El universo digital crece, y con él crece la ciberdelincuencia. Redes sociales, cloud computing y proliferación de móviles en las empresas son las nuevas fuentes de inspiración de los ataques contra los sistemas de las empresas. ¿Es posible ganar esta carrera en la que ´los malos` tienen, fatalmente, la iniciativa?, ¿son eficaces los métodos convencionales de defensa?, ¿existen técnicas altenativas de protección? De esto trató la conversación con Josyula Rao, especialista en criptografía que dirige un grupo de 70 investigadores, entre los 3.500 que IBM tiene trabajando en once laboratorios alrededor del mundo. El resumen de su punto de vista podría ser: “la vulnerabilidad cero es ilusoria”.
Josyula Rao
En el mercado se ofrecen continuamente nuevas soluciones de seguridad, pero los problemas parece que se agravan. Ya no se trata de virus que siguen una pauta más o menos convencional, y episodios como el de Stuxnet muestra que los efectos pueden ser letales. Como investigador, ¿cuál es su visión?
No le sorprenda si trazo un símil con una carrera armamentística entre potencias. Está a la vista que los atacantes desarrollan constantemente técnicas más sofisticadas, y las defensas necesariamente han de adaptarse para no perder capacidad de respuesta. Esta es una regla de la guerra contra la ciberdelincuencia. En este caso, las defensas no consiguen anticiparse para neutralizar a los atacantes, o no a todos, y basta que uno se cuele para que haga mucho daño. Durante años hemos vivido con la noción de que para una empresa era suficiente rodearse de un perímetro de seguridad, con soluciones como los firewalls e, internamente, instalar antivirus para evitar usos no deseados […] A medida que los ataques se han perfeccionado, sus métodos son menos predecibles, y la mayor parte de los controles que conocemos se han quedado desfasados.
¿Cómo combatirlos, si las defensas son obsoletas?
Ahí está el asunto. En que no pueden ser combatidos con antivirus y otras fórmulas convencionales. Si queremos pillar a un atacante, tenemos que saber algo sobre él. Así como en las comisarías hay carteles con retratos de delincuentes buscados, deberíamos ser capaces de conocer la apariencia bajo la cual va a presentarse nuestro enemigo, pero no somos capaces. En mi opinión, la idea de una ´vulnerabilidad cero` es ilusoria.
[…] pero no hay rendición posible.
Los ataques suben de nivel. Nosotros, en IBM, también tratamos de elevar la eficacia de las técnicas y los productos y servicios que puedan captar y detectar esos ataques. Con este fin, el año pasado la compañía creó un grupo de seguridad dentro de su división de software. Todo gira en torno al concepto de inteligencia, en cómo somos capaces de detectar los puntos débiles dentro de las organizaciones.
Lo que dice sugiere que hay que concentrar las prioridades, en lugar de pretender respuestas universales.
Nosotros, en nuestro laboratorio, no desarrollamos productos, sino que procuramos elevar el conocimiento de las técnicas que van a permitir el desarrollo de productos y servicios para mejorar la seguridad. La prioridad, tanto para la compañía como para el laboratorio, es tratar de adelantarnos al adversario. Y esto implica disponer de métodos para detectar ataques, además de seguir construyendo barreras eficaces. Entre nosotros solemos decir que hay demasiadas cosas que proteger; la mayoría de las empresas han desplegado sistemas que cuentan con un alto nivel de controles, y los mejoran continuamente, pero sus activos más valiosos siguen siendo vulnerables. Por lo tanto, creemos que hay que empezar por identificar los puntos críticos: mi portátil está protegido, desde luego, pero lo que alguien pudiera encontrar en él no es tan crítico como la base de datos en la que mi compañía aloja los datos sobre sus clientes.
Parece que los puntos de acceso tienden a ser infinitos. Por tanto, ¿el problema está en la propia naturaleza de los sistemas informáticos?
