Pero resulta que el impacto de la “inseguridad cibernética” que típicamente la sentimos a través del efecto o peligro de un virus, va muchos más allá y es importante verla en un contexto más amplio. Inseguridad cibernética se manifestó muy públicamente en lo ocurrido con Sony y Corea del Norte, aparentemente provocado por un película cómica de valor estético muy relativo y como esto terminó en un episodio de una “ciberguerra”. Aquí aprovecharemos para analizar a mayor profundidad esa situación y ello sirve de introducción a interesantes datos provenientes de estudios y predicciones sobre seguridad cibernética y finalmente revisaremos el hecho de la muerte anunciada de las claves y la evolución de la biometría como posible formato alternativo.
Seguridad Nacional:
Ciberguerra
Por años, el gobierno
del Presidente Obama ha estado alertando sobre los riesgos de un
“Ciber-Pearl Harbor”, una pesadilla en la cual un ataque tumba las redes de
energía y de telefonía de los Estados Unidos. En la realidad de esto se
viene hablando desde hace veinte años y es posible que algún día ocurra.
Pero, en las pasadas semanas un escenario muy inmediato se presentó,
primero en un ataque cibernético masivo a los estudios de Sony en California.
el cual Obama denominó “cibervandalismo” y otros llamaron “ciberterrorismo”.
A seguidas, en las sesiones de estrategia en la Sala Situacional de
la Casa Blanca, aparentemente se planificó contra Corea del Norte una guerra en
las sombras, un conflicto digital de baja intensidad.
Cómo la mayoría de
los ciberataques, este comenzó con la simple pregunta: Quién lo hizo?
No fue un esfuerzo ordinario, como el robo de datos asociados a tarjetas de crédito que
ocurrió en Target y Home Depot. La gran diferencia en el ataque a Sony
fue su naturaleza destructiva. Este destruyó aproximadamente 2/3 partes
de los sistemas y servidores del estudio, uno de los más dañinos ataques en
territorio norteamericano. En un corto lapso de tres semanas, Obama
tomó el poco común paso público de identificar a Corea del Norte como
responsable. Su decisión de mencionar en la conferencia de prensa también
a China forma parte del esfuerzo de crear un cierto nivel de disuasión.
Otros detalles pueden ser relevantes:
·
Para haber podido asegurar la participación de Corea del
Norte, la agencia NSA probablemente tenía información sobre el proceso de
planificación del hackeao, tales como llamadas telefónicas discutiendo el
proyecto. Por supuesto, esto no lo puede
mencionar públicamente.
·
A los pocos días de la oferta de “respuesta proporcional”
mencionada por Obama, las conexiones de Internet de Corea del Norte comenzaron
a fallar y finalmente quedaron interrumpidas por largas horas.
·
Existen diversos escenarios posibles: un ataque
americano, un corte chino del sistema que ellos mismos alimentan, los
Norcoreanos autoaislándose?
·
Es un hecho muy relevante que los Estados Unidos estén
entrenando a 6.000 “ciberguerreros” dentro de sus fuerzas armadas y que las
“ciberarmas” son una herramienta perfecta contra un estado fallido.
Estas situaciones de
ciberataques tienen asociadas condiciones muy particulares:
·
Los atacantes son difíciles de identificar con certeza.
·
La evidencia no se puede hacer pública.
·
El contraataque es difícil de discernir y muchas veces
insatisfactorio.
·
El daño es primordialmente económico y psicológico.
·
La disuasión es difícil de establecer.
·
Ya que no existen tratados o normas internacionales sobre
el uso de armas digitales, no hay reconocimiento de parte del que responde a un
ciberataque sobre el uso de dichas armas y tampoco hay reglas sobre cómo
combatir en este tipo de conflicto.
·
No es posible diferenciar entre una molestia y un ataque.
El riesgo se extiende
también a las empresas y las personas
En el caso del ataque
a Sony, también se hizo la publicación de información interna de la empresa:
·
Seguridad personal: Los correos electrónicos de los
empleados fueron expuestos al público, con lenguaje que apenó a más de
uno. La lección aquí es personal, hay que tratar de escribir cada correo
como si fuera un documento público que cualquiera pudiera leer.
·
Seguridad empresarial: Se publicaron detalles
privados del negocio de Sony, así como de Snapchat y Facebook. En este
mundo moderno, la empresa está a riesgo de exposición interna y externa.
Las herramientas de comunicación usadas por las empresas pueden ser utilizadas
en contra de ellas mismas.
·
Seguridad contra robo: Solo hace dos años hubo un
golpe cibernético manejado por el crimen organizado contra un banco en Muscat. Este involucró 26 países y se retiraron US$40
millones, en más de 36.000 retiros de dinero de cajeros automáticos a través de
centenares de personas involucradas. Estos últimos actuaron como autómatas,
caminando de cajero en cajero y entregando una parte del botín, que se
distribuyó hacia arriba en varias capas.
