La ciberseguridad se expande a todos los sectores

Históricamente, la aproximación a la ciberseguridad dependía de un concepto, el del perímetro de defensa, heredado de las contiendas bélicas convencionales, pero que funcionaba a las mil maravillas en el ámbito digital. Según esta premisa, las compañías establecían medidas de ciberseguridad alrededor de todo su despliegue informático (centros de datos, ordenadores y otros dispositivos conectados a la red corporativa) de modo que todo lo que estuviera en el interior de ese perímetro se consideraba seguro a todos los efectos y lo de fuera, por el contrario, era objeto de escrutinio y revisión.

Pero el auge de dos tendencias tecnológicas claras, el internet de las cosas y el BYOD (Bring Your Own Device) junto con la más reciente adopción masiva del teletrabajo hacen que ese perímetro resulte, cuanto menos, inútil. “En el momento en el que la gente se conecta al trabajo con sus propios ordenadores, tenemos un problema de protección de datos de carácter personal”, apunta F. Javier Donaire, del grupo No Discriminación y Derechos de Europa UC3M. El reto, en su opinión, consiste en cómo conciliar estas nuevas tendencias en el trabajo con el derecho a la protección de datos de carácter personal del trabajador. “Y que se haga de forma eficaz para la empresa, sin desincentivar el teletrabajo”, puntualiza. 

“Ya no es el mismo perímetro que teníamos antes”, afirma Mónica Alonso Martínez, investigadora del grupo REDES UC3M, en el que lidera el proyecto “CIBERataques en IED de Smart Grids (CIBER-IED)”. Ahora es dinámico, cambia a cada momento (ya que los trabajadores conectan portátiles o móviles personales sin medidas de seguridad y a través de su propia WiFi) y cada vez más amplio, hasta el punto de que los gestores de seguridad desconocen por completo hasta dónde llega el alcance de sus sistemas o cuáles tienen acceso a ello.

Esta difuminación del tradicional perímetro -en el que encontrábamos medidas de seguridad como firewalls- ahora resulta fácilmente eludible en tanto y cuanto la superficie de ataque es prácticamente infinita. Resulta obvio, máxime teniendo en cuenta el continuo incremento de los ciberataques a empresas de todo tamaño y condición, que debemos reinventar la forma en que securizamos los nuevos dispositivos que se utilizan, los servidores, puntos de conexión, red, sistemas y bases de datos, así como aplicaciones en infraestructuras físicas, virtuales y en la nube.

La solución, según el consenso de la industria, radica en repensar ese concepto de perímetro para que, en lugar de proteger desde fuera a todo lo que la organización maneja, proteja a las personas. Un perímetro individual, donde no son los datos o las transmisiones sino los individuos el objeto del escrutinio. No en vano, estamos asistiendo a una adopción masiva de herramientas como la gestión de identidades que, en última instancia, buscan detectar cualquier posible ciberataque en base a actividades, contextos o accesos sospechosos de sus trabajadores, empleando para ello soluciones de inteligencia artificial que detecten esas anomalías susceptibles de ser peligrosas. Es en esto en lo que innova y ofrece soluciones la empresa Enthec Solutions, que es capaz de monitorizar el internet convencional así como las llamadas “deep web” y “dark web” para anticipar ciberataques.

El propio INCIBE así lo refleja: “Ya no se puede controlar el perímetro sólo con un cortafuegos, son necesarios nuevos mecanismos para proteger el fuerte (…) La identidad es el nuevo perímetro entendiendo que cuando los sistemas que soportan nuestra actividad ya no están dentro de una sala cuyos límites están definidos de cara a su protección, la nueva frontera a proteger está ahora en la identidad”.

Frederic Saint-Joigny, director de Seguridad de HPE Aruba en EMEA, fue uno de los primeros en darse cuenta de esta desaparición del perímetro de seguridad y la necesidad de abordar la gestión de identidades como nuevo paradigma de protección: “Todavía podemos esperar ataques de fuerza bruta que traten de romper nuestro perímetro de seguridad, pero es mucho más sencillo entrar en los sistemas corporativos a través de algún objeto poco protegido, sin encriptar y que no esté integrado en nuestro firewall”.

Si la amenaza requiere máxima atención por su potencial impacto económico, que está generando una auténtica industria del ciberataque con especialización por países, mucho más si cabe cuando se toma en consideración el problema de la ciberseguridad en dispositivos médicos y también en sistemas críticos: centrales nucleares, militares, aeropuertos, redes eléctricas y suministros, hospitales y dispositivos médicos. O su peligroso foco en la Administración electrónica, el voto electrónico o los certificados digitales.

