Principales tendencias de TI en 2018 en ciberseguridad

Matthew Gyde, ejecutivo de Ciberseguridad del Grupo Dimension Data, comparte su opinión sobre las principales tendencias de ciberseguridad para 2018.

Tendencia 1: reaparece la seguridad de «confianza cero»

En 2018, se espera que nos podamos encontrar con un importante contratiempo en la industria de la ciberseguridad. Las organizaciones gastan millones —y, en algunos casos, cientos de millones de dólares— en tecnologías dirigidas a reafirmar su posición en materia de ciberseguridad. Pero de nada les sirve, ya que los ataques son cada vez más sofisticados. Los ciberdelincuentes disponen de los mismos fondos, si no más, para invertir en el desarrollo de nuevos ataques que las empresas que constituyen su objetivo tienen para gastar en defensa.

Como resultado, el próximo año, seremos testigos de la reaparición del modelo de seguridad de «confianza cero». Con este enfoque, el equipo de TI adopta una mentalidad de «no confiamos en nadie» y, únicamente mediante el permiso explícito a los usuarios de acceso a los sistemas, puede establecerse la confianza.

Hace una década, el enfoque de «confianza cero» implicaba que el equipo de TI simplemente prohibía a las personas el uso de aplicaciones y dispositivos publicados no corporativos. No obstante, el modelo de «confianza cero» más actual se ajustará a las preferencias personales de los usuarios, aunque esto supone que se implementarán medidas de autenticación más estrictas que requerirán que los usuarios verifiquen su identidad a través de varios niveles de credenciales. Los sistemas empresariales autenticarán rigurosamente si los usuarios tienen realmente derecho a acceder a conjuntos de datos específicos antes de ponerlos a su disposición.

Algunas personas podrían cuestionar si el enfoque de «confianza cero» dará lugar a obstáculos y retrasos en la realización de las tareas. La respuesta es no: si ejecuta un sistema basado en la nube, el proceso de autenticación y verificación será casi instantáneo, por lo que no se verá afectada la productividad del personal.

Tendencia 2: las tecnologías de defensa se convierten en los facilitadores de seguridad del Internet de las Cosas y de la tecnología de operaciones

Vemos con mayor frecuencia cómo la tecnología de operaciones (OT, por sus siglas en inglés) permite el Internet de las Cosas (IoT, por sus siglas en inglés) en sectores como, por ejemplo, la automoción y la fabricación. Los beneficios resultan muy atractivos: las organizaciones pueden supervisar atentamente el estado de sus equipos, lo que da lugar a una mayor productividad, una mejor seguridad, un ahorro de costes y la capacidad para llevar a cabo un mantenimiento preventivo.

Sin embargo, esto también viene acompañado de un elemento de riesgo, puesto que los sensores incorporados a los dispositivos de OT están permitiendo una nueva forma de ciberataque. Durante el último año, el sector ha estado buscando formas de defenderse contra estos ataques, pero no es una tarea sencilla: la mayoría de los fabricantes no contempla la seguridad en la fase de desarrollo de sus productos. Además, los sensores suelen ser dispositivos ligeros con una capacidad de almacenamiento mínima que hace que resulte inviable insertar chips de encriptación.

En 2018, preveo que las tecnologías de engaño desempeñarán un papel significativo en garantizar que se mantenga la seguridad en la arquitectura del sistema de control de supervisión y adquisición de datos (SCADA, por sus siglas en inglés), así como en las tecnologías operativas y en una infraestructura de IoT más amplia.

Muchos ciberataques se inician cuando los ciberdelincuentes penetran con éxito el cortafuegos perimetral de la organización. Una vez que han accedido a la red, empiezan a moverse lateralmente, buscando identidades de usuarios que les permitirán asumir el control de diferentes dispositivos. A menudo, estos ciberdelincuentes pasan desapercibidos durante meses mientras roban datos confidenciales y propiedad intelectual.

Las tecnologías de engaño introducen miles de credenciales falsas en la red de una organización, lo que hace que sea matemáticamente imposible que los ciberdelincuentes puedan obtener acceso a un conjunto legítimo de identidades de usuarios. Además, una vez que un ciberdelincuente ha utilizado una credencial falsa generada por las tecnologías de engaño, el equipo de operaciones de seguridad recibirá una alerta de que un usuario no autorizado está merodeando por la red, por lo que pueden iniciar de inmediato una respuesta ante incidentes.

Las tecnologías de engaño también permiten a las organizaciones determinar de forma exacta cómo los ciberdelincuentes han obtenido acceso a la red y analizar su posterior patrón de ataque.

Tendencia 3: el análisis de la conducta y la inteligencia artificial requieren una revisión de la identidad

El año pasado, presenciamos cómo un mayor número de organizaciones aprovechaban la potencia de la inteligencia artificial y del aprendizaje automático para reforzar su defensa en materia de ciberseguridad. Sin embargo, hasta el momento, se siguen enfrentando a limitaciones: el programador automático debe seguir incorporando algoritmos en el equipo que le indiquen los tipos de actividades maliciosas o software malintencionado que debe buscar.

