9/03/2010

La nube, próxima frontera de la seguridad

La repercusión del golpe policial asestado en España contra el trío de delincuentes internautas que explotaba el ya famoso bot Mariposa llegó hasta San Francisco, ciudad donde ese mismo día se reunía la RSA Conference, tradicional encuentro anual de los especialistas en seguridad informática. Y llegó muy a tiempo, porque uno de los temas centrales de la conferencia de este año ha sido, precisamente, la cooperación internacional en el combate contra el malware Pero sin duda el tema estrella del encuentro fue la epifanía del cloud computing visto desde la óptica de los viejos y nuevos problemas de seguridad que plantea.

Inevitablemente, los servicios en la nube serán adoptados por las empresas, en virtud de los beneficios financieros que aportan, sostuvo en su ponencia Art Coviello, presidente de RSA, la empresa que organiza la conferencia desde 1991. Pero – dijo – en la nube hay un gran agujero de desconfianza. Su compañía anunció un acuerdo con Intel y VMware para dotar a los clientes de servicios de infraestructura de métricas que permitirán auditar el cumplimiento de los requisitos y estándares. Coviello dio cierta solemnidad a sus palabras inaugurales: “Es la primera vez que la industria ha empezado a trabajar sobre los problemas de seguridad antes de que una tecnología se convierta en algo corriente”.

Por su lado, la Cloud Security Alliance (CSA), con una impresionante lista de miembros en la industria, presentó un informe inquietante  en el que se enuncian las diez vulnerabilidades principales del cloud computing, incluyendo casos documentados de uso de infraestructuras como plataforma para la distribución de botnets. La recomendación explícita de los autores es que se necesita reforzar la autenticación en el acceso y la encriptación en la transmisión. Y esto, dicho en una conferencia que este año fue puesta bajo la advocación de la piedra Roseta. El representante de Cisco – uno de los patrocinadores de la CSA – puso la guinda con una doble pregunta retórica: “¿es segura la nube? y ¿con qué la comparamos?

Las estadísticas indican que el malware sigue acechando  y las evidencias – como el caso Mariposa – dicen que las redes son atacadas cotidianamente por la delincuencia organizada: tarjetas de crédito, registros de transacciones, identidades personales, etcétera, son obtenidas por intrusos sin que la diferencia recaiga en que se trate de infraestructuras internas, de redes privadas gestionadas o de redes públicas suministradas por terceros. Se reconoce que hasta ahora, la tolerancia de las víctimas individuales – y su discreción – ha podido explicarse porque alguien, para evitar daños mayores en su imagen, se ha hecho cargo de los perjuicios. Pero cuanto más interconectadas están las redes – piénsese en las historias clínicas o en los registros de compras – más difusas serán las responsabilidades y menos aceptable que estas cosas sigan ocurriendo.

Es aquí donde aparecen dos asuntos. Uno es un clásico que repite año tras año, la necesidad de acentuar la cooperación internacional. Había curiosidad por saber qué contaría de nuevo Howard Schmidt, el asesor de ciberseguridad nombrado recientemente por Barack Obama. Aparte de comunicar una actualización “que podrán consultar dentro de quince minutos” de las directrices vigentes desde 2008, Schmist se limitó a reciclar una prioridad: el desarrollo de las relaciones con organismos similares de otros países. A su regreso a España, Juan Santana, consejero delegado de Panda, ha comentado que “poco podría hacerse luchando contra la ciberdelincuencia a escala nacional, sin armonizar la legislación y asegurarse que los ciberdelincuentes van a la cárcel, pero también tengo que decir que hay un alto grado de intercambio de información dentro de la industria, que trabajamos en común sin menoscabo de la competencia”.

La nota singular de la conferencia fue aportada por Scott Charney, vicepresidente a cargo del Trustworthy Computing Group de Microsoft, quien sugirió que el combate contra el malware debería financiarse mediante una tasa sobre el uso de Internet: “hay muchas maneras de combatirlo, de depurar los PC infectados y de desactivar las botnets, pero parece que nadie quiere pagar la factura. ¿Por qué no lo tratamos como un asunto de salud pública?” Como el propio Charney suponía, la idea no fue bien recibida, pero abrió una brecha: “un impuesto sería impopular, pero al final, de un modo u otro, los usuarios acabarán pagando”.


Contacto Suscríbete RSS


Sobre el autor. Copyright © 2024 El dominio norbertogallego.com es propiedad y está administrado por Diandro SL. B85905537. Creative Commons