00:02 Introducción
02:12 El aumento del cibercrimen
05:59 Paisaje competitivo
10:41 La historia hasta ahora
13:00 9 círculos del infierno
14:50 Modelo de amenazas (conceptos 1/3)
20:54 Superficie de ataque (conceptos 2/3)
25:14 Radio negro (conceptos 3/3)
30:48 Hardware inseguro (pecados 1/3)
38:05 Software inseguro (pecados 2/3)
43:42 Ataques a la cadena de suministro (pecados 3/3)
49:22 Sabiduría común (virtudes 1/3)
57:23 Inversión de seguridad (virtudes 2/3)
01:03:28 (In)Seguro por diseño (virtudes 3/3)
01:09:56 Conclusión
01:12:10 Próxima clase y preguntas del público
Descripción
El cibercrimen está en aumento. El ransomware es un negocio en auge. Debido a su naturaleza físicamente distribuida, las cadenas de suministro están particularmente expuestas. Además, la complejidad ambiental es un terreno fértil para los problemas de seguridad informática. La seguridad informática es contraintuitiva por diseño, porque es precisamente el ángulo adoptado por los atacantes para encontrar y explotar vulnerabilidades. Dependiendo de los sabores de las recetas numéricas involucradas en la optimización de la cadena de suministro, el riesgo puede aumentar o disminuir.
Transcripción completa
Bienvenidos a esta serie de clases sobre cadena de suministro. Soy Joannes Vermorel y hoy presentaré “Ciberseguridad para la cadena de suministro”. Las cadenas de suministro modernas están impulsadas en gran medida por software y cada vez más cada día. Si bien el software tiene grandes beneficios, como una mayor productividad o una mayor reactividad, también tiene graves inconvenientes. Entre esos inconvenientes se encuentra la seguridad informática, que es una clase completa de problemas y puede resultar extremadamente costosa. Sin embargo, para la cadena de suministro, no hay vuelta atrás a una era pre-software; ya no es posible operar rentablemente una cadena de suministro a gran escala sin software. Por lo tanto, la seguridad informática debe abordarse frontalmente.
El primer objetivo de esta clase será comprender la magnitud del desafío de la seguridad informática, particularmente desde una perspectiva de cadena de suministro, para comprender lo que se necesita para asegurar una cadena de suministro moderna. El segundo objetivo de esta clase será comprender qué hace que la seguridad informática sea tan única y desafiante, porque es profundamente contraintuitiva. En particular, desde una perspectiva de cadena de suministro, queremos comprender qué hace que las ideas aplicables a la seguridad informática sean adversas a la sabiduría común que prevalece en la mayoría de los círculos de la cadena de suministro.
El cibercrimen ha estado en aumento durante más de una década. El FBI proporciona estadísticas muy interesantes sobre el cibercrimen. El año pasado, las pérdidas reportadas en los Estados Unidos por cibercrimen ascendieron a más de 4 mil millones de dólares. Estas cifras probablemente subestiman la magnitud del problema, ya que las empresas, por diversas razones, tienden a subinformar los problemas. En primer lugar, tenemos los incidentes a pequeña escala, que son particularmente difíciles de evaluar y cuantificar. Por ejemplo, si pierdes medio día de operación de almacén en un almacén debido a una pequeña violación de seguridad informática, este es apenas el tipo de incidente que justificaría un informe real y una reclamación de daños, aunque hubo algún daño real.
Por otro lado, los incidentes a gran escala tienden a ser subinformados por las grandes empresas, si solo para evitar causar un pánico en el mercado si la empresa resulta ser de capital abierto. Por lo tanto, los incidentes grandes tienden a minimizarse. Sin embargo, las cifras más importantes e interesantes de estos informes son el crecimiento anual de las pérdidas reportadas, que es de aproximadamente el 30 por ciento. El FBI muestra que estos números han sido muy estables en los últimos cinco años. Mi opinión personal al respecto es que este crecimiento es muy probable que se mantenga estable en términos de la tendencia creciente para la próxima década. De hecho, la importancia del software sigue creciendo constantemente y nuestra economía moderna sigue siendo cada vez más dependiente del software. Por lo tanto, sospecho que esta tendencia seguirá creciendo durante aproximadamente una década antes de alcanzar un punto de estabilización.
