Los atacantes no cejan, las defensas flaquean. Las metáforas bélicas son inevitables cuando se trata de ciberseguridad. Astro Teller, responsable de la filial X, que agrupa los proyectos más innovadores de Alphabet, advierte del riesgo de caer en la complacencia ante la fatalidad de las amenazas. Una actitud que Teller describe como «el momento ya ya» pero que «no se resolverá dejando pasar el tiempo. El comentario de Teller viene a cuento de la salida a la luz de Chronicle, empresa engendrada e incubada dentro de X. Lo poco que se sabe de sus intenciones lo ha escrito su progenitor, Stephen Gillet, antiguo COO de Symantec fichado en 2015 por Google como «ejecutivo residente».
Gillet acaba de reaparecer como CEO de Chronicle [extraño nombre, tal vez provisional, para una empresa de seguridad]. Su texto no es muy explícito – tampoco lo es el de su padrino Teller – sobre cómo piensa diferenciarse de la larga lista de empresas que ofrecen servicios de seguridad, pero niega cualquier parecido con lo que se ofrece actualmente en el mercado, no vaya a entenderse que pretende ocupar espacios ajenos. Pero deja caer esta promesa: «multiplicar por diez la velocidad y el impacto de los equipos haciendo más fácil, rápido y eficiente detectar y analizar las señales de riesgo, que hasta ahora han sido muy difíciles y costosas de identificar».
En apariencia, no se trata de algo muy distinto de lo que prometen otras compañías del ramo, con la salvedad de que Alphabet cuenta con dos ventajas esenciales: una infraestructura sin parangón y algunos de los mejores especialistas en inteligencia artificial. ¿Para qué le valen? Desde luego, no para repetir la experiencia de los antivirus y cortafuegos que no han conseguido impedir catastróficos ataques contra empresas a las que – en principio – no les faltaban defensas. Por no hablar del despiste ante la erupción de WannaCry.
La idea matriz parece ser la creación de un «sistema inmune» proactivo, que facilite la predicción de los ataques, en vez de reaccionar cuando el daño ya está hecho. Toda empresa de cierto tamaño recibe diariamente cientos o miles de alertas, más de las que son capaces de filtrar. Uno de los problemas, según Gillet, consiste en que el análisis de las innumerables amenazas es extraordinariamente costoso por la necesidad de almacenar y tratar ingentes cantidades de datos, lo que hace que una intrusión pueda perdurar escondida durante meses antes de ser detectada.
Por consiguiente, uno de los objetivos de Chronicle sería reducir drásticamente el número de falsos positivos, una consecuencia perversa de la coexistencia de múltiples productos de seguridad en el seno de una misma organización. Estos consumen recursos e impiden concentrarse en las amenazas reales. Chronicle ya está trabajando en pruebas piloto de su plataforma de inteligencia con algunas grandes corporaciones de Estados Unidos.
Entre los activos que inicialmente incorpora Chronicle se encuentra VirusTotal, empresa malagueña adquirida por Google en 2012 e integrada luego en el holding Alphabet. VirusTotal es un servicio gratuito que analiza archivos y URLs sospechosas enviadas por los usuarios. No pretende competir en el mercado de los antivirus sino que funciona como un agregador de las decenas existentes en el mercado, con los que comparte los resultados de sus hallazgos. Al parecer, VirusTotal – que seguirá operando como marca propia – recibe cada día un millón de consultas.
La voluntad de ofrecer soluciones proactivas en lugar de reactivas no es una postura nueva en el mercado de la ciberseguridad. Lo que hace creíble su oferta es su conexión con la infraestructura y el talento que alberga Google.
El nacimiento de Chronicle pasa a engrosar la familia de Alphabet de una manera peculiar. Llega en un momento en que el mercado de las TI migra desde el datacenter y los servidores locales hacia la nube. Aunque no se diga así, sus funciones parecen encaminadas a complementar la oferta cloud de Google. Desde esta óptica, supone otra constatación de que los grandes proveedores de servicios cloud – y Google sería el tercero en el ranking – quieren encargarse de la seguridad en los entornos híbridos que intercambian cargas de trabajo (que pueden llevar embebido software malicioso) con las plataformas de nube pública.
La compañía de Mountain View piensa – el mismo razonamiento hacen Microsoft y Amazon – que en esa transición hacia la nube puede proteger mejor la información que las compañías especializadas en ciberseguridad. No es que se proponga competir con estas, pero tampoco está dispuesta a dejar en manos de terceros una cuestión tan sensible. Aunque siempre está por medio una cuestión de valor añadido: contar con una protección más eficiente, puede ser un elemento importante en la oferta articulada por Google Cloud Platform.
Lo hará con suma prudencia, para evitar el revuelo entre los competidores del mercado de seguridad, que mueve miles de millones de dólares en sus diferentes categorías. Alphabet no querrá verse en una situación parecida a la que vivió Microsoft hace años, cuando decidió proteger Windows con sus propias herramientas y fue acusada de competencia desleal por las compañías de antivirus.
Aun así, la tendencia está lanzada. Google no es una excepción, y lo sabe. Microsoft dispone de herramientas propias para detectar y neutralizar amenazas en Office 365, así como de Azure Security Center, que centraliza la gestión de seguridad de su nube pública. De hecho, sigue adquiriendo pequeñas empresas de seguridad orientadas a esos entornos, la última de ellas Hexadite, en enero.
Una crítica que se hacen a Amazon Web Services es que sus herramientas de seguridad están deslavazadas. Para corregirlo, AWS confía en Sqrrl, su reciente adquisición destinada a integrarse en GuardDuty, servicio de detección y respuesta contra incidentes anunciado el pasado noviembre. Vinculada por su origen a la NSA, Sqrrl supuestamente proporciona ´respuestas avanzadas` una vez identificadas las amenazas. Otra compra reciente, Harvest.ai contribuye a cubrir con machine learning las tareas de reconocimiento de tráfico sensible en la plataforma de almacenamiento S3.
Al fin de cuentas, de lo que se trata – aunque Gillet se abstiene de decirlo – es de aprovechar las ventajas inherentes a la condición de proveedor cloud, que conoce al dedillo el tráfico y el comportamiento de los usuarios, para detectar posibles brechas. A medio plazo, la cibersguridad se va transformando en ciberinteligencia, como ha demostrado la experiencia de Cisco con su plataforma Talos. Al software antimalware convencional se le achicará el espacio.
[informe de Pablo G. Bejerano]