Predicciones sobre
seguridad para el 2015 (Gartner, Forrester & Arthur W. Coviello Jr., de
RSA)
·
Seguridad de Estado vs Seguridad en el sector privado:
Los ciberataques a los estados continuaran evolucionando y acelerando, pero el
daño se sentirá principalmente en el sector privado.
·
El aumento de la amenaza de inteligencia integrada: El
crecimiento del Internet-de-las-Cosas (30%) creará nuevas vulnerabilidades y
exigencias de seguridad tanto para ambientes digitales como para ambientes
físicos.
·
Más dinero, mucho más escrutinio: Los presupuestos de
seguridad verán crecimiento en doble dígitos en sectores diferentes a la banca
y defensa. Esto implica que habrá mucha más expectativas y mucho más
escrutinio sobre lo que las unidades de seguridad deben lograr.
·
La búsqueda de un lenguaje uniforme para describir las
amenazas: Habrá un fuerte empuje para crear una estructura común adoptando un
lenguaje uniforme como el “Structured Threat Information Expression”.
·
La privacidad pragmática: El debate sobre privacidad
madurará y será más pragmático y balanceado. Habrá mejores posibilidades
para que aparezca legislación sobre privacidad y sobre inteligencia compartida.
·
Billones de cosas, billones de riesgos: Cuatro mil
novecientos de millones de “cosas” conectadas estarán en uso en 2015 creando disrupción,
oportunidades y riesgos.
·
Encontrar la brecha, fallar en la respuesta: Con las
nuevas inversión en detecciones de fallas, en más del 60% de las ocasiones, las
empresas detectaran la brecha o serán informadas por un tercero. Pero
solamente un 21% de los casos se resolverán ya que la respuesta a incidentes todavía
no aparece como una prioridad crítica.
·
La exposición de las condiciones biológicas de las
personas: Aun cuando el detal seguirá siendo un blanco, cibercriminales
organizados incrementaran su atención en el robo de información personal de
salud aprovechando a los proveedores de salud.
·
La privacidad como diferenciador: La privacidad será un
diferenciador en la competencia en la oferta de las empresas. Ya no se tratará solamente de usar las palabras de moda. Las empresas competirán a través de la implementación
de políticas apropiadas, de la aplicación de consideraciones de privacidad en
las operaciones de negocios y en los productos y servicios ofrecidos a los
clientes.
·
La opción esencial de pago móvil más segura: Habrá
interés renovado en comercio móvil, impulsado principalmente por las mejoradas
características de seguridad de Apple Pay y por los esfuerzos de otros como
Google.
·
Cuidado con el Botnet de las “cosas”: Al aumentar la
interacción máquina-a-humano y máquina-a-máquina, así como los riesgos en el
sector salud, también se incrementará el ciberriesgo.
No más claves, una
opción son los Biométricos
Recientemente un hacker, para
probar su punto, cloneó las huellas digitales de un político en Alemania usando
una cámara fotográfica estándar. Los expertos dicen que la biometría de
las huellas digitales no ofrece seguridad. Esto es preocupante ya que las
huellas digitales están siendo utilizadas como mecanismo de seguridad en
dispositivos Apple y Samsung, en las elecciones brasileñas, para combatir la
escasez en Venezuela, etc.. No es trivial falsificarlas, pero la mayoría
ya ha aceptado que no son una garantía de seguridad. Por supuesto, usar guantes
no resolverá esta situación.
Sin embargo, ya se
está probando e introduciendo biometría en vivo, a través del reconocimiento de
venas en los dedos o del análisis de la forma de caminar. Estos también
son medios biométricos, pero están siendo desarrollados basados en que la
persona tiene que estar en posesión activa de los elementos que se miden y
estar exhibiéndolos en la vida real.
En Septiembre 2014,
el banco Barclays introdujo el reconocimiento de venas en los dedos para sus
clientes, fabricado por Hitachi, y está siendo probado en Japón y Polonia:
·
Solo funciona si el dedo está conectado a un ser
viviente.
·
El escáner es portátil, se conecta al puerto USB y
utiliza luz casi-infrarroja para chequear el patrón único dentro del dedo.
·
Los patrones de las venas son creados en el útero y se
mantienen estables a través de la mayor parte de la vida de la persona.
·
Los patrones de las venas no son afectados por cambios en
la presión sanguínea.
·
Puede ser utilizado en diversas computadoras y permite
que diferentes miembros de la empresa sean registrados para participar en las
distintas etapas del proceso de pago.
Se usaron como referencia las
siguientes publicaciones: Countering Cyberattacks Without a Playbook http://nyti.ms/1y77VMC
, Politician's
fingerprint 'cloned from photos' by hacker http://bbc.in/1FHsqWX
, Biometrics in smartphones need more control - ex-GCHQ
boss http://bbc.in/1tWJ0ri, The future of security: 11 predictions for 2015: http://bit.ly/14Jndgl.
No hay comentarios.:
Publicar un comentario