Septiembre 17, 2012
Casos e Historias de Miedo que Causan Pesadillas – las Cinco Cuestiones Principales de la Seguridad IT
Hace poco me estaba preguntando cuántas entrevistas con la prensa hago cada mes. Por supuesto, la suma Skelter Helter varía mucho de un mes a otro, pero en los períodos más activos ¡La cifra puede llegar hasta las 70! Y eso son sólo entrevistas “habladas”, es decir, las que se realizan de forma presencial o por teléfono. Si tuviera que incluir también las entrevistas por correo electrónico – el número sería un sinsentido.
Pero no me quejo. De hecho, todo lo contrario – ¡Me encantan las entrevistas! Me hacen recordar a Richard Branson y su regla con respecto a las entrevistas: “Si CNN me telefonea y quiere hacer una entrevista conmigo, voy a dejar todo para hacerla.” Yo también sigo esta regla al pie de la letra- y no sin una buena razón.
La mayoría de las entrevistas son como te las esperas. Recibo un montón de preguntas, y yo las respondo lo mejor que puedo, y eso es todo.
Pero en alguna ocasión, me entrevistó un periodista muy bien preparado y meticuloso, hasta el punto que no sólo lo sabe todo sobre mí y Kaspersky Lab, y lo que hacemos, sino también todo sobre el tema en concreto de la entrevista. Al final de la entrevista, estoy agotado, siento que mi cabeza va a explotar, como si mi alma hubiera sido “arrancada” con mis largas respuestas a las complejas preguntas.
Estas son las entrevistas más difíciles y complicadas, pero también las más útiles. ¿Por qué? Debido a que durante estas intensas sesiones la “materia gris” dentro del cráneo se desplaza a una velocidad tres veces mayor y, realmente, se pone a trabajar, pensando en nuevas maneras de abordar temas familiares, desde nuevos puntos de vista – hasta el punto de que después de terminar la entrevista, las ideas continúan surgiendo, dando lugar a todo tipo de nuevas perspectivas. Es realmente fascinante ver cómo se produce la cognición creativa. Y todo esto es posible gracias a la previsión de los periodistas que hacen su trabajo con maestría. Con el debido respeto. Y ¡mis agradecimientos!
Curiosamente, todas las entrevistas tienen en común una pregunta inevitable sobre los problemas de seguridad IT, que más preocupan hoy en día- algo así como: “¿Qué te quita el sueño (en términos de riesgos de seguridad IT)?” Y esto, no sólo me lo preguntan los periodistas en las entrevistas, sino que es una de las preguntas más frecuentes en cada conferencia de IT en la que participo.
Así que, como había prometido anteriormente, aquí les presento mi lista de los cinco principales problemas que enfrenta a la seguridad IT, en su sentido más amplio.
Debo decir de entrada que no tengo recetas para resolver las cinco cuestiones. El objetivo de este post es, más para identificar los problemas, empezar a reflexionar sobre ellos, y espero que pueda avivar el debate en curso, ¡por el aumento del interés, empatía y /o simpatía!
Bien, aquí está mi lista:
1. Privacidad
2. Pasaportes de Internet
3. Redes Sociales
4. Ciberdelincuencia
5. La ciberguerra
1. Privacidad (la falta de ella)
Con esto me refiero a la intimidad de la vida personal y todo lo que sucede en ella a través de Internet.
Las amenazas actuales a la no violación de la vida privada ya no son como antes, y mantener un mínimo de privacidad es prácticamente imposible. Sin embargo, al mismo tiempo, por suerte, más y más personas son conscientes de la gran cantidad de información sobre ellos que se guarda en Internet, ya sea a partir de la información que leen, o incluso de las series de televisión que ven (como, por ejemplo, “24” o “Spooks“, donde se pueden obtener al instante, montañas de datos personales sobre cualquier persona con sólo unos clics del ratón “copia eso”)
La difusión de información personal comienza con la transferencia voluntaria de datos personales para diferentes servicios de Internet, y continúa a través del seguimiento de cada viaje que hacemos y de cada transacción que se realiza con la tarjeta de crédito, pasando por el registro de cada movimiento físico que hacemos en las grandes ciudades, en las conversaciones telefónicas, con la correspondencia de correo electrónico que se envía y recibe, y muchas más cosas.
