00:00:07 Seguridad de datos y computación en la nube.
00:00:38 Desafíos de la seguridad de datos en la optimización de supply chain.
00:02:11 Aumento de ciberataques y dependencia de los sistemas de IT.
00:03:08 Restringir el área de ataque y externalizar a proveedores de computación en la nube.
00:06:17 Minimizar la superficie de ataque en el diseño de software y evitar bases de datos relacionales.
00:08:01 Usar la simplicidad y componentes mínimos para la seguridad.
00:09:26 La apertura, la transparencia y la exposición como claves para la seguridad de datos.
00:11:03 La importancia de los white hat hackers en la mejora de la seguridad.
00:13:18 Compensar de manera justa a los white hat hackers por sus esfuerzos.
00:14:35 Diferenciar entre white hat y hackers maliciosos.
00:16:00 La seguridad de los sistemas de la empresa y la priorización de freelancers.
00:16:47 La confianza en la seguridad de datos y el impacto de Bitcoin en la concienciación sobre seguridad.
00:17:50 Diferencias en las prácticas de seguridad entre empresas B2C y B2B, grandes corporaciones y gobiernos.
00:20:01 Desafíos en la seguridad de redes militares y ejemplos de vulnerabilidades de hardware.
00:24:01 La posibilidad de un futuro con hacking significativamente reducido y la adopción de una cultura de apertura en la seguridad de supply chain.
Resumen
En la entrevista, Kieran Chandler y Joannes Vermorel discuten la seguridad de datos en supply chain optimization. Vermorel reconoce el incremento de los ciberataques debido a una mayor digitalización y dependencia del software. Él enfatiza la importancia de la apertura y la exposición en la seguridad de supply chain, abogando por una filosofía de “defense-in-depth” con múltiples capas de protección. Cita el valor de los white hat hackers para identificar y solucionar vulnerabilidades y sugiere que las empresas pueden mejorar la seguridad al minimizar las superficies de ataque y confiar en proveedores de computación en la nube de confianza. Vermorel cree que adoptar la transparencia y la exposición en las prácticas de supply chain resultará en una transición más rápida hacia sistemas más seguros.
Resumen Extendido
En esta entrevista, Kieran Chandler, el presentador, discute la seguridad de datos con Joannes Vermorel, el fundador de Lokad, una empresa de software especializada en supply chain optimization. La conversación gira en torno a la creciente importancia de la seguridad de datos a medida que la computación en la nube se vuelve más popular y las técnicas de hacking se vuelven más sofisticadas.
Joannes reconoce que la seguridad de datos no es un tema nuevo, sino que ha existido desde hace bastante tiempo. Recuerda que cuando inició Lokad hace 10 años, la idea inicial era mantener los datos encerrados y alejados de todas las redes, pero este enfoque resultó perjudicial para la supply chain optimization. Las empresas con supply chains complejas y distribuidas necesitan proporcionar acceso a los datos a todas las partes involucradas para poder optimizar sus operaciones. Esto aumenta inherentemente la exposición de datos y sistemas, conduciendo a desafíos en la seguridad de datos.
El presentador cuestiona si los incidentes de hacking realmente están ocurriendo con más frecuencia o si simplemente se reportan más a menudo en los medios. Joannes cree que los ciberataques están en aumento, principalmente porque hay más sistemas de IT y una mayor dependencia del software. A medida que las empresas se digitalizan más y los consumidores usan más servicios en línea, la superficie de ataque para los hackers crece, lo que conduce a más filtraciones de datos.
Cuando se le pregunta sobre técnicas para proteger los datos, Joannes afirma que la seguridad es la segunda preocupación más importante en Lokad, siendo la calidad de los números que entregan para supply chain optimization su preocupación principal. Un enfoque básico para garantizar la seguridad de los datos es restringir la superficie de ataque para los hackers. Esto implica diseñar soluciones de software con el mínimo potencial de fallo.
