Introducción
El ejercicio de
anticipar el futuro exige el desarrollo del “músculo prospectivo”. No es
identificar con certeza lo que puede ocurrir, sino plantear un marco común para
desarrollar una conversación estratégica compartida acerca de aquello que es
posible y plausible, y no necesariamente probable.
Tratar de generar
una visión de lo que viene hacia adelante, es una capacidad que tiene en sí
misma la inevitabilidad de la falla, pero la virtud de lanzarse a proponer
futuros alternativos donde pueden crearse oportunidades o identificarse
amenazas, es lo que permiten sacar de la zona cómoda a aquellos que están en el
deber de tomar las decisiones claves que den cuenta del reto de posicionar a la
empresa en un entorno incierto y asimétrico.
En este contexto,
mirar sobre el mar incierto de las inestabilidades de la inseguridad de la
información y los ciber riesgos emergentes, es un reto que implica desaprender
aquello que conocemos y tratar de aprender del futuro desde las especulaciones
y perspectivas del presente. En consecuencias, las reflexiones que se plantean
a continuación, más que una propuesta concreta sobre pronósticos alrededor de
la ciber-inseguridad, es una mirada divergente y contradictoria sobre lo que
puede revelarse en los siguientes 365 días que inician en pocos meses.
Para realizar esta
exploración y conversación abierta con la dinámica de la inseguridad, hace
falta dejarse nutrir por los diferentes reportes de las empresas de seguridad,
las vulnerabilidades publicadas, los anuncios de los gobiernos, las noticias
cotidianas y sobre manera los avances científicos y académicos que generan
nuevas posibilidades, para no caer en la zona donde creemos que conocemos los
riesgos.
En este sentido, se
detallan a continuación cinco (5) patrones emergentes (ver figura 1) que se sugiere revisar
por parte de los curiosos y estudiosos de la inseguridad de la información en
todos los diferentes dominios: personas, procesos, tecnología y normativas,
para pensar de forma sistémica y estratégica la seguridad/ciberseguridad en las
organizaciones, que en esencia demanda, un pensamiento creativo, disruptivo,
orientado al futuro y experimental por naturaleza.
Figura 1. Pronósticos de seguridad de la información y ciberseguridad 2019 (Elaboración propia)
Pronósticos de seguridad de la información y ciberseguridad 2019
En primer lugar, la
demanda y exigencia de las organizaciones por concretar experiencias distintas
en sus clientes, acelera y aumenta la densidad digital de sus productos y
servicios. Esto implica necesariamente la incorporación de interfaces y flujos
de información sobre objetos físicos, que crean contextos de información
personal, con apuestas individuales y particulares para cada usuario que
termina por caracterizar comportamientos, actividades y gustos de los
consumidores.
Lo anterior es
posible a través de la incorporación del internet de las cosas, los
terceros de confianza (Proveedores de servicios en la nube) y la computación
oscura, o aquella representada en aplicaciones móviles instaladas por
las personas y no registradas ante los departamentos de tecnología de
información en las organizaciones. Estos elementos crean ecosistemas digitales
que son operados por diferentes actores con diferentes tecnologías y prácticas
de seguridad, que terminan siendo usados y definidos por los individuos que los
usan.
Esta nueva superficie digital de conectividad (local y en la nube),
establece un especial sustrato y atractivo para los atacantes como quiera que encuentran
diversos tipos de prácticas de seguridad y control sobre dispositivos
inteligentes, que por definición terminan siendo “inseguros”, dado que no
fueron diseñados bajo esta perspectiva, sino para ser funcionales (Perkins,
2016).
Una segunda tendencia
que se advierte es el aumento de la vigilancia y monitorización de
gobiernos, grupos no gubernamentales, sobre los datos de personas, empresas y
estados. La necesidad de tener control sobre las comunicaciones,
conocer de antemano posibles condiciones adversas frente a la gobernabilidad de
las naciones, las operaciones de espionaje, manipulación y control seguirá
aumentando, creando mayores inciertos y tensiones sobre los derechos fundamentales
de las personas en internet.
El ISF (Information
Security Forum) fundamenta este pronóstico en los siguientes puntos:
- Ninguna organización podrá evitar la recolección de sus datos; será un requisito legal.
- Es probable que los datos sean almacenados en múltiples ubicaciones por múltiples partes externas, cada una de las cuales aplica diferentes niveles de seguridad.
- El creciente volumen e impacto de las brechas de datos en todo el mundo sugiere que los datos no estarán adecuadamente protegidos.
- Es probable que los atacantes que intentan explotar los datos estén mejor financiados y más motivados que las personas responsables de protegerlos.
- El valor potencial de los análisis de los datos los convertirá en un objetivo natural para los atacantes bien dotados de recursos, altamente cualificados y decididos, incluidos los grupos delictivos organizados, los competidores y los grupos terroristas. (Olavsrud, 2017)
Derivado de lo
anterior y las reiteradas menciones a la temática de la pos-verdad, bien afirma
el reporte del ISF (2019), que en 2019, la integridad de la información estará bajo
sospecha y será la causante de muchas distorsiones y confrontaciones a nivel
global. Basta ver los usos recientes de información manipulada e incompleta
que se ha utilizado para crear inestabilidades e inciertos que terminan con
tensiones geopolíticas que cambian no sólo la visión de las cosas, sino que
provocan posiciones encontradas.