Un nuevo aspecto de los problemas de privacidad, surgió no hace mucho tiempo, cuando cientos de mensajes SMS de la compañía rusa de telecomunicaciones Megafon estaban disponibles para su visualización a través del motor de búsqueda Yandex. ¡Imagínate esto! ¡Todos tus mensajes personales mostrados al mundo entero! Tales filtraciones no deseadas de los datos privados pueden volver a ocurrir en el futuro.
Así, ahora puede comprender el panorama: el volumen de información que se acumula en las www sobre todos nosotros es realmente enorme, y no siempre es seguro. Pero más allá del enorme peligro potencial para todos y cada uno de nosotros, el peligro lo es también para la seguridad nacional de los países.
Por lo tanto, no debería sorprender que los legisladores de todo el mundo se estén involucrando progresivamente en la regulación de la recogida y almacenamiento de la información del usuario. Y no hay necesidad de reinventar la rueda para hacerlo. Todo lo que necesitas hacer es adoptar más o menos las medidas que existen para nuestras vidas en el mundo offline. Por ejemplo, los servicios de Internet no deberían ser capaces de solicitar información privada, si hay servicios similares en la vida real que no lo requieren.
Por último, para cualquier persona que piensa que, hoy en día, todavía hay una oportunidad para tener algo que pueda parecerse vagamente a la vida privada, recomiendo que vea esta serie de videos sobre la privacidad.
2. La falta de pasaportes de Internet (lo único que puede salvar a la democracia)
Ya había hablado sobre este tema en mi conferencia de prensa en diciembre de 2011, cuyo resumen puedes encontrar aquí. Ahora, algunos detalles…
Es bastante anticuado decir que las nuevas generaciones se diferencian de las anteriores. ¡Pero es cierto! Es que ellos viven y piensan de manera diferente, y no podrían imaginar cómo sería este mundo sin la tecnología de hoy en día que ya se da por sentada –teléfonos móviles, Internet, Wi-Fi, Skype, blogs personales, redes sociales, consolas de juegos, etc. Ellos prácticamente viven en el dominio digital / online y se quedarán allí para siempre. Es importante destacar que ¡ellos nunca votarán en las elecciones, si tienen que levantarse realmente y caminar hacia algún lugar físico para hacerlo! Ellos sólo votaran si pudieran hacerlo en línea. Y para que el voto en línea funcione, se necesitan pasaportes en Internet. Pero nosotros no tenemos tal cosa por el momento – como bien sabe. ¿Puedes comenzar a ver las implicaciones que tiene para la base de la democracia?
El hecho de que las generaciones más jóvenes no fueran a votar (bloqueados por el inexistente sistema de pasaportes de Internet) tiene consecuencias más amplias de lo que podríamos imaginar. La brecha generacional tecnológica agrava cada vez más las diferencias entre las grandes poblaciones: el más joven y más activo – terminará completamente separado de la política, sin darse cuenta de que las decisiones políticas se realizarán, supuestamente en su nombre.El poder político refleja solamente los intereses de las generaciones anteriores, es decir, los llamados “Inmigrantes Digitales”, a diferencia de los “Nativos Digitales”. Al mismo tiempo, el activismo político de las generaciones más jóvenes seguirá aumentando a medida que se sientan más y más aislados. La pregunta sería ¿éstos podrían empezar revoluciones y derribar a los gobiernos?
Por lo tanto, el desarrollo y la introducción de seguridad para las IDs –Pasaportes de Internet – que considero para mí como una de las tareas más importantes que el mundo industrializado de hoy tiene a la mano. Afortunadamente, es bastante fácil de hacer técnicamente. Políticamente – eso es otro asunto…
Sería lógico introducir pasaportes biométricos de Internet sólo para aquellos servicios que en el mundo offline requieren la identificación física del usuario: Servicios bancarios (para aquellas operaciones que requieren la presentación de un documento de identificación), el registro de un vuelo, etc. En el mundo real hay casos donde no se necesita identificarse, por ello, no debería ser exigido en el mundo en línea, ya sea para transacciones similares, por lo que las compras en línea o correspondencia con amigos no deberían estar obligadas a utilizar un pasaporte de Internet. Luego está la zona de “medio” identificación, que mantendría el anonimato: para servicios que no requieran tu nombre completo, pero, por ejemplo, requieran nuestra edad – para la compra de cosas como el alcohol y el tabaco, el acceso a los contenidos para adultos, etc. Una vez más, la buena noticia es que una identificación anónima y “parcial” es técnicamente posible.
