Investigador de seguridad Troy Hunt recientemente descubierto uno de los mayores troves en línea de información personal filtrada en la historia, una colección de casi 773 millones de correos electrónicos y contraseñas pirateados.
El descubrimiento de Hunt subraya un punto que ha sido evidente desde hace algún tiempo: una vez digitalizada la información, nadie puede garantizar plenamente su seguridad.
Entonces, ¿cómo solucionamos nuestros problemas de ciberseguridad? En dos palabras: Más despacio. En pocas palabras, ha llegado el momento de controlar de manera más intencionada lo que digitalizamos. Esto significa ralentizar el ritmo de adopción de la tecnología en red con nuevas leyes y estándares destinados a aumentar la calidad y fiabilidad de cualquier dispositivo con una dirección IP. Y significa preservar cuidadosamente las capacidades analógicas, incluso cuando adoptamos lo digital.
Hay pruebas de nuestra incapacidad para asegurar completamente los sistemas digitales. En noviembre, por ejemplo, 52 millones de usuarios en Google se vieron comprometidos en una violación de datos. Dos meses antes, 50 millones de cuentas de usuario fueron comprometidas en Facebook. Estos dos eventos se cerraron un mes de octubre Oficina de Rendición de Cuentas del Gobierno informe, que afirmó que casi temprano todos los militares de EE.UU. sistema de armas sufre de un defecto de ciberseguridad. Si organizaciones tan avanzadas como Google, Facebook y el ejército estadounidense no pueden mantener sus sistemas seguros, nadie puede hacerlo.
En su estado actual, una vez que algo se ha convertido en código informático — por cámaras, dispositivos de grabación, teclados o sensores — no se puede hacer nada para «certificar» su estado como seguro. Esa información puede ser vista o corrompida por entidades no autorizadas o utilizada de manera que violen la privacidad o la confianza de las personas que generaron los datos.
Llamamos al estado actual y lamentable de nuestra ciberseguridad colectiva « luz plana», un término del mundo de la aviación. Entre los pilotos, la luz plana significa una falta casi total de rumbo donde todas las direcciones tienen el mismo aspecto, una condición que ahora se aplica tanto a organizaciones, reguladores como a consumidores dentro del mundo digital. Colectivamente, simplemente no sabemos en qué enfocarnos, qué acciones precisas se requieren, o cómo proteger todos los datos que generamos, tanto como individuos como como como empresas.
La raíz de nuestros problemas de ciberseguridad es la velocidad sin precedentes a la que hemos adoptado dispositivos conectados en red. ¿Comprando una bombilla? Ahora puede estar conectado a Internet. ¿Un refrigerador? Lo mismo. UNA inodoro? Muy pronto. En algunos lugares, ni siquiera podemos hacer compras sin usar tarjetas de crédito conectadas a la red o servicios como Apple Pay.
Ninguna tecnología en la historia humana ha sido adoptado tan rápido como Internet. Tomó más de 100 años después de la invención del teléfono en 1876 antes de su adopción casi universal en los Estados Unidos. Se siguieron plazos de adopción análogos para la electricidad y los automóviles. Sin embargo, sólo ha tomado una década durante casi cuatro de cada cinco estadounidenses para tener un teléfono inteligente. Cisco predice un salto global de 17.100 millones de dispositivos conectados en 2016 a 27.100 millones de dispositivos conectados en red en 2021, una tasa de crecimiento anual compuesta del 25%.
La única manera de recuperar el control sobre este entorno es administrar de manera más significativa lo que digitalizamos, es decir, disminuir cuidadosamente el ritmo de adopción de la tecnología en red. En una economía que premia la velocidad de comercialización sobre todo lo demás, la seguridad de nuestro software es sistemáticamente despriorizada, si no simplemente ignorada, a medida que aumentan las tasas de adopción de nuevas tecnologías. Reducir esta tasa de adopción —implementando nuevas leyes y estándares y garantizando que se preserven alternativas analógicas a determinadas tecnologías— es la mejor manera de insertar un nivel sostenible de seguridad en nuestro entorno cibernético cada vez más complejo. Sólo entonces podríamos al menos entender y ganar cierto grado de control sobre nuestra creciente dependencia digital.