Está en todas partes. Cuando se escribe software o cuando se configura un sistema, uno acepta que los errores son algo normal. Pero una empresa tiene que estar protegida al 100%, no puede tolerar errores, por una simple razón: para que un ataque tenga éxito, basta con acertar una vez. Con esta asimetría convivimos, soportando infecciones y ataques debidos a nuestros errores humanos; cuando los ataques tocan sistemas críticos, como ha pasado últimamente, no son soportables, porque algo vital deja de funcionar. Es verdad que cuando tenemos cientos de firewalls, probablemente hay miles de puntos de acceso y por tanto hay muchísimos procesos que chequear para que esos puntos soporten niveles adecuados de seguridad. Un firewall no es otra cosa que un conjunto de reglas, y hay productos que suministran esa solución, nosotros también los tenemos. Pero el problema es que un solo error, uno solo, puede abrir una avenida por la que penetre un atacante. Lo que no podemos hacer es cerrar la empresa por miedo a sufrir un ataque. Por eso proponemos concentrar nuestras fuerzas en determinar cuáles son los activos críticos, para protegerlos prioritariamente, y luego dedicarnos al resto de los activos de la empresa.
Las propuestas habituales van desde el firewall hasta el análisis holístico, ¿cuál es la suya?
Esas también son nuestras. Todo depende del escenario particular que se trata de proteger. Por su propia naturaleza, la seguridad no es sólo de extremo a extremo. Quiero decir que hace falta seguridad a nivel del usuario, de la aplicación, del hardware… Ahora bien, esos niveles ¿tienen que estar integrados? No, no para todas las aplicaciones. Por ejemplo, muchos de los ataques que vemos actualmente, se producen en el nivel superior del stack, y explotan fallos en las aplicaciones, o bien cierta vulnerabilidad desconocida en el sistema operativo. Pero los ataques también se están produciendo a nivel del hipervisor, o del hardware; no tantos sucesos como los que vemos al nivel más alto, pero pueden llegar a ser muy sofisticados. Tome el caso de Stuxnet, ya que lo ha mencionado: es un ejemplo de ataque a bajo nivel que puede ser muy dañino, y lo ha sido. ¿Debemos concluir que todos los sistemas comerciales tienen que tener la seguridad embebida en el hardware y conectada de arriba abajo? Puede no ser así, depende de cuánta seguridad se necesite y de la magnitud del riesgo en que se incurre. Por eso pensamos que la seguridad es, en definitiva, una gestión de riesgos: de cuánto es el riesgo, y cuánto estamos dispuestos a invertir para protegernos contra él; de cuánto estamos dispuestos a aceptar, de en qué punto el coste es demasiado alto o cuándo la probabilidad de un ataque es demasiado pequeña.
Es un enfoque diferente […]
A la hora de la verdad, el punto débil es el ser humano; por eso se necesita gestión y se necesitan políticas. Porque los atacantes buscan siempre ese punto débil.
¿Qué hace exactamente su laboratorio?
Nuestra organización tiene once laboratorios, desde el de Nueva York, el central, hasta el de Kenia, el más reciente. En total, 3.500 investigadores, de los que 70 nos dedicamos a seguridad, primariamente en Nueva York y Zurich, con asociados en Japón, China, India e Israel. Trabajamos en varias áreas, para poder observar los fenómenos desde distintas direcciones. Las cinco en las que estoy implicado son: una relacionada con lo que llamamos activos de alto valor; otra en torno a analytics y cómo alinear esta disciplina con la mejor detección de ataques; la tercera tiene que ver con el hardware, los sistemas y la seguridad cloud; una cuarta esfera es la seguridad móvil y los nuevos problemas que plantea; por último, tenemos un grupo de trabajo bastante célebre sobre criptografía. En común con mis colegas de Zurich, trabajamos en cuestiones de privacidad, por la obvia razón de que las tecnologías que mejoren la privacidad van a ser cada vez más importantes, e influirán sobre el nivel general de seguridad.
¿Algún logro que le plazca destacar?
Tenemos varios. Por ejemplo, la seguridad de ciertos clientes de IBM se ha mejorado gracias a un hallazgo científico llamado criptografía homofónica, que ha permitido resolver problemas que estuvieron abiertos durante más de 30 años. Para no extenderme, en general tratamos de seguir una agenda balanceada entre lo que es necesario para mejorar los productos y servicios de la compañía, y aquello que realmente mira al futuro y que probablemente no arrojará resultados tangibles antes de 10 ó 15 años.
¿Y alguno que se haya trasladado a la oferta de IBM?
Habría numerosos ejemplos de tecnologías que en el laboratorio hemos desarrollado para IBM, a distintos niveles: hardware, hipervisor, sistema operativo, middleware, aplicaciones. Están a disposición de los clientes, y algunas se han convertido en estándar. Una de las más conocidas es IPSec, que se usa cotidianamente cada vez que un empleado se conecta desde una ubicación remota con su empresa… lo hemos hecho nosotros.