Ahora que estamos a pocos meses de terminar el año y que las fiestas están a la vuelta de la esquina, vale la pena reflexionar y analizar qué les depara en el futuro a la seguridad, la tecnología y la confianza digital.
En 2022, observamos que los ataques se han intensificado y que las cadenas de suministro de software se han convertido en uno de los blancos favoritos de los delincuentes. De hecho, según un en el que participaron 1000 directores de TI, el 82 % de los encuestados afirmaron que sus organizaciones son vulnerables a los ataques cibernéticos que apuntan a las cadenas de suministro de software. En términos más sencillos, la tarea de un profesional de la seguridad no termina nunca. Ahora bien, ¿qué novedades nos traerá el 2023? Nuestro equipo de expertos en ciberseguridad, integrado, entre otros, por Avesta Hojjati, Dean Coclin, Mike Nelson, Srinivas Kumar, Stephen Davidson, Steve Job y Tim Hollebeek, nos dan las claves.
Con la tecnología actual, descifrar una clave de 2048 bits llevaría una eternidad, pero una computadora cuántica potente podría hacerlo en cuestión de meses. El año pasado, predijimos que se producirían importantes avances en el mundo de la computación poscuántica cuando el Instituto Nacional de Estándares y Tecnología (NIST) del Departamento de Comercio de Estados Unidos empezó a analizar posibles algoritmos criptográficos que podrían resistir los intentos de descifrado perpetrados tanto por ataques tradicionales como por computadoras cuánticas.
Ahora, el NIST ha escogido el primer grupo de herramientas de cifrado que están diseñadas para soportar los embates de las futuras computadoras poscuánticas, y los cuatro algoritmos de cifrado seleccionados pasarán a formar parte del estándar criptográfico poscuántico del instituto. A medida que este estándar entra en etapa de desarrollo, prevemos que se hará mayor hincapié en la necesidad de lograr la agilidad criptográfica, ya que las computadoras cuánticas suponen una importante amenaza para la seguridad de las interacciones en línea en el futuro. Si bien es posible que pasen varios años hasta que los algoritmos seleccionados por el NIST se incorporen a diversos estándares, las empresas deben comenzar a prepararse ahora mismo, ya que, en la era poscuántica, de nada servirá hacer actualizaciones de último momento.
Para prepararse para la era de la criptografía poscuántica, el sector debe mejorar la agilidad criptográfica, que es la capacidad que tiene un sistema de seguridad de alternar rápidamente entre distintos mecanismos de cifrado y que está centrada en la visibilidad y la transferencia dinámica de los activos criptográficos de una empresa. Aunque la computación cuántica pueda parecer una realidad lejana, lo cierto es que no solo están en peligro las comunicaciones futuras, sino también las actuales. Una empresa que haya alcanzado la agilidad criptográfica sabe cómo se utiliza la criptografía, cuenta con las herramientas necesarias para detectar y solucionar problemas, establece políticas claras con respecto a las prácticas recomendadas en esta materia y tiene la capacidad de probar nuevos algoritmos criptográficos. Por todo ello, creemos que muy pronto representará una ventaja competitiva para las empresas.
Matter es un estándar de domótica y el lenguaje en el que se comunican los distintos dispositivos inteligentes diseñados para el hogar. Este es un estándar internacional que reúne a todo el sector de los dispositivos conectados, y su objetivo es simplificar el mercado y compatibilizar los dispositivos de domótica de las diferentes plataformas. Algunas de las marcas de domótica más famosas, como Google, Apple, Amazon y Samsung, se han comprometido a implementar el protocolo Matter, el cual no solo supondrá una ventaja para los consumidores, sino también para los fabricantes del sector.
Matter está llamado a convertirse en el sello de domótica por excelencia que buscarán los consumidores. Cuando quieran adquirir algún dispositivo de domótica, los consumidores directamente buscarán el nombre de este protocolo. Asimismo, según nuestras previsiones, en algún punto de 2023 los hogares inteligentes contarán con algún dispositivo que cumpla con Matter, por lo que este protocolo se convertirá en un estándar reconocible, como Bluetooth. A modo de ejemplo de su rápida adopción, el nuevo sistema operativo iOS 16 de Apple es ahora compatible con Matter.