Joannes explica que una de las razones por las que Lokad se orientó hacia la computación en la nube fue para delegar el hardware y la gestión de los sistemas operativos a empresas más grandes como Microsoft. Aunque no es perfecto, estas compañías tienen más recursos y personal para asegurar físicamente el hardware de cómputo. Tiene mucho sentido no confiar en tu equipo cuando tienes 20 personas, mientras que Microsoft está intentando hacer el mismo esfuerzo de seguridad con varios cientos de personas en el caso.
El presentador luego pregunta sobre cómo elegir compañías de computación confiables para externalizar trabajos. Joannes sugiere que proveedores de computación en la nube grandes como Amazon, Microsoft y Google, que son sobrevivientes de internet, son generalmente confiables. Estas compañías enfrentan ciberataques constantes, por lo que su experiencia y recursos las hacen más aptas para manejar la seguridad de datos.
Para garantizar la seguridad de sus sistemas, Lokad minimiza su superficie de ataque utilizando componentes más simples y evitando capas de almacenamiento de datos programáticamente inteligentes, como las bases de datos relacionales. En su lugar, optan por una capa de almacenamiento de datos más básica, utilizando blob storage en Azure, que es menos susceptible a ciertos tipos de ataques. Lokad también es selectivo en el uso de componentes open source, evaluando cada uno y restringiendo la masa tecnológica en sus soluciones.
Vermorel cree que un elemento clave de la cultura corporativa para mejorar la seguridad de datos es la apertura, lo cual contrasta con la mentalidad de fortaleza utilizada a menudo en las prácticas de supply chain. Argumenta que los sistemas de IT no son seguros únicamente por su diseño, sino también debido a la transparencia y la exposición. La transparencia implica que las personas comprendan cómo funcionan los sistemas y su arquitectura, mientras que la exposición se refiere a someter los sistemas a los white hat hackers, que son hackers éticos que buscan mejorar la seguridad.
Los white hat hackers ayudan a las organizaciones a identificar y solucionar vulnerabilidades en sus sistemas. Vermorel comenta que Lokad ha experimentado esto en algunas ocasiones, con white hats encontrando problemas en cuentas individuales, los cuales fueron posteriormente reportados y solucionados. Para incentivar a los white hats a continuar identificando posibles problemas de seguridad, las organizaciones deberían compensarlos de manera justa por sus esfuerzos.
Vermorel comparte su perspectiva sobre los diferentes niveles de madurez en seguridad entre distintos tipos de organizaciones. En un extremo del espectro se encuentran empresas como Facebook y Google, que tienen medidas de seguridad robustas debido a su enorme exposición y alto volumen de intentos de hacking. Estas empresas, orientadas al B2C, están constantemente bajo ataque, lo que las obliga a estar bien preparadas y ser proactivas en sus medidas de seguridad.
Más abajo en el espectro se encuentran empresas de software B2B como Lokad, que, aunque no tan expuestas como los gigantes del B2C, aún se esfuerzan por alcanzar altos niveles de seguridad manteniendo la transparencia y permitiendo un fácil acceso a sus sistemas. Vermorel sugiere que la seguridad de estas empresas B2B tiende a ser más débil, ya que no tienen tanta exposición y, en consecuencia, no enfrentan la misma intensidad de intentos de hacking.
Un nivel aún menor de madurez en seguridad se puede encontrar en grandes corporaciones no orientadas a la tecnología y gobiernos, que a menudo se apoyan en una anticuada “mentalidad de fortaleza” y en la seguridad mediante el ocultamiento. Estas organizaciones pueden intentar encerrar información sensible, pero Vermorel argumenta que este enfoque es incompatible con el tamaño y la complejidad de las organizaciones modernas.
Sorprendentemente, Vermorel afirma que las organizaciones militares tienen las peores prácticas de seguridad, ya que a menudo utilizan redes privadas que han estado aisladas durante décadas. Aunque se podría asumir que estas redes privadas serían más seguras, su falta de exposición a amenazas externas las ha dejado mal preparadas para los desafíos modernos de seguridad. Vermorel señala que las grandes organizaciones militares, distribuidas en múltiples ubicaciones y países, tienen dificultades para mantener una red aislada mientras gestionan a miles de empleados y contratistas.
