los Estados de herramientas de ciberseguridad ha comenzado a despertar la inquietud en ciertos entornos más informados. Bien es cierto que, por el momento, la sociedad parece no haber asumido la importancia que esta situación representa. Quizás se deba a falta de formación; quizás a falta de interés, pero lo cierto es que la ciberseguridad se está convirtiendo en una potente arma para los Estados que invierten cada vez más dinero en robustecer sus “ciber-ejércitos” y dotarse de herramientas de ciber-defensa y ciber-ataque. Es lo que algunos han llamado los ataques y amenazas híbridas: ciberseguridad, geopolítica y economía. Quién sabe si en el futuro asistiremos a conversaciones para hablar de la ampliación de los tratados de no proliferación de armas (sean nucleares o no) con algunos apartados para armas cibernéticas. Quizás sea un poco pronto para ello.
- No queremos dejar sin mencionar lo que el año pasado llamábamos el eslabón más débil de la cadena: el ciudadano. Durante 2018 no han dejado de surgir noticias sobre ataques por medio de ingeniería social a estos elementos de la cadena que han afectado a la seguridad de las organizaciones, algunos con éxitos nada despreciables. La sensibilización de los usuarios sigue siendo una asignatura pendiente, pero lo es mucho más con la relativización de las consecuencias que provienen de la “cultura milenial”. Algunos se atreverían a decir que esta cultura ha banalizado la privacidad de los datos. Entre las compañías interesadas en recopilar indiscriminadamente información sobre sus clientes y los usuarios dispuestos a proporcionarlos por mor del uso de aplicaciones o redes sociales, la pérdida de la privacidad de la información se ha manifestado como una práctica desafortunadamente habitual. La sensibilización de los usuarios continuará su recorrido y quizás las compañías y los ciudadanos deberán afrontarla de forma ciertamente más metodológica.
- Hemos dejado aparte cuestiones tan importantes como la Gestión de la Identidad, los mecanismos de autenticación, las amenazas del ransomware o la proliferación de ataques de DDoS. Todos son aspectos que continuarán siendo de actualidad y que probablemente llenarán muchas páginas de noticias. En particular la gestión de la identidad y los mecanismos de autenticación empiezan a adquirir un nuevo protagonismo. Las nuevas normativas europeas, como por ejemplo la PSD2, imponen el uso de dobles niveles de autenticación para verificar la identidad de los usuarios. De facto, la identidad digital no representa más que una forma de hacerse presente en el entorno digital. Esta idea tiene importantes implicaciones en conceptos como la ciudadanía digital entendida es una forma de acceder a la sociedad digital al mismo nivel de detalle al que cualquiera accedería en su actividad cotidiana – y aquí cometeremos el error de considerar que el acceso digital no es (mejor dicho, no ha sido) una actividad cotidiana De hecho, las AAPP, las entidades financieras o incluso las propias empresas todavía no han conseguido hacer de ese acceso digital una verdadera acción cotidiana y en 2019 posiblemente continuarán su recorrido para alcanzarlo. Mientras tanto, deberán ofrecer mecanismos de gestión de la identidad más robustos al tiempo que hacen frente a ataques como los de negación de servicio (DDoS) que tratarán de alterar el funcionamiento de muchos de sus servicios críticos.
CONCLUSIONES
Algunos analistas estiman que el mercado de la ciberseguridad moverá en España más de 1.200 millones de euros en 2019 gracias a muchos de los elementos que hemos mencionado en el apartado anterior. A nivel internacional, el mercado norteamericano será, una vez más, el claro dominador dentro de un entorno global valorado en más de 124 mil millones de dólares en volumen negocio. Un mercado que, según estos mismos analistas, continuará creciendo a un ritmo superior al 10% anual en los próximos cinco años. Sin embargo, por el momento nada de lo dicho en este documento pasa de ser meras conjeturas, aunque cada vez mejor sustentadas en el evidente impacto que la ciberseguridad tiene en la sociedad.
Precisamente la ciberseguridad ha pasado de ser un concepto propio de determinados entornos especializados, a convertirse en una realidad cada vez más extendida entre los ciudadanos y las pequeñas y medianas empresas (excluimos a las grandes corporaciones y la mayor parte de las Administraciones Públicas ya que habitualmente se han mostrado mucho más activas y sensibles a ella). A este respecto, las PYMEs, y tal y como describen numerosos estudios, resultan ser las más vulnerables ante los riegos que ocasionan los incidentes de ciberseguridad. Por eso, desde All4Sec abogamos primero por sensibilizar a estas compañías, por convencerlas para desplegar soluciones tecnológicas que permitan mantener sus organizaciones en un permanente estado de alerta y por adoptar medidas que les permitan centrarse en sus negocios.