Internet de las amenazas

    Por Florencia Pulla (*)

    Para los relacionistas públicos de Samsung el mes de febrero no implicó el comienzo de las vacaciones. Con la rapidez con las que se mueven las cosas en las redes sociales, el rumor de que los televisores inteligentes de la marca –capacitados para responder a comandos humanos de voz– estaban espiando a consumidores desprevenidos, creció. Es que en un párrafo en las políticas de privacidad de la empresa alertaban sobre el peligro de hablar en voz alta temas íntimos porque podrían ser capturados por el software de reconocimiento de voz instalado en el televisor y enviado a una empresa tercera. Poca cosa: como si el living o el dormitorio de una casa fuesen un terreno de batalla entre el ciudadano y algún instrumento orwelliano.

    Desde la empresa respondieron diciendo que la cosa no era tan así: que el usuario puede desactivar el comando de voz y que, incluso activo, era fácilmente reconocible en la pantalla. “Samsung se toma en serio el tema de la privacidad y cualquier dato que recolectamos es manejado con trasparencia. Usamos encriptación y nos valemos de las mejores tendencias en seguridad para proteger a nuestros consumidores”, dijeron desde la empresa de origen surcoreana en un comunicado de prensa reproducido por los medios más importantes del mundo.

    Aunque el gigante de los electrónicos salió airoso de la controversia por la privacidad, la discusión puso en relieve las nuevas amenazas producto de una tendencia que está aquí para quedarse. Hablamos de Internet of Things (IoT) o Internet de las Cosas, el concepto detrás de televisores, heladeras y aires acondicionados inteligentes; que promete que nuestros hogares sean más seguros pero también que nuestras ciudades sean más inteligentes.

    La innovación es casi siempre una buena noticia pero como supo decir Eugene Kaspersky –el fundador de la empresa de seguridad que lleva su apellido– Internet de las Cosas bien podría describirse como Internet de las amenazas. La rapidez del recambio tecnológico obliga a que la mayoría de los fabricantes corran detrás del próximo lanzamiento y, como sucede también en las empresas, la seguridad termina convirtiéndose en el último eslabón de la cadena: eso en lo que se piensa cuando, concretamente, ocurra lo impensado. Es que, como dice Diego Taich, IT Consulting Director en PwC Argentina, “la concientización en seguridad siempre es un hecho reactivo. No importa todo lo que se diga respecto a la seguridad o inseguridad de algo. Solo cuando ocurre un episodio negativo, cuando sale en la tapa de las noticias, es que se empieza a tomar el tema en serio. ¿Se fugaron los datos de un banco? Entonces ahí el consumidor toma contacto con que la transacción se hace de tal o cual manera. Sino no pasa nada”.

    “No caben las excusas de ataques sofisticados –escribió el especialista en temas informáticos Marcelo Lozano en IT Connect– porque Internet de las Cosas tal como lo conocemos es un timo, no hay evidencias de desarrollos sustentables de seguridad. No vemos, salvo honrosas excepciones, muestras claras de solvencia operativa para administrar tremendo nivel de complejidad, con millones de dispositivos conectados. La evolución no siempre es una buena noticia y en este sentido las apuestas van en contra de quienes promueven esta tecnología de forma apresurada”.
    Lo adelanta Arnaldo Carratalá, IT Manager de Certisur, en este mismo informe. “Los cambios tecnológicos tan visibles, especialmente los que conciernen al usuario final, tienen más el foco puesto en la funcionalidad y la disrupción que en la seguridad, que está relegada. Aparece como algo que se puede sumar después, en la medida que se concreten amenazas. Es responsabilidad de los proveedores complementar su oferta de productos con los mecanismos de seguridad que resulten adecuados en cada caso. Porque es imposible pedirle al consumidor que evalué y adopte por sí mismo las medidas de seguridad que hoy ya están disponibles”.

    Más cómodos, menos seguros

    Daniel Rojas, gerente de Marketing para Latinoamérica y el Caribe de Symantec, lo pone en otros términos. “El crecimiento de IoT nos beneficia pero también nos deja más vulnerables a los problemas de seguridad. Un celular inteligente alerta al ciberdelincuente sobre una serie de datos que podrían facilitarle el trabajo. Solo hay que imaginar qué sucedería si el termostato, el horno, el aire acondicionado, el televisor, los relojes inteligentes manejasen datos sensibles para perjudicarnos. Los usuarios de Internet tienen más confianza y manejan información de manera abierta entonces el riesgo crece; hay que ser proactivo y tener un control más estricto de la privacidad. Los riesgos son estos”.

