Cuando finaliza un año es habitual que muchos hagamos balance pensando en términos personales o incluso profesionales. Nadie escapa al reto, aunque sea por un instante, de analizar los principales hechos y acontecimientos que han marcado su vida —o al menos han despertado su interés— a lo largo de los últimos 365 días.
En All4Sec no somos ajenos a esta tentación. Precisamente, durante todo el año —día a día— nos hemos ido haciendo eco, a través de las redes sociales, de aquellos acontecimientos relacionados con la ciberseguridad que han transcendido a la sociedad. Hoy nos resultaría relativamente sencillo hacer una cronología de todas esas noticias y plantear un índice de lo que habría sido nuestro “libro de bitácora de los últimos doce meses”. Pero no es eso lo que pretendemos proponer.
Sin ánimo de ser demasiado imaginativos, y por salirnos de ese análisis, nos hemos plantado la siguiente pregunta: ¿Cuáles son los debates más representativos por cuestiones relacionadas con la ciberseguridad en 2018? ¿Qué o quiénes simbolizan mejor las amenazas durante el último año por cuestiones tecnológicas, regulatorias o empresariales relacionadas con la ciberseguridad?
Para cualquiera que pretendiera dar respuesta a estas cuestiones la lista de candidatos sería extensa, con casos representativos de todos los segmentos —incluyendo a los propios usuarios— y sectores del mercado.
Nosotros hemos hecho nuestra pequeña selección, aunque hemos tratado de centrarnos en protagonistas meramente del entorno tecnológico. A continuación, y por distintos motivos, proponemos aquellas candidaturas que consideramos singulares y que incluyen casos relacionados con el robo de datos, cambios de paradigmas, vulnerabilidades del software, proliferación de fake news o reticencias empresariales a realizar inversiones en ciberseguridad. Veamos un pequeño detalle de esos casos.
- Facebook. De “annus horribilis” podríamos calificar lo que ha ocurrido en Facebook durante este año. Su trayectoria ha estado salpicada de numerosos incidentes de ciberseguridad. Aquellas promesas que Mark Zuckerberg se hizo a sí mismo en enero sobre “proteger a su comunidad de usuarios frente abuso o injerencia de terceros” se ha revelado como un bumerang que le golpeó frontalmente cuando en marzo se hizo público la filtración, a través de Cambridge Analytica, de datos de más de 50 millones de personas para su explotación con fines políticos. A partir de entonces, todo han sido problemas para la compañía presidida por Zuckerberg con renuncias de algunos de sus más reconocidos socios como Jan Koum, Kevin Systrom o Mike Krieger fundadores de WhatsApp o Instagram, seguidas de nuevas revelaciones sobre vulnerabilidades de su plataforma, filtraciones datos personales o uso ilícito de sus redes sociales para divulgar noticias de dudosa credibilidad. Mientras tanto, Zuckerberg ha tratado de capear el temporal reuniéndose con numerosos gobiernos mundiales para presentar, por una parte, sus disculpas y, por otra, los detalles de las medidas que iría a adoptar para corregir los fallos cometidos. Sin embargo, por el momento, todo ha parecido ser en vano. Sus acciones están acabando el año con una caída superior al 20% y con la espada de Damocles de una posible sanción europea aplicando la nueva reglamentación de protección de datos (GDPR) que podrían suponer a la compañía un desembolso de más de 1.600 millones de euros.
- El bitcoin. Las criptomonedas aparecían en 2018 dentro de todas las quinielas para convertirse en el foco de atención de los analistas. El crecimiento que habían experimentado durante el año anterior las convertía en objetivos de análisis financieros y hacía de ellas preciados objetos de deseo. Sin embargo, los Estados comenzaron a preocuparse por su proliferación y uso. Los “mineros” vieron en ellas un nuevo modelo de negocio sin pensar en las necesidades de recursos —sobre todo eléctricos— para su obtención. Y el mundo de la delincuencia descubrió un nuevo modelo de blanqueo de capitales. Sea cual fuere el motivo o la intención de los diferentes actores por participar en ese mercado, el resultado fue que las criptomonedas se han resentido y han mostrado en 2018 la peor cara de su conocida volatilidad. En algunos casos se produjeron caídas de más del 80% respecto a los valores acumulados a principios de año. Hay quien afirma que en 2018 se ha producido una corrección propia de un nuevo modelo transaccional que aún tiene que consolidarse, aunque opiniones hay de todos los signos. Lo que parece cierto, pese a todo, es que durante este año que acaba, las ofertas iniciales de nuevas criptomonedas (ICO) ha resultado mayoritariamente ser un fiasco. Algunos incluso hablan de que el 80% de esas ICO han sido fraudulentas. Otros abogan por un nuevo resurgir en 2019 pese a las dificultades. Precisamente, estos últimos han venido a calificarlas como la economía de los protocolos descentralizados y la nueva Internet del Valor. Los números decrecientes de las criptodivisas, por el momento, están ahí.