Ahora bien, el cibercrimen es grande y está creciendo; sin embargo, no es el fin del mundo, especialmente cuando lo comparamos con la magnitud de otros problemas. Por ejemplo, si asumimos una década de crecimiento anual constante del 30 por ciento, el cibercrimen en términos de pérdidas reportadas alcanzaría aproximadamente los 50 mil millones de dólares anuales en los Estados Unidos. Esto haría que la escala de este problema sea aproximadamente un tercio del mercado de drogas ilegales. Entonces, si bien el cibercrimen es un gran problema, no es exactamente un problema de nivel apocalíptico, especialmente cuando comparamos esta cifra con el PIB de los Estados Unidos. Sin embargo, es un problema que se está volviendo lo suficientemente serio como para requerir una atención muy dedicada, especialmente porque la mayoría de los costos son asumidos por los actores que prestan menos atención. Este costo no se distribuye de manera uniforme y mi opinión es que las cadenas de suministro, al estar particularmente expuestas, están soportando una parte más grande de este costo que el resto de la economía. En esta porción, las empresas que prestan menos atención están apoyando la mayor parte del costo.
Para crear un problema de seguridad informática, puedes comprometer máquinas, personas o una combinación de máquinas y personas. Las técnicas que aprovechan a las personas se conocen técnicamente como técnicas de ingeniería social, que pueden ser increíblemente eficientes para aprovechar los problemas de seguridad informática. Sin embargo, la ingeniería social merecería una clase aparte y hoy el objetivo de esta clase es centrarse en la parte informática del problema. Las cadenas de suministro están muy expuestas, prácticamente por diseño. En primer lugar, las cadenas de suministro involucran muchas máquinas. En segundo lugar, las cadenas de suministro consisten en operaciones geográficamente distribuidas. En tercer lugar, por diseño, las máquinas en las cadenas de suministro están increíblemente interconectadas e interdependientes. Por último, muchas personas están involucradas en las cadenas de suministro, lo que significa que el panorama de aplicaciones es muy complejo. Donde hay complejidad, también hay fragilidad en términos de seguridad informática. En total, las cadenas de suministro tienen todos los ingredientes para ser objetivos principales de problemas de seguridad informática.
Si no fuera lo suficientemente complicado, me gustaría señalar de inmediato que la seguridad informática suele entrar en conflicto con otros tipos de seguridad, por lo que mejorar la situación en el frente de la seguridad informática puede crear otros tipos de problemas de seguridad. Para ilustrar este aspecto, que puede ser bastante contra intuitivo, echemos un vistazo al caso de un lago de datos. Si introduces un lago de datos en el que recopilas todos los datos de tu cadena de suministro, creas un único punto de fallo. Si hay una violación en este lago de datos y un intruso puede comprometerlo, entonces este único atacante podrá extraer todos los datos de una vez. Esto es algo que viene por diseño con la propia noción de un lago de datos y no hay solución alternativa.
Sin embargo, un lago de datos también tiene sus ventajas. Si no tenemos un lago de datos, la empresa está expuesta a otro tipo de problemas. La mayoría de los fraudes corporativos se basan en el hecho de que, típicamente en una gran organización, la mano derecha no sabe lo que hace la mano izquierda, y esta falta de comunicación y sincronización dentro de la empresa se puede utilizar para cometer varios tipos de fraudes. Una forma de mitigar estos problemas consiste en reunir todos los datos para que dichos fraudes se vuelvan mucho más evidentes, simplemente porque todas las piezas se han unido. En este sentido, tener un lago de datos puede ser una excelente manera de mitigar todo tipo de fraudes que de otra manera pasarían desapercibidos simplemente porque los datos no se pueden conciliar. Así, podemos ver que tener un lago de datos crea un problema de seguridad informática, pero también es parte de la solución para evitar varios tipos de fraudes que pueden ser muy costosos para la empresa.
Vemos aquí que la seguridad informática se trata de compensaciones, no solo entre los costos involucrados con los mecanismos de seguridad, sino también de compensaciones con otros tipos de seguridad que van más allá del ámbito específico de la seguridad informática.
Esta clase es la séptima clase de este cuarto capítulo sobre cadena de suministro, y este cuarto capítulo está dedicado a las ciencias auxiliares de la cadena de suministro. Las ciencias auxiliares representan temas que no son exactamente cadena de suministro, pero son fundamentales para una práctica moderna de la cadena de suministro.
Desde que comenzamos este cuarto capítulo, hemos estado subiendo la escalera de la abstracción. Comenzamos con la física de la computación y luego nos movimos hacia el software con el elemento más básico del software, es decir, los algoritmos. Luego nos adentramos en dos tipos específicos de algoritmos bastante elaborados, la optimización matemática y el aprendizaje automático, que son de gran interés para la cadena de suministro. En particular, hemos visto que tanto la optimización matemática como el aprendizaje automático resultan impulsados por paradigmas de programación. Por lo tanto, hicimos un desvío a través de la clase sobre lenguajes y compiladores, que probablemente sea uno de los temas más subestimados en los círculos de la cadena de suministro en cuanto a conocimientos informáticos se refiere.