Vermorel destaca que incluso los sistemas más seguros pueden ser comprometidos, como lo demuestran fraudes pasados y las vulnerabilidades encontradas en el hardware de Intel. Explica que las vulnerabilidades de hardware, como Spectre y Meltdown, pueden hacer que el software y las aplicaciones también sean inseguros.
Vermorel enfatiza la importancia de la exposición a hackers que puedan identificar y corregir vulnerabilidades antes de que sean explotadas. Señala que los sistemas militares, que a menudo utilizan hardware de Intel, son particularmente vulnerables a tales ataques. Sin embargo, cree que es posible eliminar el hacking eventualmente, ya que no existe ninguna ley fundamental que dicte que todos los sistemas informáticos deban ser inseguros.
Vermorel sugiere que las supply chains pueden volverse más seguras al adoptar una cultura de apertura y exposición. Esto implica hacer que los sistemas sean más transparentes y accesibles, sin dejar de mantener las medidas de seguridad. Aboga por una filosofía de “defense-in-depth”, en la cual se implementan múltiples capas de seguridad para proteger la información sensible. En general, Vermorel argumenta que las empresas y organizaciones con supply chains serán más seguras si adoptan este enfoque, lo que resultará en una transición más rápida hacia sistemas más seguros.
Transcripción Completa
Kieran Chandler: Hoy en Lokad TV, vamos a discutir cómo la computación en la nube gana popularidad y también cómo las técnicas de hacking se vuelven cada vez más sofisticadas. ¿Puedes tener verdadera confianza en la seguridad de tus datos? Entonces, Joannes, este es un tema que ha sido algo sensacionalizado en los medios recientemente, pero ¿es realmente la seguridad de datos un asunto nuevo?
Joannes Vermorel: No, ha existido desde hace bastante tiempo. Es intrigante. Cuando inicié Lokad hace 10 años, la idea era mantener los datos encerrados, alejados de todas las redes y de los hackers, y de todo. Pero en lo que respecta a las supply chains, si simplemente encierras tus datos en una bóveda, sí, es muy seguro, pero tus supply chains sufren de manera dramática. El problema es que las personas, los socios e incluso tu propia organización no tienen acceso a los datos para optimizar realmente tu supply chain. Así que, si deseas lograr algún grado de supply chain optimization y tener una supply chain que sea un poco compleja y distribuida en diferentes ubicaciones o posiblemente en diferentes países, entonces necesitas tener una manera de alimentar a todas las partes involucradas en tu supply chain con los datos correctos. Eso significa que, por diseño, estás exponiendo más tus datos, estás exponiendo más tus sistemas, y de ahí surge el problema de la seguridad de datos.
Kieran Chandler: Parece que cada día en los medios vemos a una nueva organización o a una nueva celebridad siendo hackeada. ¿Es esto algo que realmente ocurre con más frecuencia, o es solo que se oye más a menudo?
Joannes Vermorel: Creo que en general los ciberataques están en aumento. Hay razones muy básicas para ello. No es que tengamos más delincuentes, es solo que contamos con más sistemas de IT y una mayor dependencia de nuestro propio software en general. Las empresas se están digitalizando más, e incluso los clientes comunes usan más servicios en línea. Como consecuencia, todo eso aumenta la superficie de ataque para los delincuentes, y por ende se termina con más filtraciones. No significa que la seguridad esté empeorando o que haya más malas personas en general.
Kieran Chandler: Si hay más ataques ocurriendo cada día, veamos algunas de las técnicas que realmente podemos utilizar para protegernos. ¿Qué podemos hacer aquí?
Joannes Vermorel: En Lokad, la seguridad es la segunda preocupación más importante. La preocupación número uno es la calidad de los números que entregamos para una gran supply chain optimization. Pero la segunda preocupación es garantizar la seguridad de los datos de nuestros clientes. Una de las técnicas más básicas para ello es restringir la superficie de ataque para los hackers y los problemas en general. ¿Cómo haces eso cuando estás diseñando una solución de software? Primero, intentas restringir lo máximo posible la cantidad de cosas que pueden salir mal por tu culpa. Por ejemplo, una de las razones por las que nos orientamos hacia la computación en la nube fue para poder delegar el hardware y gran parte de la gestión de los sistemas operativos a Microsoft. No es que Microsoft sea perfecto, pero en términos de equipos de ingeniería, tienen muchos más recursos para asegurar físicamente el hardware de cómputo que Lokad. Así que tiene mucho sentido no confiar en tu equipo cuando tienes 20 personas, mientras que Microsoft está intentando hacer el mismo esfuerzo de seguridad con varios cientos de personas en el caso.