Este ritmo de adopción significa también que a los fabricantes de dispositivos conectados les conviene adoptar este estándar cuanto antes. Si un dispositivo cumple con el protocolo, su fabricante puede incluir el logotipo de Matter para que los clientes sepan que pueden conectarlo de forma fácil y segura a sus productos favoritos. No cabe duda de que se convertirá en el estándar que buscarán los consumidores cuando compren dispositivos conectados para el hogar, así que es fundamental que se asegure de que sus productos comiencen a cumplir con el protocolo ya mismo.
Los desarrolladores de software utilizan los certificados de firma de código para firmar digitalmente las aplicaciones, los controladores, los archivos ejecutables y los programas de software a fin de que los usuarios finales puedan verificar que el código que reciban no haya sido manipulado o vulnerado. Estos certificados incluyen su firma, el nombre de su empresa y una marca de tiempo. Por su parte, los certificados de firma de código con OV (validación de la empresa) son necesarios para demostrar autenticidad.
Estos certificados de tipo OV están experimentando cambios, ya que pronto se emitirán en los hardware de seguridad físicos de un modo similar al que se emiten los certificados de firma de código con EV. Según el CA/Browser Forum, el consorcio que regula el sector de los certificados SSL, para junio de 2023, las claves privadas de los certificados de firma de código con OV deberán almacenarse en dispositivos que cumplan con el FIPS 140 de nivel 2, el EAL 4+ de Common Criteria o estándares de seguridad equivalentes. Esto significa que las certificaciones se enviarán al módulo de seguridad de hardware del cliente mediante un dispositivo USB.
Prevemos que, a raíz de estos cambios, los clientes adoptarán la firma en la nube de forma masiva para evitar tener que reemplazar el token de hardware. Asimismo, creemos que, en el futuro, todas las operaciones de firma de código se realizarán en la nube, ya que los clientes preferirán ese método a tener que llevar un seguimiento de las claves de hardware.
Los ataques a la cadena de suministro de software —como los incidentes que sufrieron SolarWinds y Kaseya, que tantos titulares acapararon— han resaltado la importancia de conocer en profundidad las dependencias de software. En 2021, con el objetivo de reforzar la ciberseguridad de su país, el presidente de Estados Unidos, Joe Biden, publicó una orden ejecutiva que exige que los proveedores de software les faciliten a los agentes federales que se encargan de las compras públicas la lista de materiales de software (SBOM, por sus siglas en inglés) de cada aplicación que les vendan. Esta lista, que comprende todos los componentes de software que conforman una aplicación, incluye todas las bibliotecas del código de la aplicación, así como los servicios, las dependencias, las composiciones y las extensiones.
Las empresas del sector privado también se ven cada vez más obligadas a contar con SBOM, ya que muchas compañías grandes ahora las exigen como parte del acuerdo marco de servicios, o MSA, que firman con los proveedores de software. Los analistas de seguridad creen que las SBOM pronto se convertirán en una práctica estándar dentro del proceso de compra.
Un memorándum más reciente expedido por la Oficina de Administración y Presupuesto de Estados Unidos va aún más allá e incluye nuevos requisitos que deben cumplir las agencias federales para garantizar la seguridad de la cadena de suministro de software. El memorándum exige que los productores de software demuestren que cumplen con las pautas del NIST; esto significa que las empresas que quieran vender sus productos al gobierno deberán evaluar y demostrar que el software es conforme con los lineamientos del NIST.
Para ello, los fabricantes de software deberán participar de manera más activa en las tareas que permiten garantizar que los productos sean seguros, lo que hace de la visibilidad un requisito fundamental. Debido a la información y la visibilidad que brindan con respecto a las cadenas de suministro de software, para 2023 prevemos un gran incremento en la adopción de las SBOM. Si bien en la actualidad la mayoría de estos requisitos solo competen a la administración pública, lo más probable es que las SBOM pronto se extiendan a los mercados comerciales.
Muchos saben lo que es el módulo de identidad del suscriptor (SIM, por sus siglas en inglés), una tarjeta removible que se inserta en los teléfonos celulares y que se debe cambiar físicamente cuando el dispositivo host cambia de red. Una SIM incorporada (eSIM) es la renovación que se introdujo como alternativa a la tecnología SIM tradicional. Las eSIM siguen siendo tarjetas físicas, pero quedan permanentemente preinstaladas en el dispositivo, ya que la actualización de sus datos se puede llevar a cabo con una solución de aprovisionamiento remoto de SIM (RSP).
