Independientemente de cuál sea tu dispositivo preferido o más odiado en base a cuestiones de seguridad, los técnicos detrás de ellos y el software que manejan deberían compartir una preocupación clave: “Seguridad por diseño (y por defecto)” Aun siendo una frase fuerte, Seguridad por Diseño – impulsado por la Consumer Trust Alliance (CTA) en Estados Unidos y ahora popularizado en la Unión Europea por el enorme corpus de texto GDPR – es mucho más que un simple tema de interés.
La privacidad y seguridad por diseño aplica más allá de la información mandatoria y las prácticas de privacidad, procesos y provisiones que demanda el GDPR. También notifica a los proveedores de hardware y software para que fortalezcan su seguridad. Para nosotros aquí en WeLiveSecurity, incidentes como Meltdown y Spectre apartaron nuestro foco del malware y exploits de software, forzándonos en cambio a repensar lo que entendemos sobre aquello que hacen los proveedores de hardware para hacer de nuestro mundo digital uno más seguro.
¿Regulaciones vs. Buena Fe?
Mientras algunos pueden ver estos incidentes como una consecuencia inevitable de nuestra dependencia de la tecnología, como la contaminación producida por residuos fósiles, muchos negocios y consumidores han expresado su enojo, llevando a la organización de una demanda judicial colectiva. ¿Qué nos dice esto sobre el escrutinio al que se enfrentarán las viejas tecnologías en un futuro?
Dejando de lado las demandas, y considerando cómo las comunicaciones y el intercambio de datos se han vuelto centrales en el mundo de hoy, deberíamos no solo preguntarnos si los proveedores de hardware han hecho la diligencia debida, sino también si los usuarios están listos para educarse a sí mismos y limitar sus inversiones en productos/servicios al enfrentarse a vulnerabilidades serias.
Mientras unos pocos en investigación y desarrollo (R&D, por sus siglas en inglés) de hardware o ciberseguridad podrían haber anticipado el impacto de la digitación en los negocios o la sociedad hacia 1995, a esta altura todos los usuarios cumplen un rol a la hora de resolver este desafío, mientras la industria busca alcanzar los objetivos del mercado en cuanto a lograr un rápido equilibrio entre el acceso y la seguridad en la transformación digital.
En líneas generales, el crecimiento en IT durante los últimos veinte años ha sido inmediatamente posterior a algunas mejoras prometidas en productividad, colaboración o conectividad, pero no siempre en seguridad. Sin embargo, los últimos cinco años han mostrado un marcado desplazamiento, con prácticamente todos los servicios web mutando a HTTPS, cifrado presente en casi todas las apps de comunicación de terceros y la mayoría de los software con actualización automática. Los últimos dos años también han visto intensas discusiones entre gobiernos que buscan frenar el cifrado o tener back doors.
Estos desarrollos muestran que la tecnología en seguridad está yendo al ritmo, o adelantándose, a otros desarrollos tecnológicos y regulatorios. Por lo tanto, mientras aquello que quieren los usuarios suele continuar opacando su valoración de los riesgos, la industria ha respondido y en muchos casos se ha adelantado a la demanda popular. Y salvo por el inicio de 2018 protagonizado por Meltdown y Spectre, pudieron verse ciertas mejoras en las herramientas que usamos para asegurar software, hardware e Internet. ¿Es la tecnología blockchain la bala de plata?
¿Es blockchain el encargado de mover las fichas?
Uniéndose al lineup formado por el doble factor de autenticación y el cifrado está blockchain – como lo popularizó su más famosa criptomoneda. Mientras en WeLiveSecurity se ha escrito mucho sobre el aspecto que abarca la seguridad de las criptomonedas – el bueno, el malo y el feo – no hemos profundizado de igual manera en Blockchain por sí solo.
Tal vez, eso sea porque con un panorama de amenazas tan extenso como el actual, hay fuertes evidencias de que cubrir aspectos básicos de seguridad más ampliamente puede traer mejores resultados a lo largo del extenso ecosistema en línea. Pero ciertamente, blockchain, sin ser una nueva tecnología, es la vanguardia de algo más grande, el Cifrado de las Cosas (EoT, por sus siglas en inglés). Esas cosas (dispositivos) por supuesto, existen sin su software central, y en muchos casos la seguridad puede ser insertada en sus propios huesos. Pero, ¿qué hay de la interfaz del Smartphone?
Pues, ¡intentemos hallar algunos dispositivos seguros extra! A excepción de los dispositivos para uso militar y dispositivos de comunicación para empresas especializadas, y teléfonos cifrados satelitalmente, las opciones son pocas. Esto se debe en primer lugar a los reducidos costos de utilizar implementaciones de doble factor de autenticación y cifrado basadas en software o Apps (aquí hay un ejemplo interesante, BitVault) en relación a dispositivos especializados. Irónicamente, estos últimos todavía dependen de actualizaciones y mejores de software.