El gran desafío para Mónica Alonso es “conseguir que todos los dispositivos que tenemos conectados sean seguros”. “Antes podíamos proteger una central nuclear, pero ahora accedemos al sistema desde cualquier punto, con el efecto en cascada que conlleva, debemos proteger el dispositivo pequeño para no propagar ese ataque a lo largo del sistema”, explica.

En el sector sanitario, por ejemplo, a la protección de la privacidad de los datos se unen nuevos retos derivados de la propia tecnología. Marcapasos que transmiten datos al móvil o sistemas operativos obsoletos en hospitales que manejan “información muy sensible”, donde los ataques “incluso pueden causar un daño al paciente”, revela Pedro Peris, investigador en grupo COSEC UC3M en el que lidera proyectos como “CARDIOSEC: Ciberseguridad para Dispositivos Cardiacos Implantables”. “Todos los análisis señalan que la seguridad no se está tomando demasiado en serio, me sorprende que sean dispositivos muy caros y no se invierta en seguridad”, subraya. 

“Disminuir estos riesgos no es fácil”, manifiesta Juan Tapiador, responsable del grupo COSEC UC3M. “Se trata de sistemas socio-tecnológicos muy complejos, a menudo de escala global, con una estructura de incentivos perversa que anima a no cuidar los aspectos de ciberseguridad”. La respuesta del sector de la ciberseguridad está apoyándose en los desarrollos en materia de inteligencia artificial (IA) y machine learning que están abriendo la puerta a niveles de automatización en las tareas de protección cada vez más cercanos al 100%. Una seguridad no dependiente de decisiones humanas, capaz de retroalimentarse con enormes volúmenes de información en tiempo real es la apuesta, por ejemplo, de Amazon Web Services.

Aunque Daniel Díaz, del grupo GAST UC3M (investigador en los proyectos “Cybersecurity, Network Analysis and Monitoring for the Next Generation Internet” e “Inteligencia de Fuentes Abiertas para Redes Eléctricas Inteligentes Seguras”), alerta que la inteligencia artificial “no lo va a resolver todo”. “No nos lo podemos jugar todo a la misma carta, debemos abordar el problema desde una perspectiva multidisciplinar”, aconseja. De hecho, la tecnología necesita complementarse con la educación de los usuarios. “Son el primer punto de entrada”, dice José Alberto Hernández, investigador del grupo Network Technologies. “Si no educamos a los usuarios de la importancia de la ciberseguridad en el uso de las nuevas tecnologías, estamos vendidos”, añade Pedro Peris. Para Daniel Díaz es clave iniciar esta labor de formación en responsabilidad digital desde el colegio y “no solo desde el punto de vista personal, también profesional”. 

“Cuando se habla de identificar a la persona, hay que tener en cuenta en qué medida esa identidad podría vulnerar derechos humanos”, advierte Florabel Quispe, investigadora (grupos Cambios actuales en la comunidad internacional y su orden jurídico y Globalización, Procesos de Integración y Cooperación Internacional) que lidera junto al grupo COSEC el proyecto “Ciberamenazas Avanzadas: analítica de mecanismos y vínculos sociopolíticos”. “No existen tratados internacionales que aborden este tema”, indica. “Deberíamos intentar que los estados asuman esto como una cuestión prioritaria para proteger la seguridad de personas y empresas y tener cuidado con la vulneración de los derechos fundamentales, como el derecho a la intimidad”, agrega. Peris critica que se repitan los mismos errores del pasado y para evitarlos, apuesta por “exigir unos mínimos” con la legislación, como podría ser la anonimización de los datos o forzar que por diseño se prime la seguridad. Para F. Javier Donaire lo importante es marcar una “tutela flexible”, que establezca “garantías razonables”. “El ciberespacio no es más que otro espacio”, recuerda.

Además de la legislación, se requiere de inversión desde Europa para poder competir a nivel internacional. “Veo cuatro cinco jugadores muy fuertes en el mundo y Europa va por detrás”, señala José Alberto Hernández. “Esta situación asusta porque ¿quién vigila a los vigilantes?”, se pregunta. “Necesitamos recursos para verificar que los demás lo están haciendo bien, tengo compañeros de departamento que le han sacado las vergüenzas a Google y a Facebook”.