Ahora han llegado las SIM integradas (iSIM), que son mucho más pequeñas y seguras que las versiones físicas. Las iSIM no requieren un procesador aparte y su tamaño es considerablemente menor, por lo que no ocupan mucho espacio en el hardware. La iSIM queda contenida en un área segura y confiable dentro de la arquitectura de sistema en chip (SoC) del dispositivo e incorpora las funciones de la SIM en el procesador principal.
Algunos líderes del sector, como Qualcomm y Vodafone, han realizado una prueba de concepto con las iSIM que podría suponer el fin de las ranuras para tarjetas SIM. Prevemos que la próxima generación de teléfonos inteligentes ya no contará con el hardware para las tarjetas SIM tradicionales, sino que adoptará las tecnologías iSIM y eSIM como garantía de confianza.
La cartera de identidad digital europea, una iniciativa impulsada por la Comisión Europea en el marco del reglamento eIDAS, creará un sistema de identificación digital unificado en toda la UE. Esta cartera permitirá que los ciudadanos europeos lleven versiones electrónicas de sus documentos de identidad oficiales en una aplicación móvil segura a fin de que puedan utilizarlas para la autenticación en línea y las firmas electrónicas. Además, contará con la «certificación electrónica de atributos», que refiere a aspectos complementarios de la identidad, como el título profesional, y que podrá presentarse junto con la identidad personal o por separado. La UE tiene programados importantes proyectos transfronterizos en materia de servicios financieros, educación y atención médica.
Prevemos que, al igual que ocurrió con Apple Pay y Google Pay, que se adoptaron en todo el planeta como medio de pago digital, la cartera de identidad digital europea se convertirá en el modelo que buscará emular el resto del mundo en este ámbito. Si se implementan las políticas y el marco legal necesarios para la adopción en el continente, los usuarios no tendrán reparos en usar una cartera digital para almacenar y compartir sus credenciales. Naturalmente, el camino a la adopción masiva de la cartera de identidad digital implica que también debemos asegurarnos de ampliar el alcance de la confianza digital.
El sistema de DNS seguirá cobrando cada vez más importancia, empujado por el aumento permanente de la automatización de las operaciones de desarrollo y de la infraestructura como código.
Dado que los equipos de desarrollo suman cada vez más miembros remotos a nivel mundial, es fundamental volcarse a un sistema de integración y desarrollo continuos para poder cumplir los objetivos de productividad. A su vez, como los desarrolladores se conectan a distintos sistemas e implementaciones en todo el mundo, la capacidad de automatizar los cambios del sistema de DNS se ha vuelto indispensable.
La infraestructura como código se consolidará cada vez más como práctica recomendada para empresas de todo tipo, y se implementarán y automatizarán grandes entornos de servidores para ofrecer automatización y predictibilidad.
Será fundamental para las empresas contar con servicios de DNS que ofrezcan un tiempo de actividad alto, velocidades rápidas y una propagación de DNS ágil. Por su parte, definir bien los SDK, las API y las integraciones será imprescindible para la productividad y la confiabilidad de las organizaciones.
A medida que el modelo de se encamina a convertirse en el enfoque de seguridad estándar para los sistemas de TI, prevemos que los ciberdelincuentes cambiarán su método de ataque para poder desarticularlo.
Además, también implementarán nuevas tecnologías para incrementar la tasa de éxito de sus futuros ataques. Un atacante experto podría recurrir a ciertas tecnologías, como la inteligencia artificial o el aprendizaje automático adversario, para detectar vulnerabilidades en un marco de confianza cero mal implementado. Este ejemplo, al igual que muchos otros, nos demuestra que la implementación de un nuevo marco no resuelve todos los problemas. Es fundamental que los marcos de seguridad evolucionen de manera permanente, ya que los ciberdelincuentes cambian sus métodos cada vez que diseñamos e implementamos nuevas barreras.
Ya sabemos de sobra que estos agentes malintencionados pueden usar la inteligencia artificial y el aprendizaje automático para neutralizar las soluciones de seguridad estándares o llevar a cabo ataques de fuzzing basados en la IA. Solo el tiempo dirá cómo podrán protegernos de los delincuentes más experimentados los enfoques de confianza cero dinámicos.