En la última clase, nos adentramos en la ingeniería de software, centrándonos en dejar las máquinas atrás por un tiempo y enfocándonos en las personas que crean el software necesario para que una cadena de suministro funcione en primer lugar. Hoy, después de centrarnos en lo que se necesita para crear el software necesario para que funcione tu cadena de suministro, nos vamos a centrar en lo que se necesita para destruir y desactivar este mismo software que debería hacer que tu cadena de suministro funcione.
El resto de esta clase se dividirá en tres bloques. En primer lugar, revisaremos tres conceptos clave que son de interés incluso para comprender la seguridad informática. Si bien la seguridad informática es profundamente contraintuitiva, esto no significa que sea impermeable a la racionalidad y al análisis lógico. En segundo lugar, analizaremos y enumeraremos una serie de causas raíz muy comunes detrás de muchos, si no la mayoría, de los problemas de seguridad informática en la actualidad. En particular, veremos que es difícil no sentirse abrumado considerando el alcance mismo de las causas raíz de los problemas de seguridad informática. Por último, echaremos un vistazo a lo que se puede hacer para, al menos, mitigar los riesgos de seguridad informática. Veremos que la mayor parte del conocimiento que se encuentra en el lado positivo, o el lado de lo que se puede hacer, es del tipo de conocimiento negativo, enfatizando lo que se debe evitar en lugar de lo que se debe hacer. Intentaré cubrir todos estos temas desde una perspectiva de cadena de suministro; sin embargo, hay muchos aspectos que no son específicos de la cadena de suministro en lo que respecta a la seguridad informática.
Para poder pensar en una solución, primero debemos aclarar el problema que estamos tratando de resolver en primer lugar. Esta es la línea exacta de pensamiento que tuve para el tercer capítulo de esta serie, que está dedicado al personal de la cadena de suministro. De hecho, el personal de la cadena de suministro intenta cristalizar los mismos problemas que estamos tratando de resolver, y en seguridad informática, hay un equivalente aproximado en forma del modelo de amenazas. El modelo de amenazas es literalmente una herramienta para cristalizar el tipo de problema que estamos tratando de solucionar en términos de seguridad. La seguridad informática es bastante escurridiza, vaga y diversa; es muy difícil razonar sobre la seguridad informática. Cuando se tiene una discusión sobre seguridad, es muy difícil no sufrir el problema de mover los postes de la portería a lo largo de la discusión, incluso si las personas que participan en la discusión lo hacen de buena fe.
Por ejemplo, si estamos discutiendo la amenaza de que un empleado haga pública una contraseña, lo cual es más fácil de lo que parece incluso si el empleado no está equivocado, la discusión no debería desviarse hacia otros tipos de amenazas, como tener contraseñas débiles o comunes. Pensar claramente sobre una amenaza es esencial en seguridad informática porque una solución mal concebida para un problema dado tiende a ser peor que el problema original. Si una empresa decidiera que, para limitar el problema de las contraseñas expuestas, tomaría medidas disciplinarias contra los empleados declarados culpables de revelar sus contraseñas, este enfoque probablemente tendría graves consecuencias negativas. En lugar de buscar apoyo, los empleados comenzarían a ocultar los problemas que enfrentan con sus contraseñas, empeorando el problema a largo plazo.
Lo interesante de los modelos de amenazas es que te obligan a elegir tus batallas, a elegir las amenazas que vas a abordar y las que no vas a abordar, incluso si la amenaza es real. Por ejemplo, considera la siguiente amenaza: ¿qué pasa con un empleado deshonesto con acceso de alto privilegio al lago de datos? ¿Qué sucedería si esta persona exfiltrara datos aprovechando sus altos privilegios? Esta es una amenaza, pero ¿decides combatir esta amenaza específica o no? Tienes recursos limitados y tiempo limitado. Abordar esta amenaza muy específica puede resultar increíblemente costoso y, por lo tanto, el modelado de amenazas también te ayuda a decidir que, en algún momento, hay algunas amenazas que simplemente son demasiado costosas de abordar. Tus recursos y tiempo se utilizarían mejor para abordar otros tipos de amenazas, que pueden ser igual de amenazantes pero mucho más baratas y fáciles de abordar.
En este sentido, ten cuidado con las analogías. El tipo de amenazas a las que te enfrentas en la seguridad informática son completamente diferentes a las amenazas que enfrentas en términos de riesgo industrial o riesgo físico. La seguridad informática implica adversarios, personas que pueden pensar y adaptar sus acciones a tus prácticas y políticas. Por ejemplo, si tienes procesos de seguridad bien documentados, un atacante podría aprovechar esta documentación existente para identificar tus puntos ciegos. Mi punto no es que no debas tener ninguna documentación sobre seguridad; mi punto es que cuando se trata de seguridad informática, los adversarios son inteligentes y pueden aprovechar cualquier cosa que les des, incluso si son tus propios procesos de seguridad. Por lo tanto, el modelado de amenazas realmente ayuda a comenzar a pensar en este tipo de problemas.