    Es que, a pesar de que se pueden decir una cosa o dos sobre el nivel de conciencia que existe en el usuario final o, incluso, puertas adentro de las empresas sobre la privacidad y seguridad, los beneficios que brindan al día a día los productos smart bien podrían correr en contra del costo que, en muchos casos, es nuestra vulnerabilidad. “Hay algo de cierto en que la tecnología está cada vez más cerca del individuo, de la persona. Y todos los productos con sensores que existen mejoran la calidad de vida de las personas. Pero no dejan de ser invasivos en el ambiente más íntimo que podemos tener, nuestra casa. Que un dispositivo en el que confiamos pueda usarse para escuchar, para saber en dónde estuvimos caminando, qué compras realizamos, puede ser peligroso y hay que pensarlo. Y, al final del día, es responsabilidad de los prestadores hacerlo. El que hace el producto va más rápido que el mercado y no está detrás de la demanda porque pretende ser agresivo y llegar antes. Entonces impulsa la adopción de un producto que no tiene garantizada su seguridad y la persona no tiene tiempo para estudiar qué significa la aparición de un nuevo dispositivo inteligente, qué riesgos tiene o qué tecnología se está comprando”, coincide Taich.

    Diego Bonaventura, de Grupo Datco, lo pone en perspectiva. “Todos los dispositivos son o deben verse como computadoras, con más o menos capacidad de procesamiento y bajo esta idea se debe tener en cuenta que el grupo que integra cualquier red debe ser securizado. Es increíble lo que se viene con IoT porque no es solo la posibilidad de encender el aire desde una aplicación sino, por ejemplo, tener estacionamientos inteligentes compatibles con la modalidad de self parking, que algunos autos de alta gama ya ofrecen. Esto no es el futuro, ya existe, pero no va a poder funcionar sin seguridad”.

    Si hacia 2020, serán 30.000 millones los dispositivos conectados a la red, el problema que presenta IoT no es menor. “Seguramente la mayoría de esos dispositivos no tendrán siquiera un controlador y no podremos instalarle un antivirus porque estamos hablando de miles de dispositivos. El gran desafío es cómo proteger esos sensores que estarán conectados a la red y no tendrán un sistema operativo. Yo no hablaría de preocuparse, sí de ocuparse”, dice Gonzalo García, gerente de Territorio Cono Sur de Fortinet.
    De hecho, para quienes producen esos miles de millones de dispositivos, y Samsung lo ha probado recientemente, no tener en cuenta la creciente preocupación por privacidad y seguridad del usuario final podría acarrear problemas serios de reputación. El juicio respecto a la sustentabilidad de Internet of Things está abierto.

    Más peligro, hacia adentro

    A pesar de que el grueso de los presupuestos de seguridad informática va a batallar amenazas externas –que existe y son muchas– el peligro que existe puertas adentro de las empresas no es menor.
    “Cuando se estudian un poco las motivaciones para cometer delitos, las personas que más razones y oportunidades tienen para pasar por un mecanismo de defensa son los empleados. Es un punto ciego; hay que poner atención ahí. No solamente mirar hacia fuera sino trabajar con concientización hacia adentro, con mecanismos de alerta, para seguir las normativas de la compañía”, explica Diego Taich, de PwC.

    CertiSur

    Inversiones pequeñas, grandes prestaciones

    Especialmente el segmento de e-commerce tiene mucho que ganar al proteger las transacciones de sus clientes: hoy el precio de ciertas licencias es tal que incluso las Pyme pueden proteger información crítica y garantizar seguridad en sus operaciones. Pero todavía son reacios a invertir preventivamente.


    Armando Carratalá

    Armando Carratalá, IT Manager de CertiSur, es un veterano en el sector de la ciberseguridad y, sin embargo, se expresa de manera coloquial y explica las tendencias del sector con una simplicidad tal, que incluso los más neófitos pueden seguir el hilo de la conversación. Se dedica a eso, después de todo: evangelizar sobre los beneficios de invertir ya, ahora, de manera preventiva en seguridad para no lamentarlo luego.