Kieran Chandler: Hablemos un poco sobre esa delegación. Hay muchas empresas de computación allá afuera, entonces, ¿cómo sabes en cuáles confiar y cuáles son, ya sabes, en cuáles deberías externalizar tu trabajo y cuáles son las que probablemente deberías evitar?
Joannes Vermorel: Como regla general, confía en las grandes empresas que exponen toneladas de recursos de computación en línea. Me refiero a los grandes proveedores de computación en la nube como Amazon, Microsoft y Google. Estos son sobrevivientes de internet, siendo atacados cada día por cientos de hackers. Si sus sistemas aún están operativos después de una década de funcionamiento, significa que han sobrevivido a todos los castigos diarios. No significa que nunca hayan sido vulnerados; simplemente significa que han estado diligentemente corrigiendo y parcheando todos los problemas que han encontrado. Cuanta más exposición tenga tu proveedor y más tiempo lleve en funcionamiento, mayor confianza podrás depositar en ellos. Si han permanecido expuestos, han sido atacados sin descanso y han sobrevivido, probablemente sean bastante buenos en seguridad.
Kieran Chandler: Bien, así que externalizar a otras compañías es una manera de asegurar que nuestros sistemas sean seguros. ¿Qué otras técnicas podemos utilizar para garantizar que nuestros sistemas estén protegidos?
Joannes Vermorel: El mismo principio de minimizar la superficie de ataque se aplica también a la parte interna de tu software. Por ejemplo, en Lokad, internamente no usamos ningún sistema de bases de datos relacionales ni bases de datos SQL. No es que no nos gusten; son potentes y pueden hacer muchas cosas. Sin embargo, tenerlos en tu capa de almacenamiento crea un problema masivo de seguridad. Todavía se puede asegurar, pero requiere mucho esfuerzo. Con SQL, puedes escribir código, lo que significa que puedes escribir código malicioso. Para protegernos contra eso, en Lokad, usamos una capa de almacenamiento de datos muy simple e ingenua, como el almacenamiento de blobs en Azure. La idea clave es que utilizamos una capa de almacenamiento de datos que es órdenes de magnitud más simple que las bases de datos relacionales y no tiene expresividad programática. Esto significa que clases enteras de ataques no pueden ocurrir a nivel de nuestra capa de almacenamiento de datos porque es demasiado simple para ofrecer ángulos a esos ataques. Aplicamos la misma idea a muchos otros componentes, optando por opciones más simples y menos expresivas para minimizar la cantidad de cosas que pueden salir mal.
Kieran Chandler: Entonces, ser simplista y un poco tonto en realidad es muy beneficioso. Eso cubre el ser seguro por diseño. ¿Qué hay de ser seguro en términos de cultura? ¿Qué tipo de valores culturales deberían promover las empresas para aumentar la seguridad de sus datos?
Joannes Vermorel: La apertura es probablemente la clave.
Kieran Chandler: Entonces, ¿cómo describes el enfoque de fortaleza que mencioné acerca de las supply chains y cómo se hacían las cosas hace diez años?
Joannes Vermorel: Si tienes una mentalidad de fortaleza, quieres encerrar tus datos en una bóveda que está enterrada y es muy difícil de acceder. Esto hace que todo sea opaco y oscuro, y es difícil acceder a los datos. Pero, ¿realmente eso te hace seguro? El problema es que, en lo que respecta a TI, este tipo de comportamiento y cultura corporativa es muy adverso a la seguridad.
Kieran Chandler: ¿Por qué los sistemas de TI no son seguros?