En el mundo físico, la superficie de ataque es algo relativamente obvio. Si pensáramos en un castillo medieval, la superficie de ataque serían las paredes y el puente levadizo. Sin embargo, en el mundo de la informática, la situación es mucho más compleja. En términos de seguridad informática, elementos aparentemente insignificantes pueden ser potencialmente atacados. Una intuición clave sobre las superficies de ataque es que siempre son mayores de lo que piensas.
Un ejemplo del mundo real de esto es el cable OMG, que parece un cable USB completamente normal pero viene con una microcomputadora en su interior que podría comprometer cualquier computadora simplemente conectando el cable. Esta pieza de hardware económica se puede comprar por solo $139, lo que demuestra lo accesibles que pueden ser estas superficies de ataque.
En términos de superficies de ataque, cada pieza de hardware y software tiene su propia superficie de ataque, sin importar cuán insignificante parezca. Además, en el caso específico de la cadena de suministro, es muy difícil incluso identificar todas las superficies de ataque. La TI en la sombra, que es frecuente en el mundo de la cadena de suministro, y los dispositivos de propiedad de los empleados (patrones de traer tu propio dispositivo) son puntos de entrada adicionales para un atacante en tu cadena de suministro. No se trata solo de lo que es gestionado por el equipo de TI, sino también de todas las cosas que no son gestionadas por tu equipo de TI pero que contribuyen, de una forma u otra, a las operaciones de tu cadena de suministro.
La idea de la superficie de ataque es aclarar qué puede ser atacado, sin centrarse en cómo se puede realizar el ataque. Conceptualmente, lo interesante de la idea de la superficie de ataque es que te obliga a crear algún tipo de mapeo de todos los elementos que pueden ser comprometidos de una forma u otra. Desde una perspectiva específica de la cadena de suministro, cualquier tipo de software con capacidades programables, como las hojas de cálculo de Excel o los scripts de Python, tiene una superficie de ataque absolutamente masiva si la programabilidad o la compatibilidad extensa se realiza con un lenguaje de programación genérico. Por lo tanto, en lo que respecta a la cadena de suministro y considerando la cantidad de configuración que se está realizando, la superficie de ataque suele ser bastante masiva.
Ahora, como tercer concepto, tenemos el radio de explosión, que es una forma de medir el impacto potencial total de un evento de seguridad. Cuando comienzas a pensar en términos de radio de explosión, no te preguntas si este evento va a suceder; simplemente comienzas a pensar: “Cuando suceda, ¿cuál será el radio de explosión real del problema?” La idea es que intentas pensar en las consecuencias, independientemente de las medidas de mitigación implementadas. Si y cuando este evento ocurra, ¿cuál será el impacto?
Si volvemos a la analogía del castillo, el radio de explosión en el mundo de las computadoras puede ser increíblemente grande. Por ejemplo, en el caso del ataque al Colonial Pipeline, el sistema comprometido era solo una pequeña parte del sistema, simplemente el sistema de facturación. El radio de explosión real de tener el sistema de facturación de una sola empresa comprometido afectó a todo el estado de Texas. Esto te da una idea del radio de explosión real de los problemas de seguridad informática cuando comienzas a pensar en las cadenas de suministro.
Con la llegada de la computación en la nube, los radios de explosión se han expandido enormemente. Si bien la computación en la nube es extremadamente competitiva como modelo de negocio y modelo operativo de TI, viene con radios de explosión masivos. Si un atacante obtiene control administrativo sobre tus recursos de computación en la nube, puede deshacer todo tu panorama de aplicaciones de una vez, creando un único punto de falla con consecuencias de gran alcance. El hecho de que estés trasladando aplicaciones a la nube tiende a exacerbar el problema de la interconexión, lo que lleva a radios de explosión más grandes.
Cuando trasladas aplicaciones a la nube, obtienes facilidad para interconectarlas con otras aplicaciones en la nube, lo cual tiene beneficios comerciales reales. Sin embargo, en términos de radios de explosión, estás creando interdependencias masivas que pueden ser aprovechadas por un atacante para generar un radio de explosión de tamaño impresionante.
