El campo de batalla en el ciberespacio guarda una asimetría mayor a la que se observa en los conflictos físicos. Como si fuera un mantra de la ciberseguridad, quienes protegen las redes, la infraestructura y las aplicaciones digitales están conscientes de que mientras que ellos cargan con la responsabilidad de cuidar todos y cada uno de los puntos de acceso a éstas, los ciberatacantes sólo tienen que encontrar una pequeña debilidad, una rendija minúscula, por la que penetrar, para afectar los sistemas de una compañía, una instalación crítica o un Estado.
Esta asimetría es la tendencia más clara para los especialistas en ciberseguridad israelíes, una tendencia que se ha mantenido desde la aparición de los primeros virus informáticos, que afectaban directamente los dispositivos de los usuarios finales y contra los que se crearon los primeros antivirus, hasta las Amenazas Persistentes Avanzadas (APT) o los llamados ataques polimórficos, cuyos movimientos parecen tener vida propia y contra los que se ha desarrollado complejos modelos de análisis de comportamiento que sin embargo presentan aún muchas deficiencias.
Una de las afirmaciones que más llamó mi atención durante la cobertura que realicé a la novena Conferencia Internacional de Ciberseguridad (Cyber Week 2019), que se llevó a cabo en Tel Aviv, Israel, en la semana del 24 al 28 de junio, fue que estamos entrando a una época en la que esta asimetría entre defensores y atacantes del ciberespacio se está ampliando de forma exponencial hacia el lado de los atacantes, y la inteligencia artificial sumada a una mayor cantidad de dispositivos conectados a la red parecen ser la principal causa de esta inclinación extrema.
Inteligencia artificial e IoT
Los modelos de análisis de comportamiento de amenazas han utilizado herramientas de inteligencia artificial, como el aprendizaje automático, desde hace al menos 10 años. Una vez que han sido entrenadas, la capacidad de las computadoras para detectar anomalías en el tráfico de una red o movimientos sospechosos en un dispositivo son mucho mayores a las de cualquier ser humano. Un fragmento de código poco confiable basta para que salten las alarmas y los riesgos de sufrir un ataque puedan reducirse al mínimo posible.
Pero, ¿qué sucede cuando son los atacantes quienes utilizan estas herramientas para descifrar el comportamiento de una solución de ciberseguridad automatizada? Y ¿qué pasa cuando se utilizan para encontrar vulnerabilidades en un sistema? De acuerdo con Menny Barzilay, director de Tecnología del Centro Interdisciplinario de Investigación en Ciberseguridad de la Universidad de Tel Aviv, el uso de inteligencia artificial por parte de los ciberatacantes hace que la industria de la ciberseguridad sea prácticamente obsoleta.
Si de por sí ya era difícil proteger cada puerto de entrada de un sistema informático, una búsqueda automatizada por parte de los atacantes parece significar una avalancha que cae en contra de los ciberdefensores de la cual será muy difícil escapar.
Malware en código abierto
El aprendizaje de las máquinas no es el único enemigo a vencer. La ingeniería social, que ha sido utilizada como un elemento habitual para penetrar en los sistemas informáticos, también juega un papel fundamental en la asimetría de la batalla en el ciberespacio. El phishing ha sido la más básica y al mismo tiempo más efectiva de estas técnicas de ingeniería social que buscan engañar al eslabón más débil de la cadena, el ser humano, para que sea él mismo el que abra la puerta a los ciberatacantes. Y aunque la tasa de éxito de este tipo de estafas se ha reducido en los últimos años, aún siguen cosechando éxitos, además de que han permitido que la ingeniería social siga buscando nuevas formas de engañar, incluso de forma masiva.
La adopción del llamado código abierto por parte de todo tipo de compañías tecnológicas y no tecnológicas es otro de los problemas que fueron mas frecuentemente mencionados por los asistentes a Cyber Week. Un cibercriminal puede fácilmente hacerse pasar por editor de una aplicación de código abierto y, con la misma facilidad, insertar piezas de malware dentro del código de la aplicación, que después se dispersará en los sistemas de compañías que usan dichas aplicaciones, ya sea para fabricar sus productos o para ofrecer sus servicios. En ambos casos, las líneas de código malicioso pueden incluso llegar a los dispositivos del usuario final.
Está nueva metodología de ataque ya no sólo supone engañar a los usuarios finales de los dispositivos digitales, que en la mayoría de los casos somos ignorantes de los riesgos que implica la conectividad. Desarrolladores, ingenieros y especialistas en ciberseguridad caen como moscas en este tipo de fraude de programación que abarca a toda la cadena de producción de software.
Una internet segura
El crecimiento de la asimetría en la defensa del ciberespacio gracias a la inteligencia artificial y a la efectividad de la ingeniería social ha hecho que se planteen soluciones radicales, entre las que destaca la creación de una nueva internet segura.
La Internet tal y como la conocemos, es decir como el conjunto de redes interconectadas de acuerdo con protocolos que permiten la transmisión de información de manera anónima y sin restricciones, es muy poco segura, de acuerdo con la mayoría de los especialistas en ciberseguridad. La red de redes no fue creada pensando en las posibles violaciones a los sistemas, que tienen la capacidad de ocasionar incluso la muerte de personas si estos sistemas están vinculados a recursos estratégicos de un país como la electricidad o el agua.
La creación de una Internet segura ha tendió resonancia al grado de que Estados nación como Rusia y China han comenzado a implementar esta idea. Para los ciberdefensores sería mucho más sencillo proteger una red que no fuera anónima a irrestricta, es decir que requiera de algún tipo de identificación y que establezca límites a las conexiones entre los usuarios, según el tipo de información que desean comunicar o según su contenido.
El propio Barzilay ha planteado, en un artículo publicado en TechCrunch hace tres años, la creación de una Red Global Alternativa (AGN, por su sigla en inglés) que no esté basada en el protocolo de control de transmisión / protocolo de internet (TCP/IP) cuyas principales características sean que no requiera herramientas de seguridad, que permita la virtualización de la red y que, por diseño, requiera la identificación de los usuarios.
La duda que han planteado organizaciones como la Internet Society, que se ha manifestado abiertamente en contra de la creación de una Internet alternativa, se resume básicamente en que esta red carecería de los elementos básicos de libertad y anonimidad de la actual internet que son incluso cada vez más escasos con plataformas como Google y Facebook, que Barzilay pone constantemente como ejemplo en su artículo.
Con esta propuesta de solución a la asimetría entre ciberataque y ciberdefensa, surge una nueva asimetría que se enfrenta directamente a la primera. La asimetría entre la ciberseguridad y la privacidad, que aunque actualmente no es tan extrema, cede cada vez más terreno hacia el lado de una seguridad a la que no le interesa en lo más mínimo la privacidad de los usuarios y que suele justificarse con el refrán: “el que nada debe, nada teme”.
Fuente: El Economista