Joannes Vermorel: Los sistemas de TI no son completamente seguros, no solo porque han sido diseñados para ser seguros, sino también a causa de las prácticas de diseño. Si no tienes la corrección por diseño en el software, es muy difícil asegurar nada. Una vez que tienes eso, junto con un alto grado de escrutinio en tu software, lo que necesitas para mejorar la seguridad es transparencia y exposición.
La transparencia significa que la gente puede ver lo que está ocurriendo dentro de tus sistemas de TI, y la seguridad no es una propiedad emergente del hecho de que nadie sepa qué entra en tus sistemas de TI. La gente debería saber cómo funcionan, cuál es su arquitectura, y poder ver si están diseñados correctamente y son seguros. La exposición significa estar expuesto a hackers, y lo que es más importante, a los white hats, los buenos.
Kieran Chandler: Parece contraintuitivo exponer tus sistemas y dejar que todo el mundo vea lo que está pasando. ¿Cómo hace que tener gente hackeando tus sistemas te haga más seguro? ¿Qué es lo que realmente hacen esos white hats?
Joannes Vermorel: Los white hats son los hackers buenos. Intentan ingresar a los sistemas como forma de ganarse la vida. En Lokad, hemos experimentado esto un par de veces. La gente en internet se registra para obtener una cuenta gratuita en Lokad y trata de hurgar un poco, a ver si puede encontrar problemas de seguridad. Algunos de ellos han logrado encontrar problemas, pero solo dentro de una única cuenta, por lo que el confinamiento fue estricto.
Cuando encuentran un problema, regresan y lo reportan. Pueden pedir una recompensa, pero depende de ti decidir el precio. Esto los motiva a encontrar más problemas en tus sistemas, haciéndolos incluso más seguros. Quieres que la gente intente hackear tu sistema, especialmente los white hats, para que cuando encuentren un problema, te lo reporten diligentemente. Tienes que jugar el juego y compensarlos de manera justa por el esfuerzo que invierten en hackear tu sistema. Así es como se logra más seguridad.
Si se supone que tus sistemas son seguros pero nadie ha intentado hackearlos, entonces es muy arriesgado, ya que no lo sabes. En TI, no existe algo como una fortaleza obvia. En una fortaleza real, tienes muros de piedra, y se necesita fuerza bruta para atravesarlos. Pero en términos de software, la seguridad puede desmoronarse a veces debido al más pequeño error, como un diminuto problema de configuración en uno de tus servidores secundarios. Por lo tanto, necesitas tener gente que intente escudriñar por todas partes para asegurar tu seguridad.
Kieran Chandler: Seguro de principio a fin, es un concepto algo extraño, ¿no es así, que tienes a estas personas hackeando tu sistema que en realidad son los buenos? Entonces, ¿dónde trazas la línea entre lo que es un ataque de white hat y lo que es algo un poco más malévolo?
Joannes Vermorel: Es completamente diferente. Los white hats son como freelancers, pero tienen su reputación. Son los buenos, muy profesionales en la forma en que divulgan los problemas. Típicamente, primero te revelan el problema y luego dicen, “Bueno, lo que me pagues queda a tu criterio.” Algunas empresas incluso tienen programas oficiales de recompensas. Fundamentalmente, son como freelancers que ayudan a mejorar la seguridad de tu sistema.
Los black hats, por otro lado, son lo opuesto. No van a hacer eso. Una vez que encuentran una brecha en tu sistema, explotarán esa brecha hasta el fin de los tiempos o hasta que la hayas parcheado. Luego, intentarán revender tus datos o chantajearte. Es muy diferente. Los white hats, no es chantaje. Ellos dicen, “Si no me pagas, está bien. No me pagan, pero no esperes que siga trabajando en tu sistema después.” Hicieron el primero de forma gratuita para que puedas ver que es algo real y que están haciendo un trabajo serio, no solo afirmaciones vacías. Pero luego, lo que pagues queda a tu criterio. Cuanto más pagues, más captarás su interés en intentar encontrar más problemas en tu sistema. Y eso tiene sentido porque son freelancers que podrían trabajar en mejorar la seguridad de tu empresa u otras empresas, por lo que deben priorizar.