En términos de cadena de suministro, pensar en el radio de explosión es una buena manera de pensar en formas de mitigar esos radios de explosión. Si volvemos a otro ejemplo de cadena de suministro, consideremos que, como describí en la conferencia anterior, tenemos dos tipos de elementos de software en la gestión de la cadena de suministro. Tenemos los elementos transaccionales, que son esencialmente la gestión de la cadena de suministro en sí, como el seguimiento de los niveles de stock. Luego, tenemos los elementos analíticos, que involucran la optimización de la cadena de suministro, incluyendo pronósticos, planificación y varios análisis estadísticos de los datos.
Si decidimos mantener todos los elementos de software de naturaleza analítica estrictamente aislados de la producción, de modo que la parte analítica de tu panorama de aplicaciones pueda leer los datos de los sistemas transaccionales pero nunca escribir nada en esos sistemas, significa que cuando los sistemas analíticos se vean comprometidos, el radio de explosión se limitará a la parte analítica de tu panorama de aplicaciones. Más directamente, si tu software de pronóstico se ve comprometido, no compromete la pieza de software que realiza el seguimiento de tus niveles de stock.
Ahora, revisemos las causas raíz y las fuentes de los problemas de seguridad informática. En cuanto al hardware, la situación es absolutamente terrible. En resumen, el barril está goteando por todas partes y toda la comunidad sigue aplicando cinta adhesiva para solucionar apresuradamente los problemas que constantemente surgen. Casi todo en cuanto al hardware está roto en la actualidad.
Por ejemplo, todos los CPU modernos están prácticamente rotos. En 2018, un equipo de investigadores de seguridad reveló dos nuevas clases de vulnerabilidades en los CPU modernos llamadas Spectre y Meltdown. Estas vulnerabilidades aprovechan las capacidades de predicción de ramificación que se encuentran en los CPU modernos. Como recordarás de la conferencia sobre informática moderna para la cadena de suministro, hemos visto que los CPU modernos tienen tuberías de ejecución muy profundas y una forma de lograr un alto rendimiento es a través de la predicción de ramificación. Resulta que este mecanismo de predicción de ramificación, que se encuentra en todos los CPU modernos del mercado, puede ser explotado para violar los límites de seguridad. Esta situación es difícil de resolver porque es una falla de diseño fundamental asociada con tener predicción de ramificación en los CPU en primer lugar.
Los CPU tienen un montón de problemas, y ni siquiera menciono aquellos con puertas traseras accidentales debido al soporte heredado. Pero resulta que las memorias también están rotas. Existe una clase de ataques llamados ataques Rowhammer que aprovechan la disposición física de las celdas de memoria modernas que se encuentran en la DRAM moderna de alta densidad. Es posible provocar errores de memoria y explotar esos errores para extraer datos de las máquinas. No hay una solución real, incluso si tienes DRAM ECC (Código de Corrección de Errores), que es el tipo de memoria que se encuentra típicamente en las máquinas de centros de datos de producción. ECC solo ralentiza los ataques Rowhammer; no puede prevenirlos. Todo lo que se necesita para llevar a cabo un ataque Rowhammer es hacer que la máquina ejecute una página web con JavaScript habilitado en esta página web, y luego puedes extraer datos directamente de la memoria de la máquina. No solo los CPU y la memoria están rotos, sino que también el USB está roto. Cuando se trata de USB, es seguro asumir que cualquier dispositivo USB que conectes a tu propio dispositivo puede comprometer el dispositivo conectado. Vimos un ejemplo con el cable “Oh My God” en una diapositiva anterior, pero fundamentalmente, el problema es muy profundo. La causa raíz es esencialmente decisiones muy malas que se tomaron hace décadas sobre USB, especialmente cuando se trata de plug-and-play.
Desde una perspectiva de experiencia de usuario, es genial que cuando conectas un dispositivo a tu computadora, pueda funcionar de inmediato. Sin embargo, lo que está sucediendo en el fondo es que hay toneladas de inteligencia dentro del controlador USB para importar automáticamente controladores y habilitar automáticamente todo tipo de funciones que pueden ser utilizadas como puntos de entrada para que un atacante tome el control de tu máquina. Por lo tanto, todas esas características de plug-and-play son muy agradables desde una perspectiva de experiencia de usuario, pero son una pesadilla completa desde una perspectiva de ciberseguridad.
Por cierto, muchos, si no la mayoría, de los chipsets de Wi-Fi también tienen terribles fallas de seguridad. Investigadores en 2017 mostraron que los chipsets producidos por Broadcom, que se utilizaban ampliamente tanto en los teléfonos iPhone como en los de Samsung, tenían fallas. Todo lo que se necesitaba para que un atacante comprometiera el dispositivo era estar dentro del alcance de Wi-Fi y tener el Wi-Fi activo para tomar el control del dispositivo de forma remota.
