El sector de la seguridad necesita una nueva visión para superar los desafíos actuales y futuros

“La omnipresencia de dispositivos y de conexiones, el comportamiento de los usuarios, el inadecuado diseño y preparación de la seguridad, y la nube, han convertido los problema de seguridad de la información en noticia de actualidad a nivel mundial”: Vincent Weafer.


Por:
Vincent Weafer.

Vicepresidente primero de McAfee Labs.

 

Santa Clara, California (USA).

Las empresas grandes y pequeñas, los usuarios y las instituciones públicas están más conectados que nunca a través de la tecnología, que permite nivelar las desigualdades y distribuir el poder. Pero disponer de mucho poder también trae consigo grandes niveles de responsabilidad. Las interconexiones entre sistemas, usuarios y tecnologías no han sido nunca tan numerosas, lo que ha elevado enormemente las preocupaciones asociadas a la seguridad, los datos y la privacidad.

La seguridad ha dejado de ser un problema exclusivo de hosts y de redes. Tampoco es un problema exclusivo de la informática en la nube (basada en Internet). Los problemas de la seguridad de la información tienen a partir de ahora carácter sistémico. La inseguridad tiene su origen en la naturaleza misma de las muchas conexiones omnipresentes de nuestros sistemas (ya sean locales, móviles, en la nube u otras), así como en los comportamientos de las diversas categorías de usuarios.


Chris Roberts, fundador y principal experto de One World Labs, explica que la tecnología actual, de accesibilidad casi total, es extraordinariamente complicada, al tiempo que la seguridad es inadecuada, con las personas como eslabón más débil de la cadena. Tecnologías prácticas como el acceso inalámbrico gratuito y Bluetooth, asociadas a contraseñas débiles, generan de manera conjunta problemas sistémicos que nos ponen en riesgo. Roberts nos recuerda que necesitamos una mejor integración de la seguridad durante la etapa de desarrollo del software, mejor formación para empleados y usuarios, y procedimientos generales más adaptados.

Jayson Street, autor de Dissecting the Hack (La piratería bajo lupa), sostiene que confiamos demasiado en la tecnología para proteger nuestros datos. Hace un llamamiento a favor de una mejor formación, de la estimulación de lo que llama «sistemas humanos de prevención de intrusiones«, si queremos mejorar de manera importante la inseguridad sistemática. Tiene la firme convicción de que un personal bien formado será mucho menos vulnerable a los ataques de ingeniería social.



Los ciberdelincuentes encuentran en los dispositivos móviles la nueva gallina de los huevos de oro.

Jimmy Shah, uno de los investigadores de amenazas móviles más experimentados de McAfee Labs, se refiere a las fugas de datos confidenciales en los dispositivos móviles y las amenazas futuras. Los terminales móviles contienen información de identificación personal y datos empresariales, que debemos proteger de forma más eficaz. Los dispositivos móviles no solo se limitan a los teléfonos móviles; las tabletas y dispositivos incrustados también podrían ser vulnerables. ¿Y si un coche pudiera ser pirateado?

David Kennedy, creador de Social-Engineer Toolkit, un conjunto de herramientas de ingeniería social y experto en pruebas de penetración, recuerda que infiltrarse en las redes empresariales sigue siendo un juego de niños. Explica que las técnicas de ingeniería social eficaces no tienen ninguna dificultad en eludir sistemas de seguridad complejos, que demuestran ser líneas defensivas muy frágiles. ¿Por qué iban los ciberdelincuentes a romperse la cabeza para vencer protecciones de hardware y software potencialmente fuertes cuando es más eficaz engañar a un usuario? Las empresas que prueban sus puntos débiles antes que los ciberdelincuentes acabarán siendo mucho más seguras.


Scott Chasin, Director de tecnologías de seguridad en la nube de McAfee, explica que la informática en la nube cambia completamente el panorama, en tanto en cuanto el perímetro de red ha desaparecido realmente. Esta situación no ha pasado desapercibida entre los ciberdelincuentes, que ya han puesto el punto de mira en la nube como medio para acceder a las empresas. Tal y como explica Chasin, la informática en la nube tiene ventajas, principalmente la reducción de costes de TI a través de su modelo de servicio, pero el desafío se centra en garantizar que estos dispositivos sean a la vez seguros y accesibles.

Vadim Pogulievsky, Jefe de investigación de seguridad de McAfee Labs, comparte sus puntos de vista sobre la prevalencia de los ataques por inyección de SQL y la relativa facilidad con la que se llevan a cabo. Muchas de las grandes brechas de seguridad actuales tienen su origen en ataques por inyección de SQL relativamente simples; una amenaza que, a pesar de su simplicidad, no ha sido bloqueada de una vez por todas. El diseño web inadecuado contribuye en gran medida al éxito de este vector de amenaza. La migración masiva de servicios a la nube podría hacer que los agresores la convirtieran en uno de sus modos de ataque favoritos.


Lecciones del hacktivismo

Davis Marcus, Director de investigación de seguridad de McAfee Labs, a través de ejemplos de actividades hacktivistas recientes y pasadas, nos urge a reexaminar los fundamentos de la seguridad y a cambiar nuestro enfoque. Debemos esperar ser el blanco de ataques. Examinando la historia y aplicando un poco de orden y método, nuestro sector puede aprender algunas lecciones útiles del hacktivismo.

Si el panorama de amenazas ha evolucionado de manera constante a lo largo de los años, nunca lo había hecho con tanta rapidez como en el transcurso de los dos últimos años. La omnipresencia de dispositivos y conexiones, el comportamiento de los usuarios, el inadecuado diseño y preparación de la seguridad, la nube, e incluso la aparente facilidad de los ataques hacktivistas actuales, han sacado los problemas de seguridad de la información de las «salas de máquinas» y los han convertido en noticia de actualidad a nivel mundial. Basta con leer las noticias para comprender que la seguridad ha transcendido mucho más allá de los límites de los ordenadores. Debemos urgir a nuestro sector para que afronte estos nuevos desafíos si queremos proteger lo que particulares y empresas más valoran.

Fuente: High Results.


Compartir:
Mira nuestro histórico de publicaciones:

Tecnología

Innovación Ciencia Investigación

RT

Información especializada de Tecnología, Innovación, Ciencia e Investigación global.