El sitio web cumple 30 años: proteger el futuro de Internet
Esta es la tercera entrega de una serie de cuatro entradas de blog con motivo del 30.º aniversario del nacimiento de los sitios web. Analizamos cómo evolucionarán las infraestructuras web y la experiencia de usuario en los próximos 30 años.
En los albores de Internet ya se reconocía su posible uso para delinquir, como demuestra la película Hackers, de 1995, pero más difícil de imaginar era el enorme tamaño del espacio de ataque. Internet no solo abarca las autopistas de la información; también se trata de cada equipo, dispositivo y repositorio de datos que lo conforman. Con el tiempo, estos han pasado de ser algo secundario a convertirse en un importante foco de crimen y robo.
En nuestra última entrada del blog, exploramos por qué deberíamos adoptar una mentalidad más dinámica a la hora de desarrollar la red y reevaluar las herramientas con las que lo lograremos. Parte del desafío consistirá en abordar la seguridad con un enfoque nuevo, y es que las necesidades de privacidad y seguridad han crecido exponencialmente desde que naciera la web, cuando las amenazas actuales eran del todo inimaginables.
Para crear experiencias online más seguras y resilientes de verdad, debemos diseñar, desarrollar y ejecutar aplicaciones priorizando la seguridad, y entender cómo el bagaje de estos 30 años influye en nuestra visión del futuro de la seguridad.
Una mirada al pasado
El ataque Aurora fue un incidente crucial que puso toda la atención en la seguridad y cambió el curso de Internet. El 10 de enero de 2010, Google anunció que había sido víctima de una intrusión cibernética originaria de China. Según la empresa, el objetivo de la operación era acceder a las cuentas de Gmail de activistas chinos de derechos humanos, pero los atacantes también robaron código fuente de Google de gran valor. Fue uno de los primeros ejemplos publicados de ciberespionaje patrocinado por un estado con el objetivo de obtener secretos industriales de una organización comercial.
Anteriormente, existía la norma no escrita de que los países solo podían lanzar ciberataques contra otros países. Aurora dejó claro que los atacantes no dudarían en tomar la vía que hiciera falta para entrar en una aplicación. Con el fin de poner el código en riesgo y acceder a datos de valor de tu red, están dispuestos a atacar las aplicaciones web creadas por desarrolladores, lo cual les permite acceder a datos valiosos o realizar actividades maliciosas. Además, son capaces de pasarse seis meses, o más tiempo, para lograrlo.
Los tradicionales ataques de abrevadero utilizan este método. Los atacantes se introducen en la cadena de suministro para descender y hacerse con datos de los clientes. Este tipo de asaltos está en auge, con ejemplos como el ataque a SolarWinds por parte de Rusia, que comprometió partes del Departamento de Defensa, el Departamento de Seguridad Nacional, el Departamento de Estado, el Departamento de Energía, la Administración Nacional de Seguridad Nuclear y el Tesoro de los Estados Unidos. También se vieron afectadas 100 empresas privadas, como Microsoft, Cisco, Intel, Deloitte y AT&T.
Y ya no se trata solo del robo de datos, sino también de la integridad de los datos, y es que a veces a los intrusos les interesa más alterar los datos que llevárselos. Las instituciones financieras han detectado cambios sutiles en las marcas de tiempo de las transacciones, realizados por delincuentes con la intención de desviar dinero o manipular la compraventa de acciones. Los ataques a la integridad de los datos también pueden reducir la confianza en nuestras instituciones, que es un objetivo clave de algunos adversarios. Mientras tanto, la paranoia sobre la integridad de los datos electorales sigue empantanando la democracia en los EE. UU.
La conclusión, pues, es que los atacantes siempre encontrarán maneras nuevas de actuar: debemos reconocerlo, aceptarlo y construir las defensas adecuadas.
Confianza cero y la seguridad como prioridad
La seguridad solía ubicarse en el perímetro, siguiendo la idea de que debía haber seguridad alrededor de un espacio físico, pero que no hacía falta dentro de ese espacio. Las organizaciones estaban centradas en repeler los ataques y suponían que, dentro de la red, era seguro dar acceso libre.
En la actualidad, la seguridad tiende hacia un modelo de confianza cero basado en la identidad y no en la ubicación. Este modelo supone que no se puede confiar en nadie, ya esté fuera o dentro de la organización, y que se debe verificar la identidad de cualquiera que intente conectarse al sistema antes de darle acceso.
Para adoptar la confianza cero, las organizaciones deben forjar una mentalidad que priorice la seguridad, e integrarla en las prácticas de DevOps. Desde el principio deben identificarse todas las vías de ataque posibles, y deben implementarse pruebas y medidas de corrección en las primeras fases del proceso de desarrollo. El teletrabajo se está volviendo cada vez más prevalente y, en consecuencia, las organizaciones están perdiendo el control sobre las redes y los dispositivos desde los que los empleados acceden a los datos, de modo que este enfoque irá ganando en importancia.
Una mejor perspectiva de futuro
En el camino hacia la confianza cero, a muchas organizaciones les cuesta superar la percepción de que la seguridad interfiere en el desarrollo y la innovación. La clave para lograrlo es asegurarse de que se dispone de las herramientas adecuadas.
Las organizaciones necesitan herramientas creadas pensando en la empresa moderna y descentralizada. En promedio, cada año las organizaciones gastan 2,6 millones de dólares en 11 herramientas de seguridad para API y aplicaciones web, según revela nuestro reciente informe «El punto de inflexión de la seguridad en la web».
A menudo, la complejidad que entraña la seguridad es lo que desmotiva a muchos equipos de DevOps e impide su efectiva colaboración con el personal de seguridad. El resultado es que las herramientas no se utilizan en todo su potencial, lo cual abre la puerta a ataques maliciosos.
Necesitamos herramientas que entren como un guante en el proceso de desarrollo y se integren con las herramientas que utilizan a diario los equipos de DevOps. Las soluciones de seguridad deben ofrecer automatización, compatibilidad con distintas arquitecturas y grandes niveles de visibilidad e información para que la seguridad no impida, sino que facilite, la innovación. Además, debemos servirnos de una red programable más eficiente para garantizar la escalabilidad a lo largo del tiempo.
En el futuro, veremos un control de acceso a estas herramientas más detallado. El concepto se basa en la práctica de otorgar distintos niveles de acceso a un recurso a cada usuario concreto, pero la cuestión es encontrar la manera de hacerlo sin poner trabas a la velocidad y el rendimiento. Es clave contar con una autenticación clara, y trasladándola al edge ganaremos en rendimiento y privacidad.
La mentalidad, tan importante como las herramientas
En resumidas cuentas, la confianza cero no se trata solamente de implementar tecnología nueva: también importa adoptar otra mentalidad y rediseñar los procesos para plasmarla en algo tangible.
Tenemos que mejorar en nuestras previsiones para el Internet de los próximos 30 años, ya que contamos con una base histórica que no tenían los pioneros de las redes de los años 70. Podemos dar por sentado que se seguirán produciendo ciberataques sofisticados por parte tanto de países como de organizaciones independientes. La protección directa contra esas amenazas debe estar a la altura.
En nuestra próxima entrada del blog, cerraremos la serie dedicada al 30.º aniversario de la web con cinco lecciones que los creadores de hoy en día pueden aprovechar para impulsar el futuro de Internet.