Desde una perspectiva de cadena de suministro, vemos que no solo el hardware convencional está roto en gran medida, sino que la distribución geográfica, que puede amplificarse aún más si tienes algún tipo de IoT en tu cadena de suministro, está sujeta a todos los problemas que acabo de describir y aún más. Un atacante puede obtener acceso físico con frecuencia a tu hardware, o al menos se vuelve mucho más difícil evitar el acceso físico a cualquier dispositivo que pueda estar conectado a tu cadena de suministro. Por lo tanto, las cadenas de suministro están extremadamente expuestas por diseño en lo que respecta al hardware.
Como hemos visto que el estado de los asuntos en cuanto a la seguridad del hardware es terrible, no debería ser una gran sorpresa que el estado de los asuntos en cuanto a la seguridad del software también sea terrible. No voy a enumerar todas las fallas que se pueden encontrar en el software; la idea clave es que cada capa tiene sus propios problemas de seguridad informática. Podríamos hablar sobre el sistema operativo, las máquinas virtuales, los hipervisores, los marcos de aplicaciones, los servidores web, y así sucesivamente. Todas estas capas han encontrado una serie de graves problemas de seguridad informática.
Sin embargo, lo que me gustaría señalar es que, en términos de software, incluso las piezas de software que se supone que te protegen pueden tener graves consecuencias negativas. Por ejemplo, los antivirus representan una clase completa de problemas de seguridad. Un antivirus es un software que opera con enormes privilegios en la máquina, simplemente porque se supone que debe ser capaz de escanear lo que están haciendo todos los demás procesos. Por necesidad, el antivirus opera con enormes privilegios, lo que significa que es un objetivo principal para un atacante. Además, el antivirus, si existe, estará presente en muchas máquinas de la empresa, por lo que es el mismo software con privilegios muy altos que resulta estar presente en muchas máquinas. Esto realmente es un objetivo principal para un atacante, ¿y adivina qué? Muchos atacantes en la actualidad están atacando directamente a los antivirus. Esto es, por cierto, lo que puedes ver en la pantalla: investigadores de seguridad mostrando cómo comprometer un antivirus existente en el mercado para usar este antivirus y extraer datos del objetivo.
Sin embargo, los problemas con los antivirus son muy profundos. Un antivirus es fundamentalmente una computación muy intensiva en recursos. Como resultado, significa que los antivirus inevitablemente involucran mucha programación de bajo nivel para lograr el nivel deseado de rendimiento. Desafortunadamente, cuanto más trucos de bajo nivel tienes en tu software para lograr un gran rendimiento informático, más superficie de ataque obtienes, simplemente porque te expones en términos de problemas de bajo nivel. Además, los antivirus son, por diseño, piezas de software que necesitan interactuar constantemente con el mundo exterior. Típicamente, un antivirus no vale nada si no se actualiza constantemente con el último conjunto de firmas y bits de lógica sobre cómo detectar el malware más reciente. Por lo tanto, terminas con un software que aumenta tu superficie de ataque simplemente porque necesita conectarse a la red y muchas otras cosas.
Mi opinión personal es que la mayoría de las soluciones antivirus están haciendo más daño que bien en el mercado actual de software empresarial. Pero la realidad es que prácticamente lo mismo se puede decir de la mayoría de las soluciones de seguridad. En los últimos años, ha habido problemas graves a nivel mundial donde los atacantes específicamente atacaron algunas soluciones de seguridad, simplemente porque esas soluciones de seguridad comparten las mismas características clave que los antivirus: altos privilegios, alcance extenso y alta conectividad, lo que las convierte en objetivos principales para los atacantes.
Para concluir desde una perspectiva de la cadena de suministro, me gustaría señalar que el tipo de software empresarial que prevalece en los círculos de la cadena de suministro tiende a tener una seguridad abismal debido a su gran complejidad interna. Ya es difícil asegurar un software que es muy delgado y liviano; cuando estás lidiando con un producto muy inflado que ha estado creciendo constantemente durante décadas, se convierte en una tarea casi imposible.