La carga de recuperar el control de nuestro entorno de ciberseguridad recae en gobiernos, empresas e individuos por igual.
Para empezar, las leyes deben disponer que cualquier sistema con conectividad de red tenga una vida útil limitada o acepte actualizaciones. Actualmente, la lista de dispositivos que no se pueden actualizar cuando se descubren defectos es larga y crece más. Entre los dispositivos que utilizaron el sistema operativo Android de Google en 2016, por ejemplo, un reportado 29% no se pudo parchear.
Los dispositivos defectuosos pueden ser tomados por actores maliciosos y utilizados para enfermos, como en el caso de la botnet de 2016 «Mirai» que desconectado enormes franjas de Internet. La combinación de inmortal e inreparable es socialmente insostenible; también debería ser ilegal.
Incluso si las leyes son lentas para hacer cumplir este mandato, las empresas y los individuos serían sabios dejar que esto guíe sus decisiones: si el dispositivo que quieren no puede ser actualizado y no muere, no debería tener lugar en su organización (o en su hogar).
En segundo lugar, la responsabilidad por defectos de ciberseguridad debe quedar clara, y los fabricantes de software cuyo código causa fallos deben rendir cuentas, al igual que los productores de otros productos industriales o de consumo. Hoy en día, la mayoría de las sanciones por defectos de ciberseguridad se refieren a fallas en los informes después de infracciones o a tergiversaciones en los términos de servicio de un producto. Tampoco contribuye a un código más seguro.
Los mandatos de presentación de informes, por ejemplo, sólo penalizan a las organizaciones que no revelen infracciones una vez han ocurrido. Y confiar en los términos de servicio entre una empresa de software y un usuario final ignora el hecho de que los usuarios no tienen ningún poder de negociación al conceder licencias de software; solo pueden aceptar los términos ofrecidos o prescindir. Esta es la razón por la que es tan raro que una organización se haga responsable cuando el software resulta inseguro. Aclarar lo que constituye requisitos mínimos de ciberseguridad, al igual que California hizo en una nueva ley el año pasado, y la estandarización de la responsabilidad cuando estos puntos de referencia se rompen, ayudarán a eliminar el software de mala calidad del mercado, haciéndonos más seguros en el proceso.
Por último, tanto los gobiernos como las organizaciones deben velar por que contrapartes analógicas a las capacidades digitales se conservan incluso cuando adoptamos nuevas tecnologías. En casi todos los casos, los mecanismos de software tienen rutas de error de «modo común» entre ellos, lo que significa que si un servicio falla, los otros también lo hacen. Los servicios analógicos existentes, por otro lado, en casi todos los casos, no lo hacen.
En lugar de centrarnos únicamente en la seguridad, debemos ampliar nuestros esfuerzos para garantizar que las actividades críticas tengan métodos alternativos de funcionamiento en caso de que una falla de ciberseguridad las elimine del servicio. Del mismo modo, los equipos de seguridad de la información dentro de las organizaciones deberían centrarse no sólo en proteger a su organización del ataque del día; también deberían asegurarse de que existan medios alternativos y analógicos para operar cuando surja una catástrofe cibernética.
El uso generalizado de dispositivos en red ha generado enormes beneficios. No debemos hacer retroceder el tiempo en estos avances. Nosotros tampoco.
Pero cuando adoptamos las nuevas tecnologías demasiado rápido, como lo hemos hecho con los dispositivos conectados a Internet, podemos pasar por alto con demasiada facilidad las compensaciones que hemos hecho. Durante la última década, hemos elegido colectivamente la conectividad y la comodidad en lugar de la seguridad y la privacidad. Esa compensación no tiene por qué ser permanente. La elección sigue siendo nuestra.
—
Andrew Burt Dan Geer
Via HBR.org