3. Redes sociales (como instrumento para manipular a la Opinión Pública)
En cualquier sociedad, en cualquier país, siempre existirán acuerdos y opiniones contrarias –incluso si están “dormidos”. ¿Pueden utilizar las redes sociales para despertar estos “conflictos latentes” o avivar un conflicto activo? Por supuesto – ¡Esto es fácil! Sobre todo cuando si tenemos en cuenta que una gran parte de los usuarios son jóvenes –con sus posiciones sociales respectivas.
Hoy recibimos la información de un gran número de fuentes diferentes, entre las que se encuentran la televisión, la radio, el periódico y otras publicaciones impresas, pero ahora también tenemos las redes sociales. Pero ¿cómo es el grado de información en estas últimas? Para los medios de comunicación tradicionales, lo que muestran/publican está regulado por la legislación. Así, si un periodista publica información falsa o provocativa, tarde o temprano tendría que responder por la información, probablemente ante un tribunal y con una fuerte multa. Y siempre está la cuestión de la reputación – de vital importancia para mantener fiel a su audiencia/lectores. Correr riesgos relacionados con la reputación no vale la pena para los medios de comunicación tradicionales, por lo que, por regla general son muy cuidadosos con lo que difunden/publican – muy responsables.
Con las redes sociales las cosas son diferentes. No siempre está claro quién está detrás de un apodo, por lo que la responsabilidad de lo que está escrito disminuye, en la medida en que cualquiera puede escribir lo que a él o a ella le guste – ya sea verdad, o no. De acuerdo con este punto de vista, las redes sociales pueden ser utilizadas como plataformas eficaces para la manipulación anónima de las masas, y para iniciar y propagar rumores falsos, y para la provocación y la desinformación a la población. Por supuesto, las redes sociales pueden ser usadas para cosas positivas también, pero la cuestión aquí es que fácilmente se pueden cometer abusos, a diferencia de los medios de comunicación tradicionales. No hay perros guardianes que supervisen las redes sociales.
En teoría, y sin duda, en la práctica, las redes sociales pueden ser utilizadas para desestabilizar a las sociedades (ya sea bueno o malo, a su juicio, dependiendo del caso). Uno no tiene que mirar muy lejos para encontrar ejemplos de esto: el año pasado tuvimos la “Primavera Árabe”, el “Verano Americano”, el “Otoño Alemán” y el “Invierno Ruso”. Al igual que los folletos de propaganda eran lanzados desde aviones en los territorios enemigos en las guerras pasadas, las redes sociales, en la actualidad, son la versión moderna, que se utiliza para realizar campañas de propaganda – no todas ellas con causas buenas.
La solución china –es decir, registrar a los usuarios de las redes sociales en un documento identificativo –es, sin duda, una exageración. Pero es muy difícil conseguir el equilibrio adecuado para salvaguardar la libertad de expresión y el anonimato, mientras que al mismo tiempo se descarten las posibilidades de manipular a la masa. Y este problema tiene solución. ¿Alguien tiene alguna idea?
4. Cibercrimen (del que tanto hemos oído hablar)
El cibercrimen es global, como te habrás dado cuenta.
Creo que las pérdidas para la economía mundial causadas por los “trabajos sucios” de los ciberdelincuentes puede ser medidos en millones de dólares al año, quizás cientos de millones. Afortunadamente, los gobiernos de los diferentes países han comenzado por fin un diálogo constructivo sobre este tema, y se han establecido algunos proyectos internacionales, nacionales o regionales en unidades cibernéticas de la policía; la unidad IMPACT de la ONU ha estado en funcionamiento desde 2008, y la Interpol ha anunciado la apertura de un departamento especial para la lucha contra la ciberdelincuencia en Singapur en 2014. Así que, aunque el problema de la ciberdelincuencia no se resuelva por complete en los próximos años (que es lo más probable), los ciberciminales, por lo menos, lo tendrán mucho más difícil para implementar su actividad maliciosa, algo que no se ha utilizado hasta ahora. A diferencia de los que están detrás de las ciberguerras, siento decir.
