El candente mercado de dispositivos portátiles, impulsado por la velocidad de conexión cada vez mayor y la creación de baterías más eficientes, provocó una explosión casi sin precedentes de la Internet de las cosas (IoT, del inglés). Los dispositivos IoT están desafiando las nociones y las prácticas tradicionales de seguridad debido a su gran volumen y variedad: en pocos años habrá miles de millones de diminutos dispositivos conectados, en casi todos los productos que utilicemos.
Este hecho, junto con la creciente participación del gobierno para resolver los problemas de seguridad (demostrada hace poco por el cierre del sistema e-QIP por los Estados Unidos tras una auditoría de seguridad) ha recalcado su relevancia y convirtió a la IoT en el reto de seguridad más grande de la historia, según la opinión del renombrado experto en la industria y visionario Righard J . Zwienenberg, Investigador Senior de ESET.
La seguridad cibernética pasó ocupar un lugar prominente en el programa gubernamental. ¿Estarán intentando anticiparse o solo tratan de recuperar terreno?
Definitivamente necesitan recuperar terreno. Pero llegaron demasiado tarde. Por supuesto, es excelente que por un lado estén creando iniciativas para luchar contra la ciberdelincuencia, informar al público, concientizarlo y cooperar más a nivel mundial. Pero mientras tanto, por el otro lado, saben muy bien que siguen trabajando con sistemas operativos obsoletos, plataformas inseguras, etc., en un montón de operaciones gubernamentales (como los sistemas de seguridad social).
Los medios de comunicación parecen haberse puesto al día en informar los problemas de seguridad y ataques de malware, en particular desde la brecha de seguridad de Sony el año pasado. ¿Crees que este enfoque va a durar?
La tarea de los medios es informar sobre la delincuencia, y ahora el crimen pasó al ciberespacio. Lo bueno es que [los medios] están todos compitiendo por ser los primeros en cubrir las noticias, lo que, con suerte, ayudará a concientizar y educar a los lectores para que presten más atención a la seguridad.
"No pasará mucho tiempo antes de que todos los dispositivos estén conectados a Internet, por lo que la IoT y su seguridad serán un elemento *clave* en el futuro inmediato."
Por ejemplo, el año pasado, los investigadores de seguridad descubrieron fallas en software para bombillas de luz. ¿Bombillas de luz? Sí, lamparitas que se conectan a un enchufe normal, pero que también se pueden conectar a Internet a través de Wi-Fi para que puedas encender la luz, elegir su color, etc. Si alguien hubiera dicho hace 10 años que en un futuro próximo las bombillas estarían en red y se conectarían a Wi-Fi, nadie lo habría creído, y sin embargo, ahora tenemos que discutir sobre problemas temas de seguridad y actualizaciones de firmware para... bombillas. Imagina lo que pasaría si los delincuentes tomaran el control de tu bombilla. No como una broma para encenderla y apagarla sino, por ejemplo, para usarla como un centro de envío de spam.
No pasará mucho tiempo antes de todos los dispositivos estén conectados a Internet, por lo que la IoT y su seguridad serán un elemento *clave* en el futuro inmediato. El gran reto es que no será posible proteger todos los dispositivos, dado que en muchos de ellos no habrá suficiente memoria para ejecutar un software de seguridad, por lo que será necesario proteger mejor la red para descubrir las brechas de seguridad o, mejor aún, evitarlas desde el comienzo.
¿Cuánto ha cambiado la industria de la seguridad informática en los últimos 20 años?
Cambió radicalmente. A finales de la década de 1980, éramos todos individuos con una gran pasión por proteger el mundo; nos conocíamos todos. Ahora hay grandes empresas, para algunas de las cuales la seguridad constituye un negocio secundario, ya que su principal objetivo es encontrar la forma de sacar la mayor ganancia de su negocio.
Una de las razones por las que comencé a trabajar para ESET es que todavía tienen esta pasión, se preocupan por sus usuarios, les gusta educar, no obtienen ganancias a costa de incorporar software de terceros a sus soluciones.
Sin duda, al principio nos divertíamos mucho. Era como jugar al gato y el ratón entre los creadores de virus y los expertos antivirus. Los creadores de virus querían darse a conocer (mediante su apodo); hacían cualquier cosa por la fama y la gloria de ser mencionados.
“Al principio era como jugar al gato y el ratón entre los creadores de virus y los expertos antivirus.”
Pero ya no es así, excepto en el caso de los ransomware y/o los cryptolockers, por supuesto. Ahora, el malware en general no quiere ser visible ni descubierto; y los ciberdelincuentes menos aún. Por lo tanto, la motivación pasó de darse a conocer a extraer datos, ganar dinero, robar propiedad intelectual, etc.
Y si empezáramos a hablar sobre el mundo del malware patrocinado por el Estado y los millones de dólares invertidos en su desarrollo, abriríamos una caja de Pandora completamente diferente.
Por último, ¿cuál fue la amenaza o el malware más desafiante al que nos hemos enfrentado?
Es una pregunta difícil, ya que todos tienen sus propios desafíos interesantes. Mirando hacia atrás, quizá se trate del primer virus multipartito de Dark Avenger, llamado Anthrax (1990). En esa época, yo colaboraba con Jan Terpstra, que tenía una base pública de firmas de virus llamada Virscan.dat, utilizada por varios productos como TBScan (Thunder BYTE) y HTScan. Un día recibimos una nueva muestra, UScan. Consistía en un programa que se grababa a sí mismo en el MBR del disco rígido y luego "escaneaba" todos los archivos ejecutables del disco. Tras el siguiente reinicio del sistema, el virus se cargaba e infectaba todos los archivos ejecutables, algo que el usuario normal no era capaz ver, dado que el virus también tenía la capacidad de permanecer oculto.
Para esa época, era un virus muy avanzado tecnológicamente y usaba tácticas de ingeniería social tan buenas que nosotros también lo ejecutamos.
—
Righard J. Zwienenberg es Investigador Senior de ESET y comenzó a trabajar con virus informáticos en 1988, después de encontrarse con los primeros problemas ocasionados por virus en la Universidad Técnica de Delft. Ha sido miembro de CARO desde fines de 1991 y en la actualidad es Presidente de AMTSO, Vice-Presidente de AVAR y miembro de Junta Técnica General de la organización WildList. Es un ponente popular en conferencias de la industria, incluyendo Virus Bulletin, EICAR, AVAR, RSA, INFOSEC, SANS y CFET.