Sigamos adelante
Algunas búsquedas de Google después, encontrarás el smartphone Solarin de Sirin Labs. Este primer producto, con un valor de US$14.000 en 2016, introdujo un smartphone con seguridad basado en blockchain al mercado. Este dispositivo se enfrentó a un lanzamiento hostil, ahora que una nueva encarnación del teléfono se ha presentado. El teléfono Finney (nombre derivado de Hal Finney – pionero en bitcoin) tiene un precio más realista de US$1000 en su llegada al mercado. Pero dejando de lado los precios, un sistema operativo con seguridad de Blockchain aun presentaría algunos desafíos. Teniendo en cuenta el alto consumo de energía necesario para procesar transacciones de criptomoneda, imagina la energía que demandarían solo algunos billones de teléfonos asegurados con Blockchain. ¿Puede esto dimensionarse?
Los dispositivos FINNEY anticipados están presentados en el sitio web de Sirin como “Los primeros teléfonos móviles y PC con protección cibernética que permiten blockchain”, y dice que los dispositivos – que también incluyen computadoras de escritorio – “-formarán una red independiente de blockchain, con una base de datos distribuida, extensible y liviana”.
El teléfono Finney de SIRIN presume una multitud de medidas de seguridad, algunas conocidas por los proveedores de ciberseguridad. Toma, por ejemplo, el sistema de prevención de intrusos basado en el comportamiento o el multifactor de autenticación. La partida comienza con el interruptor de seguridad (protección de billeteras), Comunicaciones Seguras (VolP, text, email) y su funcionalidad central – el inviolable Sistema Operativo de Android con base en blockchain.
¿Demasiado lejos?
Ya he mencionado la extensibilidad, pero mientras el producto apunta a alcanzar el verdadero espíritu de la seguridad por diseño, ¿es necesario o incluso práctico este nivel de seguridad?
El mundo de los dispositivos móviles, tan dinámico como es, se enfrenta a una paradoja. Sólo puede ser tan seguro como lo permitan la conciencia pública y las buenas prácticas, ya que el factor humano es central para la seguridad. Por ejemplo, si la gente no lleva consigo billeteras protegidas con RFID (identificación por radiofrecuencia), ¿cuánta utilidad puede tener la criptomoneda? Para no irnos tan lejos, si los usuarios dejan la configuración por defecto que viene con sus routers hogareños, ¿para qué invertir en dispositivos con tanta seguridad?
Móviles asegurados con blokchain: ¿un negocio nacido en 2017?
La intención de los dispositivos asegurados es clara: el cifrado distribuido daría como resultado significativas mejoras en seguridad. Con la ICO (oferta inicial de moneda, por sus siglas en inglés) de Sirin completándose para el 26 de diciembre de 2017, la producción parece haber obtenido luz verde.
Las características son una cosa, pero predecir qué factores habilitarán al teléfono ciber-asegurado de Finney para alcanzar el éxito en el mercado es pura adivinanza. Otra barrera podría ser la aceptación de servicios como Apple Pay y otras plataformas seguras de pagos móviles como un tipo de criptomoneda, por ejemplo, el dinero nunca se intercambia y los datos de la tarjeta nunca son transmitidos. Esta manera de abordar los pagos también tiene la estabilidad y el respaldo de los bancos y gobiernos del mundo. Es seguridad práctica que los usuarios promedio probablemente no atraviesen mediante malas prácticas.
Con todo lo antedicho, la seguridad por diseño y el teléfono Finney podrían haber hallado su momento. 2017 nos presentó el costo(s) de nuestro mundo conectado a través de una diversidad de amenazas para todo, desde infraestructura crítica en Ucrania, hasta negocios mediante el devastador estallido global de WannaCryptor.D y la pandemia de destrucción de datos de DiskCoder.C.
Ahora, con continuos ataques a infraestructuras de criptomoneda, malware móvil y dispositivos IoT zombies incrementando los riesgos, la ansiedad está al máximo. No es sorpresa que justo antes de la navidad, el precio e interés de bitcoin (y blockchain) explotaran. Para tranquilidad de Sirin Labs, y sus competidores, los últimos 12 meses han visto un mercado materializarse alrededor de ellos. Lo que el panorama de amenazas trae en 2018 y si serán más los proveedores que lo sigan ahora parece más probable. Veamos lo que se desarrolla en los stands de los proveedores de hardware en la Mobile World Congress en la próxima semana.