La pérdida de la
integridad de la información, establece el referente natural que genera
ciberconflictos abiertos, donde las naciones buscan alcanzar posiciones
estratégicas globales, que le permitan tener la mayor cantidad de terreno
digital disponible y el control de los datos, sin perjuicio de las
implicaciones que puedan tener sobre las operaciones de las empresas y sus activos
estratégicos. La erosión de la integridad de la información y su abuso, plantearán
situaciones adversas creando desinformación que sólo busca distraer a todos los
involucrados mientras los objetivos fundamentales que se persiguen se logran.
El estudio y experimentación
aceleradas sobre el uso de la tecnología de cadena de bloques (Blockchain) será
puesto a prueba. La confiabilidad
criptográfica sobre la cual esta tendencia tecnológica ha creado su confianza,
será el marco de nuevas fallas de seguridad y control. Lo que para unos era la
solución definitiva e invulnerable, para otros será la reacción natural de las
sobrevaloración de una tecnología, que quedan sometidas a la implacable acción
de la inevitabilidad de la falla (Cano, 2017).
En este sentido, las
cadenas de bloques serán atacadas para cometer fraude o lavar dinero, deteriorando
la confianza de la que dependen. Esto podría llevar al abandono de la cadena de
bloques o la reformulación de su modelo base, con el fin motivar una evolución
acelerada del concepto, pensando en nuevas fronteras de conocimiento alrededor
de la computación cuántica.
El quinto patrón que
se identifica es la crisis del paradigma de la “gestión de parches” frente al reto del
agilismo que se impone en el contexto de nuevas aplicaciones que soportan una
transformación digital. Siempre habrá vulnerabilidades escondidas en
cada pieza de software, lo que necesariamente implica un ciclo de
descubrimiento de la falla, generación del parche, su instalación y prueba, para
finalmente su estabilización y puesta en producción.
Frente a este ciclo que
toma un tiempo importante, se confronta la necesidad de ajustes y despliegues
rápidos en un contexto de dispositivos distribuidos, con funcionalidades y efectos
sobre el mundo real, que generalmente responden al internet de las cosas. Los
retos que este nuevo contexto implica para la seguridad de las “cosas” demanda
crear prototipos, ver como fallan, ajustarlos rápidamente, actualizar los requerimientos
y especificaciones (Schneier, 2018, p. 42), para tratar de anticipar los posibles
errores, habida cuenta que ahora la materialización de una vulnerabilidad tiene
un efecto concreto en el mundo real: apagar una planta, cerrar una válvula,
activar un reactor o cegarle la vida a una persona.
Reflexiones finales
Estas cinco
tendencias que se han identificado establece un marco de reflexión que muestra
la necesidad imperante de los negocios de contar con datos para crear experiencias
distintas. De igual forma, la inseguridad
de la información seguirá llevando a los investigadores y curiosos de la
protección de la información, a nuevos descubrimientos y retos de frontera, que
serán cuidadosamente observados por las naciones y gobiernos como insumos para
construir ciberarmas, las cuales inevitablemente se nutren de los efectos de la
inseguridad sobre la cual están fundadas.
En el contexto
actual y lo que se advierte hacia el futuro, las implicaciones de la vulnerabilidades y fallas de seguridad serán menos
técnicas y más evidentes en el mundo real, dada la alta conectividad de las
actividades humanas y la necesidad de estar informados de forma inmediata.
Así las cosas, los algoritmos, las aplicaciones y las conexiones entre los diferentes
objetos digitalmente modificados, podrán y serán comprometidas, creando
confusión e inestabilidad para tomar las decisiones que se requieren en el escenario
de los nuevos negocios digitales.
Si bien no es
posible afirmar que la situación mencionada va a mejorar, lo que si es claro es
el aumento de la asimetría de la
información, que hará más complejo la interacción y coordinación entre los
diferentes actores, para establecer acciones concretas que aumente la
resistencia a los diferentes vectores de ataque y motive una iniciativa
conjunta que controle el deterioro acelerado de la naciente confianza digital.
Referencias
Cano, J. (2017)
Blockchain: “Cadena de bloques”. Reflexiones sobre seguridad y control. Revista SISTEMAS. Asociación Colombiana
de Ingenieros de Sistemas. No 145. 45-51.
ISF (2017) Threat
horizon 2019. Disruption. Distortion. Deterioration. Recuperado de: https://www.securityforum.org/uploads/2017/03/ISF_Threat-Horizon-2019_Executive-Summary.pdf
Olavsrud, T. (2017) 9
biggest information security threats through 2019. CIO. Recuperado de: https://www.cio.com/article/3185725/security/9-biggest-information-security-threats-through-2019.html
Perkins, E. (2016) Top
10 Security Predictions Through 2020. Forbes. Recuperado de: https://www.forbes.com/sites/gartnergroup/2016/08/18/top-10-security-predictions-through-2020/
Schneier, B. (2018) Click here to kill everybody. Security and survival in a hyper-connected
world. New York, USA: W. W. Norton & Company.
