La seguridad pocas veces avanza al mismo ritmo que el mercado: la prioridad es entregar los productos para cumplir con los plazos de marketing, no con los plazos de seguridad. Cuando se desarrollan nuevos dispositivos y funcionalidades, la inversión en seguridad parece ser un gasto difícil de absorber. Donde más se nota es en los dispositivos móviles, que se desarrollan a una velocidad vertiginosa. Y este ritmo no va a disminuir.
la prioridad es cumplir con los plazos de marketing, no con los de seguridad
Los primeros en desarrollar algo nuevo son quienes consiguen que sus dispositivos lleguen a manos de millones de usuarios, y los últimos se quedan mirando cómo se evaporan los pequeños márgenes de hardware y no obtienen ingresos suficientes para financiar el arduo trabajo de incorporar la seguridad necesaria.
Así que es fácil darnos cuenta por qué la seguridad queda relegada a un segundo plano. Es una cuestión de supervivencia.
Y también es una cuestión cultural. Mejorar el marketing suele considerarse más importante en la financiación que los problemas de optimización del kernel. Y aunque mejorar el kernel puede ayudar en muchas formas significativas a crear un producto más resistente y seguro, el equipo de desarrollo tendría que tener un nivel de conocimientos muy profundo, y lo que es más importante, debería ser capaz de explicarlo en un contexto de marketing. Es difícil encontrar personas con estos conocimientos. Si no lo crees, intenta contratar a suficientes de ellas para construir un dispositivo móvil seguro... dentro del plazo de tiempo que exige el marketing.
Hoy hay más consumidores que se fijan en la seguridad a la hora de comprar
Entonces el mercado secundario es quien recoge las piezas remanentes, o al menos quien debe hacer frente al aluvión de actualizaciones de software y firmware posteriores a un nuevo lanzamiento por los fabricantes que se quedaron sin tiempo ni dinero antes de hacer entrega de su hardware a los consumidores. Esto significa que el público se convertirá en el grupo de prueba beta, y los primeros probadores beta en realidad estarán probando el código alfa.
Lamentablemente, este es el estado actual de millones de dispositivos móviles. Pero está empezando a cambiar.
En la actualidad, debido a que el hacking ha pasado a ser algo tan común, es más fácil justificar la inversión en un presupuesto de seguridad lo suficientemente sustancioso (bueno, al menos en comparación con algunos años atrás), porque hay más consumidores que se fijan en la seguridad a la hora de comprar. Por lo tanto, ahora es mucho más probable que se tenga en cuenta este tema durante el ciclo de financiación, e incluso que se le asigne un presupuesto exclusivo desde un comienzo.
Aunque aún existe una brecha en el mercado entre el desarrollo de los productos y la contratación de personal para la codificación, la financiación está comenzando a incluir un presupuesto real interno para la seguridad al principio del ciclo de desarrollo.
Además, es mucho más común en estos días que se programen lanzamientos impulsados de ciclos de actualizaciones estructurados de seguridad. También es posible aprovechar la experiencia de muchas otras empresas que ya pasaron por los mismos problemas y seleccionar lo que funciona mejor. De esa forma, aunque surja algún inconveniente, el público sabrá que la empresa está analizando su impacto para lanzar lo antes posible los parches de seguridad de mayor urgencia.
En los últimos años, las herramientas de análisis de código se han vuelto mucho más sólidas y fáciles de usar. La cantidad y calidad de las pruebas ha aumentado, lo que facilita la mejora del código con el paso del tiempo, generando menos resistencia a las mejores prácticas por parte de los desarrolladores.
La seguridad de los dispositivos móviles seguirá mejorando. Quizá logre superar el ritmo con que evolucionan los ataques
Si bien la encarnizada batalla sobre las distintas metodologías de desarrollo de software continuará indefinidamente, un montón de empresas ya han decidido lo que mejor funciona en el espacio móvil. En el pasado, los ciclos de desarrollo eran los mismos para cualquier producto, desde televisores por cable hasta controladoras de semáforos; no existía un ciclo completo de desarrollo adaptado para los dispositivos móviles. Ahora eso cambió, por lo que es más probable que en tu equipo de trabajo haya alguna persona que tenga experiencia y sepa lo que mejor funciona y por qué.
Las cosas están mejorando. Ahora sabemos más sobre el espacio móvil, por lo que no hay tanta necesidad de reinventarlo todo. Las plataformas hasta cierto punto se han estabilizado, delimitando el alcance del desarrollo. En lugar de cinco plataformas, puedes tener un producto para una sola o dos. También es posible tener éxito en el mercado vendiendo lo suficiente en una sola plataforma.
Poco a poco, la seguridad de los dispositivos móviles seguirá mejorando, y quizás incluso logre superar el ritmo con que evolucionan los ataques. Además, como las personas cada vez son más conscientes sobre la necesidad de contar con un presupuesto para la seguridad, ya no es tan difícil explicarles estos conceptos a los gerentes. Mientras tanto, si los clientes le continúan exigiendo al mercado una mayor seguridad (y los vendedores los escuchan), todos estaremos más seguros.