Gracias a una técnica denominada «aprendizaje profundo», veremos materializarse un cambio en 2018.

El aprendizaje profundo permite que, en lugar de proporcionar los algoritmos al equipo, este los aprenda por sí mismo. El potencial de esta tecnología quedó demostrado recientemente cuando Google tomó la decisión de desactivar su conjunto de herramientas de aprendizaje automático, ya que, a través del aprendizaje profundo, los equipos se instruían a sí mismos de forma autodidacta hasta el punto de empezar a crear un nuevo lenguaje que los desarrolladores de sistemas no lograban entender.

En los próximos 12 meses, veremos cómo el aprendizaje profundo nos permite llevar el análisis de la conducta a un nuevo nivel. Los equipos empezarán a realizar análisis muy exhaustivos de las actividades de los usuarios: por ejemplo, podrán detectar que, todas las mañanas, inicio sesión en la red en un determinado momento, compruebo el correo electrónico y, a continuación, accedo a un sitio web concreto para leer las noticias. Después, normalmente, inicio algunas sesiones de FaceTime con miembros de mi equipo, y así sucesivamente.

Al analizar mi comportamiento durante un período de tiempo, los equipos podrán predecir si la persona que intenta acceder a mis datos o aplicaciones soy realmente yo.

Esta solución proporciona a las organizaciones un nivel adicional de defensa más allá de los métodos de autenticación estándar.

En 2018, espero ver cómo un mayor número de proveedores de seguridad empiezan a integrar la inteligencia artificial en sus productos para mejorar su capacidad de detección de ciberamenazas de esta forma.

Tendencia 4: los «cazadores de robots» son la nueva norma

La mayoría de los expertos en ciberseguridad coincide en que es fundamental disponer de acceso a la inteligencia de amenazas sobre los últimos tipos de ataques y tácticas. No obstante, la inteligencia por sí sola no resulta suficiente, y las organizaciones deben «derribar al enemigo» de forma proactiva.

En 2018, empezaremos a ver en la empresa los equipos que mi colega Mark Thomas, estratega del Grupo de Ciberseguridad de Dimension Data, ha denominado cazadores de robots».

Fundamentalmente, los «cazadores de robots» son buscadores de amenazas automatizados que pueden tomar decisiones en nombre de los seres humanos. Accionados por la inteligencia artificial, examinan continuamente el entorno de una organización para buscar cualquier cambio que pueda indicar una potencial amenaza.

Aprenden de los descubrimientos que realizan y, a continuación, toman las medidas adecuadas como, por ejemplo, aislar un paquete defectuoso o un dispositivo comprometido.

Creo que el aumento de los «cazadores de robots» permitirá que aumenten las empresas que pasen de una posición en materia de seguridad proactiva a una postura predictiva. Muchos de nuestros clientes han invertido en funciones y personal de búsqueda de amenazas, y Dimension Data ya ofrece esta tecnología como uno de sus servicios. Las organizaciones que encabezan estos esfuerzos empiezan a analizar formas de automatizar los ciclos de «caza de amenazas» y están llevando a cabo análisis retrospectivos para identificar patrones en ataques pasados.

Tendencia 5: la tecnología de cadena de bloques es el factor transformador

Las oportunidades y las aplicaciones de la tecnología de cadena de bloques en el mundo de la ciberseguridad están solo emergiendo.

La cadena de bloques permite la creación y la distribución de un libro de contabilidad digital de transacciones entre los participantes a través de una red de ordenadores distribuida. El sistema tiene un alto grado de accesibilidad y transparencia para todos los participantes, ya que todas las transacciones son visibles públicamente.

Esto significa que las empresas pueden convertir la cadena de bloques en «visible a nivel corporativo» en su organización para poder ver todas las transacciones que tienen lugar entre dos personas, dos datos o dos equipos, lo que permite que las empresas creen un historial exhaustivo de todas las transacciones que se producen. Creo que esto tiene enormes posibilidades de permitir que las organizaciones impulsen su defensa en las áreas de la identidad y autenticación de usuarios, así como en la gestión del acceso.

Por ejemplo, cuando un empleado de larga duración intente acceder a un sistema corporativo específico, la tecnología de cadena de bloques reconocerá que ha iniciado sesión con anterioridad y considerará que es fiable, otorgándole así el acceso solicitado.

Sin embargo, si el Departamento de Marketing incorpora a un nuevo contratista para ayudarle con un proyecto, la primera vez que esta persona intente iniciar sesión en la red, el sistema contable de cadena de bloques detectará que nunca ha interactuado previamente con el usuario ni con su dispositivo. La cadena de bloques también sabrá si un usuario existente intenta acceder a un archivo o a un conjunto de datos en particular a los que no ha accedido con anterioridad, o si intenta iniciar sesión en la red desde una ubicación desconocida.