5. La guerra cibernética
No exista una definición total y ampliamente aceptada por los militares y/o terroristas de los ciberataques. Mientras tanto, mi definición es la siguiente:
Los ataques cibernéticos son ataques a los sistemas, sumamente importantes para las economías nacionales y/o economías globales, y además para la seguridad nacional y/o seguridad global, y que tienen como objetivo debilitar el potencial militar y causar daños considerables a los estados de las naciones y su capacidad para actuar de la forma en la que a ellos les gustaría, con graves consecuencias para las poblaciones, posiblemente con víctimas.
Y si piensas que este tipo de amenazas parece sacadas de la ciencia-ficción, me temo que tengo malas noticias: todo esto es real ya – hoy.
Uno de los primeros ataques de la ciberguerra, que se produjo en 2007, tuvo un carácter más o menos inofensivo (si tal palabra es apropiada en estos casos): quizás puedes recordar la historia de DDos con el ataque a los sitios web de Estonia, que dejó sin Internet a todo el país báltico. Pero esto no fue nada, si lo comparamos realmente con lo que estaba por venir…
En el 2010, el mundo estaba al tanto del segundo caso –esta vez extremadamente serio- de ataques dirigidos a la ciberguerra.
Un gusano informático llamado Stuxnet increíblemente complejo fue capaz de penetrar en la red de algunas instalaciones nucleares iraníes y sabotear sus sistemas informáticos industriales, y dañaron físicamente su enriquecimiento de uranio de los reactores. Curiosamente, el equipo no tenía ninguna conexión a Internet.
A partir del descubrimiento de Stuxnet, las noticias sobre la ciberguerra empezaron a aparecer rápidamente. El descubrimiento más reciente ha sido el del gusano Flame, lo que demuestra hasta qué punto las cosas empiezan a calentarse en términos de ciberguerra en el mundo. Y no tengo ninguna duda de que los gobiernos están detrás de todo esto.
Entonces, ¿Qué es tan peligroso de las ciberarmas? No voy a repetirme: echar un vistazo a mi reciente Post sobre las ciberamenazas. Ahora, vamos a resumir las conclusiones a la que nosotros hemos llegado hasta el momento.
El aspecto más peligroso de las ciberarmas son sus imprevisibles efectos colaterales. El peor escenario sería ver cómo un arma cibernética se dirige a un tema específico de la industria y no se pudiera golpear con precisión su objetivo –ya sea debido al error de un algoritmo o a un error en el código –lo que puede pasar fácilmente, dada su complejidad y tamaño. Como resultado de este ataque dirigido al objetivo –que hipotéticamente podría ser una central eléctrica –no sería la única cosa afectada: todas las centrales eléctricas en el mundo, construidas con el mismo diseño, podrían verse afectadas también. Un efecto “boomerang” letal.
Hoy en día, es prácticamente imposible protegernos de estos ataques. Para ello sería necesario rediseñar casi todo el código del software que existe y reemplazarlos con sistemas operativos seguros. Está claro que esto es prácticamente imposible, e incluso si fuera posible ¿te imaginas el valor de los presupuestos asignados? Ningún estado puede hacer una inversión tan gigantesca en tecnologías de seguridad.
Entonces, ¿Qué hacemos?
Este problema necesita una solución, al mismo nivel que el encontrado en el pasado con las armas químicas, biológicas y nucleares. Lo que se necesita es un acuerdo internacional en cooperación, la no proliferación y la no utilización de ciberarmas. Y tal proyecto necesita ser organizado y coordinado por una organización internacional independiente –como el Organismo Internacional de Energía Atómica Cyber-IAEA, a ser posible en una especie de paraguas como las Naciones Unidas.
Creo que tarde o temprano, las naciones soberanas llegarán a entender completamente los peligros de las ciberarmas utilizadas en los ataques de la guerra cibernética, y luego, progresivamente se acabarán con ellas, o por lo menos, con el desarrollo, la aplicación y la proliferación de ciberarmas.