viernes, 16 de mayo de 2014

Todos conectados, incluso los “malos”

“El próximo año se estima que habrá 15.000 millones de dispositivos conectados. En 2020 esa cifra llegará a 50.000 millones. (…) Entre hoy y hasta 2020, el universo digital se duplicará cada dos años”. Estas predicciones figuran en un reciente artículo de dos autores expertos en el llamado Internet de las cosas (IdC en castellano, IoT en inglés): Stephen Pattison y Steven Kesler (versión en inglés / versión en español).

El mundo de los dispositivos de todo tipo conectados a lo ancho y largo del mundo no es un escenario futurista. Está aquí y ha llegado para quedarse. Pattison y Kesler reflexionan sobre ello en su artículo, y sobre las especiales implicaciones que el IdC tiene para la seguridad de los datos. Por ello proponen algunas pautas y recomendaciones que deberían implementar los poderes públicos para asegurar una transición adecuada a ese nuevo mundo digital. Entre ellas, figuran que “los consumidores deben ser dueños de sus propios datos” a la vez que “deben confiar en cómo se utilizan, almacenan y transportan sus datos”, en un entorno en el que “la tecnología es una parte importante de la solución”.

Así pues, la tecnología no es el problema, aunque con un uso mal intencionado o con una programación incorrecta pueda generar más de un problema. El colaborador del CIGTR, Pablo F. Iglesias, reflexiona sobre las contradicciones que implica el avance hacia una sociedad hiperconectada, robotizada y gobernada por algoritmos, con interesantes referencias a “las tres reglas de la robótica” de Asimov o los modelos contrapuestos de sistema multiagente. Apuntes que son plenamente válidos si los transportamos al entorno de la Seguridad de la Información: ¿qué máquinas han de tomar qué decisiones, en función de qué inputs y sobre qué algoritmos?

Un ejemplo reciente de esa difícil convivencia en el lenguaje M2M (Machine to Machine, Máquina a Máquina), lo tenemos en el vasto ataque DDoS-DNS detectado por los expertos de Incapsula, en el que los atacantes habían utilizado precisamente los sistemas de protección contra DDoS de grandes servidores para obtener una capacidad de propagación muy elevada. Está claro que hay máquinas que nos defienden… ¿Pero quién las defiende a ellas? ¿Y quién nos defenderá de ellas si ellas equivocan la misión?

Porque no nos olvidemos de una cosa: si hay posibilidad de hacer negocio con ello, habrá una gran probabilidad de que el cibercrimen esté al acecho. El delito está al alcance de la mano de casi cualquiera con los conocimientos para ello, o con la capacidad de financiarlo. No falta quien habla claramente de la ciberdelincuencia como un “negocio floreciente”, como es el caso de un artículo que Carlos Codina compartió ayer en IT Sec & CyberSec, la Comunidad del CIGTR en Google+. El negocio llama al negocio. Por eso se mantienen activas algunas “viejas fórmulas” como la del robo de credenciales de tarjetas de crédito mediante el ya conocido sistema de “skimming” en cajeros automáticos. Es fácil, es barato, es eficaz y es inmediato.

Lamentablemente, mientras unos ven negocio, quienes deberían hacerle frente en las empresas son incapaces de hacer ver y hacer valer precisamente este importante factor de negocio. Los últimos datos de una encuesta en Australia son escalofriantes: para la mayoría de los altos ejecutivos, la seguridad no es una inversión para impedir daños y filtraciones, sino un castigo pecuniario. Es más, se dan casos de recortes drásticos en el presupuesto de una multinacional (hasta 6 millones de dólares), porque el ejecutivo de turno no veía el famoso “retorno de la inversión” (ROI) del gasto/inversión en este capítulo.

¿Y tú? ¿Cuánto estás dispuesto a comprometer de tu propio presupuesto en asuntos de seguridad? Cuéntanoslo aquí o en nuestras redes sociales, a las que tienes acceso rápido desde la barra lateral de este mismo blog.

0 comentarios:

Publicar un comentario