Durante la pasada edición del Congreso Seguridad en Cómputo de la UNAM, el jefe técnico del Equipo de Vulnerabilidades CERT del Instituto de Ingeniería de Software (SEI), se presentó durante el ciclo de conferencias con el tema “Systemic Vulnerabilities: Steampunk Science Fiction and Computing Today”.

Partiendo de la idea de incorporar la seguridad durante el desarrollo de los sistemas y luego de observar la cantidad de aviones que vuelan cerca de las edificaciones, Joji Montelibano reflexiona sobre la necesidad de diseñar sistemas adaptables contra amenazas que actualmente no existen y que puedan afectar a tales sistemas en el futuro. Veamos de qué se trata esto de las vulnerabilidades sistémicas.

Aparición de nuevas amenazas y vulnerabilidades

La idea surge como resultado de observar el riesgo que pueden representar los aviones que vuelan cerca de los edificios y la conocida tragedia del 11 de septiembre de 2001 en el World Trade Center de Nueva York. El punto de partida es el edificio Flat-Iron situado en Manhattan, el cual se terminó de construir en 1902, un año antes de que se registrara el primer vuelo realizado por los hermanos Wright.

Con la aparición de los aviones, éstos se convirtieron en una amenaza para las construcciones, ya que ni siquiera existían en el momento en que se terminó de edificar el rascacielos de principios del siglo XX. Los primeros accidentes aéreos que involucraron impactos contra edificios no tuvieron grandes repercusiones debido al tamaño y características de las aeronaves; pero con el desarrollo y evolución de los aviones, la amenaza creció.

En este sentido, un propósito para los equipos de desarrollo es el diseño y construcción de sistemas flexibles que puedan adaptarse para evitar amenazas que actualmente desconocemos, ya que las vulnerabilidades pueden aparecer debido a los cambios el entorno del sistema, aunque éste último permanezca inalterado, de acuerdo con Montelibano.

Métodos para cuantificar vulnerabilidades y pautas a seguir

De forma paralela con la presentación del desarrollo de las aeronaves, se hizo una comparación con los cambios que ha tenido el sistema de puntaje CVSS, diseñado para proveer un método estándar que permita estimar el impacto derivado de vulnerabilidades. Desde su primera versión hasta la adhesión de nuevas métricas en la versión 2, se dio una forma de adaptación a los cambios en la tecnología y en el entorno de las vulnerabilidades.

Entonces se lanzaron las siguientes preguntas:

  • ¿Cuándo han debido incorporar defensas contra aviones volando a 500 MPH llenos de combustible los arquitectos, diseñadores y constructores del Flat-Iron Building?
  • ¿Cómo juzgar a aquellos que no se pudieron defender contra amenazas que la ciencia ficción apenas había comenzado a explorar cuando el sistema se implementó?

La dificultad para responder a estas interrogantes nos hace pensar en el presente para dar respuesta a la siguiente pregunta: ¿qué sucede con la tecnología que actualmente utilizamos o que se encuentra en desarrollo, y es susceptible a amenazas no conocidas en este momento?

La aparición y proliferación de dispositivos inteligentes que se conectan a Internet como televisores, refrigeradores, automóviles e incluso bombillas eléctricas con una vida útil planeada, llevó al equipo de investigación de SEI a desarrollar un modelo para una casa inteligente. En ella, todos los dispositivos electrónicos están conectados a la red, con el objetivo de identificar vulnerabilidades en la operación de los mismos y como una manera de anticiparse a riesgos futuros.

Entonces, ¿qué mecanismos de defensa tenemos a nuestro alcance? La respuesta está determinada por los siguientes elementos enlistados por el conferencista: aplicación de actualizaciones y parches, implementación de defensa en profundidad, consideración de la obsolescencia programada -y, desde ya, leer más ciencia ficción, que permita idear y considerar escenarios actualmente desconocidos.

Finalmente, una posible solución a los problemas que se enfrentan en la actualidad y en los años venideros para el mundo de la seguridad, es el diseño para la adaptabilidad a ambientes que se hacen más hostiles con el tiempo, así como tener una actitud de colaboración de todos los involucrados en el desarrollo de los sistemas y la tecnología en general.