Kieran Chandler: Y mencionaste antes que es muy fácil que exista alguna pequeña laguna en algún lugar, y de eso son buenos los hackers: en encontrar esas lagunas. Pero, ¿puedes estar realmente confiado en la seguridad de tus datos? Quiero decir, incluso los gobiernos están siendo hackeados hoy en día, y parece que tienen recursos casi infinitos para dedicar a estas cosas. ¿Así que, realmente puedes relajarte?
Joannes Vermorel: La respuesta es realmente no. Es interesante porque creo que todos estos problemas de seguridad se hicieron más visibles gracias a cosas como Bitcoin. ¿Por qué? Porque de repente se vuelve obvio que es increíblemente difícil asegurar cualquier cosa. Con Bitcoin, si la máquina que contiene tus Bitcoins es hackeada, los Bitcoins se roban. La gente empezó a darse cuenta, al poner Bitcoins en servidores en línea, de que prácticamente todo desaparecía después de un tiempo. Así, la gente se dio cuenta de lo difícil que era asegurar realmente cualquier cosa.
Si tomamos el ejemplo de los gobiernos, en términos de madurez en seguridad, en un extremo del espectro tienes a compañías sumamente buenas como Facebook y Google. Sí, Facebook puede ser hackeado de vez en cuando, pero miles de personas intentan hackear Facebook cada día. Así que son supervivientes, y son muy buenos porque tienen una exposición masiva, ataques masivos y constantes en sus sistemas. Es lo mismo para Google, Amazon y Apple – todas esas compañías impulsadas por B2C y súper expuestas.
Entonces, un escalón más abajo en la práctica, están todas las compañías de software B2B como Lokad. En Lokad, tratamos de estar muy expuestos en internet en el sentido de que nuestros sistemas no son seguros porque son opacos. Todo está documentado en línea, e incluso puedes registrarte libremente y acceder a una cuenta en línea. Así que, básicamente, nos damos a nosotros mismos un alto grado de exposición, al igual que Facebook, a propósito. Pero seamos realistas, cuando tú
Kieran Chandler: Joannes, ¿puedes hablar sobre las diferencias en seguridad entre organizaciones pequeñas y grandes, e incluso gobiernos?
Joannes Vermorel: Sí, ciertamente. Entonces, la cantidad de hackers que enfrentan las organizaciones pequeñas es típicamente menor, y como consecuencia, su seguridad tiende a ser más débil. Luego, un gran escalón más abajo, tienes todo lo que es como las mega corporaciones y los gobiernos. Diría que las mega corporaciones que no están impulsadas por la tecnología, como los Googles de este mundo, tienden a tener una seguridad muy débil. ¿Por qué? Porque aún se aferran a esa mentalidad de fortaleza, la seguridad por oscuridad, lo que significa que las cosas están aseguradas no porque sean transparentes y expuestas, sino porque básicamente intentan encerrarlas. Pero, ¿adivina qué? Si eres una organización muy grande, simplemente no funciona. No puedes tener las cosas encerradas y tener decenas de miles de empleados jóvenes en la organización. Eso simplemente no es compatible. Así que, en resumen, la seguridad tiende a ser bastante mala. Y en el extremo, extremo del espectro, tienes al ejército, que probablemente es el peor en términos de IT security y práctica. Sé que la gente pensaría que es justo lo contrario y diría que el ejército debería ser absolutamente seguro, extra. Pero, por el contrario, han tenido décadas de experiencia al tener sus propias redes privadas, sus propios sistemas privados, todo. Y como consecuencia, carecen dramáticamente de la exposición que deberían tener. Y si sigues algunas noticias, verás que varios ejércitos en el mundo frecuentemente tienen toneladas de problemas de TI relativamente atrasados que son consecuencia directa de la falta de exposición.
Kieran Chandler: ¿Qué es lo que tienen esas redes privadas que las hacen más vulnerables? Porque si tienes un sistema militar que ha sido privado durante décadas, seguramente podrán solucionar su seguridad y será algo seguro.