Finalmente, los ataques a la cadena de suministro son de interés por al menos dos razones muy distintas. En primer lugar, los ataques a la cadena de suministro son interesantes porque han crecido enormemente en los últimos años. Mi propia predicción personal es que estos ataques a la cadena de suministro probablemente serán una de las formas dominantes de ataques de seguridad informática en la próxima década. En segundo lugar, la presencia de la palabra clave “cadena de suministro” en el nombre de los ataques puede generar mucha confusión, especialmente al discutir con una audiencia de cadena de suministro. Un ataque a la cadena de suministro es simplemente un ataque que apunta a una de las dependencias de su software. Por ejemplo, atacar directamente a Amazon, el software producido directamente por Amazon, podría resultar muy difícil. Posiblemente, los equipos de Amazon son muy seguros y competentes, y su software está muy bien diseñado, con pocas fallas de seguridad para aprovechar. Sin embargo, ¿qué hay de todas las dependencias o piezas de software que son utilizadas por Amazon pero que no fueron creadas o diseñadas en primer lugar por Amazon? Todos esos elementos son, por ejemplo, el caso del software de código abierto. En la actualidad, cada proveedor está utilizando masivamente software de código abierto. Puedes nombrar cualquier empresa grande hoy en día; es probable que estén utilizando extensamente partes de software de código abierto.
Si volvemos al caso de Amazon, ¿qué pasa si comprometo uno de los componentes de código abierto utilizados por Amazon, si no puedo lograr comprometer directamente a Amazon? Esa es exactamente la esencia de un ataque a la cadena de suministro. Resulta que el viernes pasado, probablemente se produjo una de las mayores violaciones de seguridad informática de la década con la vulnerabilidad “catastrófica” de Log4j descubierta. En resumen, Log4j es un componente de código abierto utilizado para registrar errores. Esencialmente, cuando el software encuentra un error, quieres poder rastrear los errores después del hecho, y cuando ocurre un error, normalmente quieres registrar este error. Esa es la función principal de un registrador, como Log4j. La “j” en Log4j significa Java, que, en el mundo del software empresarial, es una de las pilas de software dominantes. Para todo el software implementado en Java, la mayoría de los productos necesitan un registrador, y la mayoría probablemente esté utilizando Log4j en este momento.
Resulta que se encontró una vulnerabilidad catastrófica, clasificada como 10 de 10 en una escala de criticidad de seguridad, el viernes pasado en Log4j. Como esta pieza específica de software fue sometida a un gran escrutinio, debido al caos a gran escala en todo el mundo como resultado de esta única vulnerabilidad, hoy se encontró una segunda vulnerabilidad crítica. Esta es realmente la esencia de un ataque a la cadena de suministro: un componente pequeño, aparentemente inocuo, algo que probablemente nunca hayas oído hablar o incluso te hayas dado cuenta de que dependías de él, resulta estar en el núcleo de tu sistema y puede crear una gran cantidad de caos porque crea vulnerabilidades.
Desde una perspectiva de la cadena de suministro, resulta que las cadenas de suministro son particularmente vulnerables a los ataques a la cadena de suministro. Esto se debe a que las cadenas de suministro modernas están muy interconectadas. Lo más probable es que tu empresa, si estás gestionando una cadena de suministro moderna, esté muy conectada en términos de software tanto con tus proveedores como con tus clientes. Puede tomar la forma de EDI, pero también puede tomar todo tipo de formas con la integración informática entre empresas. En términos de ataques a la cadena de suministro, significa que no solo son las dependencias de software las que tienes para atacarte; lo más probable es que todo lo que se necesite sea comprometer una de las dependencias de uno de tus proveedores o una de las dependencias de uno de tus clientes. En términos de superficie de ataque, las cadenas de suministro son muy vulnerables y están expuestas por diseño.
Hasta ahora, lo que hemos visto es una imagen bastante sombría de la situación, y creo que esta es una representación precisa de la seguridad informática actual. Tenemos toneladas de problemas y me temo que estaré discutiendo en esta última sección qué se puede hacer al respecto. Pero déjenme ser claro; en este momento, es una batalla cuesta arriba y extremadamente difícil que debes estar preparado para perder de vez en cuando. Solo porque esto sea muy difícil no significa que no debamos intentar mejorar en términos de seguridad.
Comencemos con la sabiduría común en términos de seguridad informática. El FBI tiene una recomendación de los cinco principales en términos de seguridad informática. Veamos estas recomendaciones. La primera recomendación es hacer copias de seguridad, probar tus copias de seguridad y mantener tus copias de seguridad sin conexión. En general, es una buena recomendación. Sin embargo, la idea de mantener las copias de seguridad sin conexión es algo irrealista. Es muy costoso y difícil. Para que una copia de seguridad sea útil, debes hacerla con frecuencia. Una copia de seguridad que tenga un mes de antigüedad suele ser completamente inútil. Si estás haciendo copias de seguridad con mucha frecuencia, todos los días, cada hora o incluso cada minuto, se vuelve desafiante tener una copia de seguridad verdaderamente sin conexión. Mi sugerencia sería mantener tus copias de seguridad estrictamente aisladas. Cuando se trata de copias de seguridad, concéntrate en la recuperación rápida. Lo que importa no es tener un plan de copia de seguridad, sino un plan de recuperación si tu panorama aplicativo termina comprometido.