- Google+. En 2018 la historia de Google Plus llega a su fin. Los que recuerden el origen de este servicio del gigante tecnológico se acordarán de que surgió hace 7 años para competir con redes sociales como Facebook que aglutinaban millones de usuarios. Aunque al principio sus éxitos fueron relevante, pronto mostró serias debilidades que lo hacían poco atractivo para los usuarios. Después vinieron los problemas de seguridad y los daños a la imagen. Precisamente en octubre de este año, Google hizo pública una noticia sobre la exposición de datos personales de cientos de miles de personas que habían hecho uso de la plataforma entre 2015 y 2018 y que supuso un duro golpe para el gigante tecnológico. Las explicaciones fueron escasas —cuando no difusas— con auditorías internas que evidenciaron un error en su API que permitía a las aplicaciones de terceros acceder a los campos del perfil que se compartía con el usuario, pero que no estaban marcados como públicos. Google se lanzó entonces a corregir el error y a aclarar que no se habían encontrado evidencias de mal uso de los datos. Sin embargo, simultáneamente, anunció que la red social cerraría en agosto de 2019; algo que sonó realmente extraño. Precisamente hace unos días, la compañía acaba de anunciar que dicho cierre se adelanta tres meses —a abril de 2019— tras descubrir que el error afectaba ya a 52,5 millones de usuarios. La vida de Google+ parece pues que ha acabado y la pregunta que nos hacemos es la siguiente: ¿los errores de software pueden provocar estas decisiones?
- Super Micro. Un artículo de Bloomberg el pasado mes de octubre levantaba todas las alarmas en el mercado de los fabricantes de hardware tecnológico: espías chinos habían podido instalar microchips en las placas base del fabricante norteamericano Super Micro Computer Inc. El hecho fue de enorme relevancia ya que numerosos equipos utilizados para servicios en la nube podrían haberse visto afectados. La noticia tuvo visos de verosimilitud gracias a las sospechas cada vez más extendidas sobre las actividades de ciberespionaje que ciertos fabricantes chinos y rusos podrían estar realizando a intereses del gobierno norteamericano. Entre los clientes de Super Micro se encontraban compañías como Amazon y Apple que de inmediato se lanzaron a declarar que no existían evidencias de dicho hackeo en los equipos que ellos habían adquirido. En la misma línea, y apenas dos meses después del referido artículo, el fabricante anunció que sus investigaciones mostraban que no existía dicho hackeo. Una nueva información que abrió un interesante debate: ¿se ha trasladado el problema al dominio de la opinión pública que ahora debe decidir entre creer a unos frente al otro? A alguno esta pregunta le sonará a efecto “fake news”. Sea cual sea la respuesta correcta, y mientras tanto, las acciones del fabricante permanecen un 30% por debajo del valor que tenían el día que apareció publicado el artículo.
- Inversiones en ciberseguridad. Para terminar, una pequeña reflexión antes de acabar el año. Los estudios de analistas indican un crecimiento sostenido del 10% en los próximos años en las inversiones de ciberseguridad hasta alcanzar los 134.000 millones de euros en 2022. Sin embargo, la coyuntura actual habla de una realidad paralela, sobre todo en el segmento de las pequeñas y medianas empresas que según las principales asociaciones empresariales españolas han sufrido en más de un 50% de los casos, al menos algún ataque durante 2018. Siempre se ha dicho que las medidas de ciberseguridad solo son valoradas cuando se produce un incidente que obliga a ponerlas a prueba. Seguro que no somos los únicos que nos hemos encontrado con expresiones de ciertos directivos de este tipo de compañías que, aprovechando la situación y frente a sus responsables internos de ciberseguridad, han brindado frases como “si con una inversión relativamente pequeña nos podríamos haber evitado el problema de seguridad que nos ha surgido ahora, ¿por qué no lo hemos hecho?”. Las respuestas parecen evidentes y el mercado debería saber cómo contestar a esta cuestión, porque al final todo es el resultado de una planificación adecuada, y con inversiones, de las medidas de protección. Nosotros, por el momento, dejamos al lector que aporte su propia respuesta.
Feliz 2019.