    “Si bien hay un gran número de organizaciones que adoptan los mecanismos de seguridad adecuados, también es cierto que un número mucho mayor descuida el modo que protege datos de, por ejemplo, sus clientes. Es chocante. Porque estas son organizaciones que hacen transacciones en la red y piden datos sensibles a sus clientes sin tener un certificado SSL, que tiene un costo ínfimo por la prestación que brinda”, explica Carratalá. Si hoy todos estamos en la Web, es evidente que desde multinacionales poderosas hasta Pyme recién nacidas deben cuidarse y cuidar a los suyos. Concientizar es la clave pero no siempre es fácil.

    Y no es un tema de costos. “Los costos de la seguridad informática no son para nada prohibitivos para las Pyme. Al contrario. Utilizar soluciones digitales en los procesos de negocios, con las medidas de seguridad que corresponden, puede dar eficiencia a la operación y bajar costos”. Y da un ejemplo: “Un certificado digital OV, o sea con validación de la organización, puede costar US$ 180 anuales. Si un proyecto de negocios no puede destinar US$ 15 por mes a proteger su web, probablemente no sea sustentable pero por otros motivos”.

    Más allá de las Pyme, un sector que invierte bastante más que US$ 15 por mes en seguridad informática es el bancario. Desde la empresa, Carratalá explica que le prestan servicio al sector desde hace más de 15 años y pueden contar entre sus clientes a casi todas las organizaciones bancarias, desde el Santander Río hasta el BBVA. “A medida que las amenazas se sofistican y se hacen más frecuentes las entidades financieras elevan sus niveles de seguridad para proteger la integridad de esas transacciones”. Hay infinitas posibilidades de robustecerla; la posibilidad de implementar mecanismos de autenticación basados en dispositivos móviles o la utilización de herramientas de análisis inteligente para detectar fraudes son solo algunas.

    Un mundo de vulnerabilidades

    Pero la sensación de que hoy es más difícil que nunca estar un paso delante de los avances tecnológicos es permeable a casi todas las empresas. Especialmente con tendencias como la “nube” o Internet de todas las cosas, los riesgos potenciales parecen perseguir no solo a las empresas que adoptan soluciones sino, más importante, a los usuarios que confían sus datos sensibles.

    Con los celulares inteligentes pero, más recientemente, con la avalancha de dispositivos “smart” que incluye televisores, aires acondicionados, heladeras y un sinfín de productos, la responsabilidad de los proveedores está en limitar los riesgos. “Los cambios tecnológicos tan visibles, especialmente los que conciernen al usuario final, tienen más el foco puesto en la funcionalidad y la disrupción que en la seguridad, que está relegada. Aparece como algo que se puede sumar después, en la medida que se concreten amenazas. Es responsabilidad de los proveedores complementar su oferta de productos con los mecanismos de seguridad que resulten adecuados en cada caso. Porque es imposible pedirle al consumidor que evalúe y adopte por sí mismo las medidas de seguridad que hoy ya están disponibles”.

    La “nube” despertaba una serie de temores semejantes pero las empresas de seguridad han sido inteligentes en relativizar el problema. “Es importante que las empresas tengan la posibilidad de evaluar y controlar los mecanismos de seguridad que emplean los proveedores en the cloud. Es lógico que haya temores, porque se pierde el control físico de la información. Pero el grado de conexión que se tiene hoy con el mundo, a través de miles de dispositivos que almacenan información sensible, también los expone… por lo tanto tener la información “in house” no es garantía de nada”, concluye Carratalá.

    Grupo Datco

    Amenazas, también puertas adentro

    Para la compañía regional todavía las empresas no son concientes de los riesgos de no controlar la información crítica que manejan los empleados: internamente se practican procedimientos pero no se hacen análisis de riesgos.

    Desconfiar del afuera es una cosa; desconfiar de quienes dan forma al tejido mismo de una compañía, otra. Y sin embargo, según datos de Grupo Datco, 35% de los ataques provienen de los clientes internos y 27%, de ex empleados. Más allá de tener procedimientos para manejar información crítica –como pueden ser las de Bring Your Own Device– es imperioso que parte del presupuesto vaya al otro riesgo, potencialmente paralizante, que son los propios empleados.

