“CYBERNOMICS”: La seguridad cibernética hoy

Publicado el 28 Feb 2014

esq1

“CYBERNOMICS”
La seguridad cibernética hoy
Por Pablo Kulevicius, Director de Seguridad para BlackBerry Latinoamérica.

Si se trata de proteger la infraestructura móvil o de comunicaciones, la seguridad debe estar integrada de extremo a extremo y en todas las capas (hardware, software y red). La mejor protección se obtiene con un enfoque integrado de seguridad, que incluye la encriptación de datos entre ambos extremos.

Durante los últimos meses, ha habido mucha especulación en los medios con respecto a filtraciones de la Agencia de Seguridad Nacional (NSA) de los Estados Unidos y su repercusión en todo el mundo.

Mucho de lo que leemos es digno de una novela de espías, y, en algunos casos, la prensa emite informes sin entender el contenido de los documentos clasificados sobre los que habla.

Los detalles sobre las capacidades del sistema de recopilación de inteligencia de cada gobierno son secretos muy resguardados que tienen un impacto en la seguridad nacional de países de todo el mundo. Cada nación implementa programas para garantizar la seguridad del Estado y de los ciudadanos, y para preservar la integridad del gobierno en sí.

En informes recientes, hubo conjeturas de todo tipo con respecto a la cooperación entre la NSA y varios proveedores de tecnología de los Estados Unidos, y alegatos que hablaban de puertas traseras y otros mecanismos que comprometen la seguridad de sus productos.

Si bien no tengo conocimiento de estas situaciones, quiero hacer algunas aclaraciones basándome en mi experiencia con BlackBerry. Ojalá pueda explicar lo que los consumidores, las empresas y los gobiernos necesitan tener presente cuando escuchan informes sobre las supuestas vulnerabilidades de seguridad.

De extremo a extremo

El principal objetivo de la seguridad y de la encriptación es proteger la confidencialidad y la integridad de una transacción entre los extremos de un sistema. Para usuarios de smartphones, los extremos son el dispositivo y los servicios que operan detrás del firewall de la empresa.
 
Tras años de pruebas y experiencia, mis colegas y yo hemos aprendido que la mejor protección se obtiene con un enfoque integrado de seguridad móvil, que incluye la encriptación de datos entre ambos extremos.

Es esencial encriptar los datos antes de que salgan de la organización y desencriptarlos después de que sean entregados. Una encriptación sólida, como el cifrado AES-256, protege la integridad de los datos en todos los puntos que están más allá del control de la empresa. Y cualquier ingeniero de red o profesional de seguridad sabe que esos puntos son un territorio hostil y poco confiable.

La entropía es uno de los desafíos más grandes al momento de asegurar la efectividad de un sistema moderno de encriptación. Para quienes no estén familiarizados con el concepto, la entropía es la recopilación y la creación de datos aleatorios.

Para hacer una comparación sencilla, podríamos decir que la efectividad de un sistema es como la diferencia entre elegir un número de 1 a 10 y elegir un número de 1 a 1.000.000.000.000. Si bien los problemas son esencialmente los mismos, el nivel de dificultad y complejidad es sustancialmente diferente.

Se deben usar múltiples fuentes de entropía para crear claves cambiantes y dinámicas con el objetivo de que los datos móviles permanezcan encriptados y no se puedan leer hasta que sean desencriptados, una vez que hayan llegado a destino. Estas claves deben cambiar con cada paquete de datos que se envía. Por ejemplo, recibir una presentación de 1 MB en el dispositivo implica recibir 500 paquetes individuales (o transacciones), y que cada paquete esté encriptado con una clave única.

Actualmente, todas las plataformas de informática pueden sufrir ataques con spyware (o malware). Si usa una plataforma de desarrollo abierto, debe tener en cuenta que seguramente habrá personas tratando de encontrar una manera de explotar a los usuarios de esa plataforma. Esto es una amenaza seria para los gobiernos, los usuarios empresariales y las personas que requieran soluciones para proteger su privacidad.

El malware se ha vuelto una herramienta internacional de delitos cibernéticos y una amenaza para todos los usuarios de aplicaciones en dispositivos móviles. Hoy en día vemos desde aplicaciones diseñadas para apoderarse ilegítimamente de la información personal y robar la identidad, hasta iniciativas auspiciadas por el estado para acceder a secretos del gobierno.

La amenaza es real y crece

El hecho de que la mayoría de nuestros datos más preciados son móviles, es una realidad irreversible. Y esa tendencia seguirá creciendo. Por eso, cuando se trata de proteger su infraestructura móvil o de comunicaciones, la seguridad debe estar integrada de extremo a extremo y en todas las capas -en el hardware, el software y la red-para resguardar los datos donde son más vulnerables.

Todos nos beneficiamos de la creación de estándares abiertos que estén a la altura de evaluaciones o validaciones independientes y que nos permitan elegir soluciones con la tranquilidad de saber que nuestra información estará protegida.

Los expertos en seguridad que se han dedicado a encontrar mejores formas de proteger los datos saben que siempre habrá alguien intentando quebrantar nuestros sistemas de protección. La industria necesita seguir innovando y redefiniendo la tecnología de última generación para acompañar la evolución continua de los enfoques que tienen que ver con la seguridad y la encriptación.

Confíen, pero verifiquen.

¿Qué te ha parecido este artículo?

¡Síguenos en nuestras redes sociales!

Redacción

Artículos relacionados

Artículo 1 de 3