Joannes Vermorel: La cuestión es que si dices que mi red es segura porque está desconectada de internet, ¿adivina qué? De nuevo, si eres el ejército, eres una organización grande que se extiende a través de muchas ubicaciones con decenas de miles de personas. Si realmente eres un ejército activo que pelea en el extranjero, tus sistemas se extenderán por múltiples países. ¿Y cómo puedes mantener esta red completamente desconectada de todo lo demás? No puedes confiar en tus empleados ni en las personas que son miembros de nuestra organización a esa escala, no cuando tienes miles de personas. La cantidad de adquisiciones que tienes es inútil porque hemos descubierto muchos fraudes. Bernie Madoff, hasta que fue condenado, no tenía nada en su historial. Tenía un historial impecable hasta que descubrimos que era el mayor fraude de la historia. Así que, eso es lo que normalmente sucede. Confiamos en la gente hasta que se descubre algo. Tienen un historial impecable, y eso se aplica a los fondos de inversión, pero es lo mismo para el ejército y demás. Estas son solo cosas humanas. En resumen, si tu red está… completamente desconectada, ¿cómo obtienes la exposición a todos esos hackers que intentan escudriñar y sondear, por ejemplo, las vulnerabilidades que existen en el hardware de Intel? Así, los procesadores CPU tienen dos clases de vulnerabilidades que se descubrieron hace aproximadamente un año: Spectre y Meltdown. Esto significa que el hardware mismo es vulnerable y que hay clases de aplicaciones de software que se vuelven vulnerables porque el hardware en el que se ejecutan está comprometido. No creo ni por un segundo que algún ejército hoy en día no tenga hardware de Intel en sus sistemas. Quiero decir, Intel tiene algo así como más del cincuenta por ciento de cuota de mercado en CPUs para escritorios. Así que, estoy bastante seguro de que cada ejército en el mundo tiene literalmente cientos, si no miles, de estaciones de trabajo funcionando con hardware de Intel que tiene vulnerabilidades críticas. Entonces, ¿cómo manejas eso si no tienes gente que intente parchear la cosa? Bueno, lo más probable es que te quedes vulnerable hasta que alguien logre conectarse a tu supuestamente privada y protegida red, y entonces todo se derrumbará porque todo es bastante débil y no ha recibido suficiente escrutinio.
Kieran Chandler: Esto empieza a dar un poco de inquietud ahora. Puede que no pueda dormir esta noche. Intentemos terminar en una nota más positiva entonces. Los Googles y los Facebooks de este mundo están invirtiendo enormes cantidades en investigación y desarrollo en seguridad de datos. Entonces, ¿podemos imaginar un día en que el hacking sea cosa del pasado y realmente no exista?
Joannes Vermorel: Creo que sí. No hay nada como una ley física que diga que cada sistema informático es inseguro. No existe una ley fundamental que diga que la cantidad de hacking solo va a aumentar con el tiempo. Así que, esto no es entropía. Pero, en última instancia, tomará tiempo. Y en lo que respecta a las supply chains, esta evolución puede ocurrir mucho más rápido si adoptas una cultura de apertura y exposición para tu supply chain y tus sistemas de supply chain. Lo que significa que, al tener tus sistemas más transparentes, más expuestos, pero aún seguros. No estoy diciendo que quieras estar expuesto en el sentido de que cualquiera pueda acceder a cualquier cosa desde cualquier lugar, eso no es a lo que me refiero con exposición. Con exposición, me refiero a que no es seguro solo porque hay una sola persona en el IT department que se supone debe poder acceder a ello. No es este tipo de seguridad. Pero básicamente, cuantas más compañías tengan supply chains con sistemas que estén más en línea, y más seguros con una filosofía de defensa en profundidad, entonces tendrán algo mucho más rápido, algo que sea mucho más seguro.
Kieran Chandler: Tendremos que dejar las cosas ahí. Con suerte, nadie nos hackeará después de esto, o tal vez probablemente quieras que nos hackeen. White hats solamente, por favor. Eso es todo por esta semana. Muchas gracias por sintonizar, y nos veremos de nuevo la próxima vez. Adiós por ahora.