    Gerardo Dionofrio y Diego Bonaventura son especialistas en Seguridad de la Información de Grupo Datco y explican el problema. “Las empresas todavía siguen dándole prioridad a la seguridad en el perímetro externo; no ven amenaza en la red interna que justifique inversión en tecnología. Pero todas las encuestas dicen que este es un verdadero problema. Internamente se aplican políticas y procedimientos pero no se realizan análisis de riesgo, no se utilizan herramientas de detección ni hay procedimientos de reacción ante un ataque. La seguridad debe tomarse como un sistema integrado y si se aplica solo una parte se dejan abiertas puertas que pueden ser utilizadas para ataques”, explica Dionofrio.

    Bonaventura agrega: “Uno tiende a tener confianza en su personal y darles el valor de equipo a los integrantes de su staff porque todos los días uno se apoya en las personas que mantienen el negocio funcionando y creciendo. Los empleados son recursos valiosos. Pero igualmente se tienen que tomar recaudos para evitar el fraude interno. Una estrategia es la segregación de funciones, haciendo que cada empleado realice solo las tareas que le corresponden con acceso solo a los sistemas que son parte de su función. Además, el manejo de información sensible –como proveedores, sueldos o información que puede anticipar cambios de cotización bursátil– requiere contar de acuerdos de confidencialidad, con logueo del manejo de este tipo de información y control de cambios”.

    Es difícil. Con la llegada de los celulares inteligentes el problema de controlar internamente cómo los empleados manejan información crítica se ha vuelto más relevante. Estrategias como las de Bring Your Own Device (BYOD) son buenos pasos en este sentido pero, como aclaran los especialistas de Datco, no son suficientes. “Las empresas empiezan a aplicar políticas en serio cuando aceptan que BYOD no es una tendencia sino una realidad y es necesario darlo un orden y un marco de uso –cuenta Dionofrio– De hecho, BYOD aumenta año a año y está acá para quedarse. Hay que crecer a otros conceptos como Bring Your Own Identity donde los usuarios utilizan el login de las redes sociales para ingresar a las aplicaciones. Todavía no es muy frecuente porque hay que modificar las aplicaciones para que reconozcan a este nuevo usuario pero es una buena idea y factible”.

    “Durante mucho tiempo las empresas prefirieron dejar afuera de sus redes a los equipos que no perteneciesen a ellas. Pero llegó un momento en el que el avance de las redes sociales hizo que la gente utilice sus propios dispositivos para hacer trabajo diario como, por ejemplo, charlar por WhatsApp con un cliente. Ahí se manda y se recibe información de la empresa que se naturaliza como algo de todos los días. Es mejor llevar un control de eso porque el paradigma ha cambiado y es imparable”, explica Bonaventura.

    Todos los dispositivos son computadoras. Más allá de la seguridad de la empresa en relación al empleado, la aparición de cada vez más dispositivos inteligentes implica una pérdida de seguridad por parte del usuario que no sabe o debe contratar soluciones para proteger su aire acondicionado, su heladera o su sistema de cerraduras, por nombrar solo tres de los elementos que componen la tendencia Internet of Things (IoT). “No es poca cosa. Para 2018 habrá 112 millones de dispositivos portátiles conectados a Internet. Habrá que tomar medidas de seguridad porque todo lo doméstico estará conectado y, por qué no, vigilándonos si cae en las manos inadecuadas. Hoy existen varios desarrollos pero no están probados ni son definitivos. Va a tener que desarrollarse rápidamente porque IoT ya está acá”, dice Dionofrio. En este contexto, agrega Bonaventura “todos los dispositivos son o deben verse como computadoras y deben ser securizados”.

    Fortinet

    Internet of Things, la próxima frontera

    Con cada vez más dispositivos conectados a Internet, el problema que presenta The Internet of Things (IoT), o Internet de las Cosas, no es menor. De hecho, según una encuesta de IDC, se espera que haya 30.000 dispositivos con sensores conectados a la red para 2020. “Seguramente la mayoría de esos dispositivos no tendrán siquiera un controlador y no podremos instalarle un antivirus porque estamos hablando de miles de dispositivos: una heladera conectada a una red con un sensor de temperatura; un marcapasos que transmita información médica; un vehículo conectado o hasta una central nuclear. El gran desafío es cómo proteger esos sensores que estarán conectados a la red y no tendrán un sistema operativo”, dice Gonzalo García, gerente de Territorio Cono Sur de Fortinet.

    En este contexto, en el que cada vez hay más dispositivos alrededor del ciudadano común con inteligencia para reconocer información personal, es lógico que exista cierta preocupación sobre el control que pueden ejercer privados y estatales sobre las personas.

    “Yo no hablaría de preocuparse, sí de ocuparse. La seguridad informática está en boca de todos en la actualidad, hasta llegar a ser tema prioritario en la agenda del directorio de las grandes empresas. Hizo su entrada triunfal a raíz de las noticias que vienen recorriendo el mundo últimamente sobre grupos cada vez más profesionales dedicados al cibercrimen. Lo interesante es hablar de seguridad informática antes que los ataques sucedan y no de manera reactiva. Ante el panorama actual de constantes amenazas, es imprescindible invertir en seguridad, no solo para mitigar un problema específico o remediar alguna vulnerabilidad en sus sistemas, sino para tener una solución o arquitectura de seguridad integral donde realmente se analice toda su red, servidores y sistemas y se cuente con los equipos y conexiones necesarias para evitar cualquier ataque.

    Druidics

    El problema de la vigilancia estatal

    Para el director de esta empresa de capitales nacionales, el control sobre empresas y ciudadanos es cada vez mayor. ¿El problema? La brecha entre quienes son conscientes de esta realidad y quienes no.


    Javier Ferrero

    “El control sobre las empresas y los ciudadanos es cada vez es mayor”, dice Javier Ferrero, director de Druidics. Y lo explica bien: si bien hace mucho que sucede, con el avance de la tecnología es cada vez más fácil espiar. “Lo delicado es la brecha cada vez mayor entre quienes son conscientes de esta realidad y las que no; es decir, las que se protegen y las que, por desconocimiento, se exponen todo el tiempo”.

    En el corazón de la controversia está Estados Unidos, cuyo Gobierno fue expuesto en 2013 por vigilar, con la ayuda de los principales operadores de telecomunicaciones y prestadoras de servicios de mail, a millones de ciudadanos desde 2001. “Desde ese momento Electronic Frontier Foundation (EFF) ha estado en la vanguardia de los esfuerzos por detener estos programas de vigilancia del Gobierno y encauzarlos nuevamente en el marco legal y de la Constitución. El espionaje de información no es una propiedad de países más o menos desarrollados; es viable o factible en cualquiera de ellos. Lo que se mantiene históricamente en desafío son dos fuerzas: la privacidad de los individuos y las organizaciones contra la eventual inseguridad de la sociedad, frente  a potenciales actos terroristas o ciberterroristas”.  

    El sector privado está entre las primeras víctimas. Y entre ellos, el bancario, aunque de los que más invierten, es de los más vulnerables a los ataques de terroristas informáticos. Tiene sentido: su botín es grande. En la Argentina, piensa Ferrero, “a medida que los marcos regulatorios se hicieron sólidos fueron necesarias más inversiones”.

    Actividades bajo la lupa

    De igual magnitud que el área financiera, otros sectores también dinámicos están poniendo a resguardo su seguridad informática. “La actividad de la salud, sus prestadores y todo el ecosistema asociado, están próximos a convertirse en fuertes demandantes. Además creo que van a existir más inversiones en la industria con la protección de redes de producción (Scada), y de los Gobiernos, con inversiones en centros cibernéticos para la protección global contra el terrorismo”.
    Pero más allá de estos sectores sensibles, incluso otros, como el de retail, que tocan las vidas del ciudadano común día a día, está creciendo en su protección. “Una estrategia de protección para e-commerce tiene sus bases esenciales en transacciones seguras. Esto implica seguridad en los puntos de inicio y fin de la transacción; seguridad en los nodos intermedios como pueden ser los routers; seguridad de las aplicaciones; certificados digitales de clientes y servidores; trazabilidad de los eventos y protección de la infraestructura contra DDosS”.

    Estos, explica el director de Druidics, son solo los mandatarios, los que se debería tener inevitablemente para empezar a hablar. Pero a partir de ahí hay todo un mundo de coberturas que se pueden agregar para hacer de las transacciones en Internet algo mucho más seguro. Y es negocio: a más seguridad percibida por el consumidor final, más confianza en el sistema y más compras en esos medios digitales, con los ahorros que eso implica.

     

    (…) Sigue en 
    http://www.mercado.com.ar/notas/informe-ii-%7C-seguridad-informtica/8017562/internet-de-las-amenazas

     

    (*) La totalidad de las entrevistas fueron realizadas por Florencia Pulla.