La segunda recomendación es utilizar la autenticación de múltiples factores. Nuevamente, esta es una buena recomendación, ya que las contraseñas son inseguras. Sin embargo, el problema con la autenticación de múltiples factores es que con mucha frecuencia solo tienes la ilusión de tenerla. Por ejemplo, si tienes una contraseña y una confirmación por teléfono, podrías decir que es una autenticación de dos factores. Pero si puedo restablecer la contraseña con el teléfono en mi mano, solo es una autenticación de un factor. Con la autenticación de múltiples factores, asegúrate de que esos factores estén verdaderamente aislados y no se conviertan en una autenticación de un solo factor porque un factor prevalece sobre los demás.
La tercera recomendación es actualizar y parchear tus sistemas. Esta es una buena práctica; sin embargo, demasiado de algo bueno puede convertirse en algo malo. Uno de los problemas más graves que tenemos hoy en día son los ataques a la cadena de suministro en los que dependemos de las actualizaciones automáticas de software. Si un atacante logra llevar a cabo un ataque a la cadena de suministro comprometiendo un software de código abierto, y hay miles de ellos, significa que simplemente dejando que las actualizaciones automáticas se hagan cargo, este malware entra en tus sistemas. Esto se está volviendo cada vez más peligroso. La mayoría de los problemas con el hardware USB provienen de las capacidades de actualización automática del firmware. Entonces, si bien es importante actualizar y parchear tus sistemas, siempre considera si estás creando un problema de seguridad aún mayor.
La cuarta recomendación es asegurarte de que tus soluciones de seguridad estén actualizadas. En esta recomendación, no estoy muy seguro de qué constituye una solución de seguridad. Esta recomendación parece ser el producto directo de algún esfuerzo de cabildeo de una empresa de seguridad. La mayoría de lo que se anuncia hoy en día como soluciones de seguridad puede no hacer que tu cadena de suministro o empresa sea más segura. Sin embargo, si tienes un software, generalmente es mejor mantenerlo actualizado, ya sea una solución de seguridad o cualquier otra cosa.
La última recomendación es revisar y poner en práctica tu plan de respuesta ante incidentes. Esta recomendación no es mala, pero en mi opinión, no llegaría a estar entre las cinco principales. Este tipo de pensamiento es más apropiado para lidiar con accidentes industriales, como el riesgo de incendio, pero no necesariamente con problemas de seguridad informática. Mi recomendación número cuatro, en términos de seguridad, sería conocer tus modelos de amenazas, conocer tu superficie de ataque y conocer tu radio de explosión. El simple hecho de saber cómo estás expuesto en primer lugar y el tipo de cosas que pueden suceder ayuda mucho a prevenir problemas. El conocimiento en términos de seguridad informática es clave.
Mi recomendación número cinco sería que la seguridad informática es una cultura, no un proceso ni una solución. Esto es solo un recordatorio de que ninguna lista de verificación de ningún tipo será beneficiosa para tu empresa a largo plazo. Es una cultura.
En cuanto a la inversión en seguridad, parece que nuestras expectativas intuitivas en términos de modelos a seguir o en quién debemos confiar para la seguridad informática son invariablemente incorrectas. Las organizaciones que parecen ser las más seguras en el exterior o en términos de apariencia suelen ser las peores, mientras que las organizaciones que parecen muy grises o sospechosas suelen ser las mejores. Esta es la esencia de la paradoja de la inversión en seguridad.
A modo de evidencia anecdótica, me gustaría señalar una charla de 2014 sobre seguridad en aeropuertos, donde dos investigadores de seguridad mostraron que, en términos de seguridad informática, los aeropuertos son realmente malos. La seguridad es tan deficiente que casi sería cómico si no fuera tan grave. Uno esperaría que los aeropuertos internacionales se beneficiaran de una seguridad informática increíblemente estricta, pero la realidad es exactamente lo contrario. La seguridad informática es literalmente una completa broma, con una enciclopedia de vulnerabilidades que demuestran completa incompetencia, falta de cuidado y apatía hacia el problema.
Esta charla coincide con mi propia experiencia profesional. Como pasatiempo profesional, he estado realizando auditorías tecnológicas en nombre de empresas de inversión durante más de una década. He tenido la oportunidad de auditar docenas de empresas tecnológicas y mi observación es que cuanto más segura es la apariencia o el contexto de la empresa, peor parece ser su seguridad informática real. Las empresas que operan en campos de defensa y seguridad tienden a tener una seguridad increíblemente deficiente, mientras que las que se encuentran en áreas grises, como los sitios web de apuestas y los sitios web para adultos, tienden a tener una excelente seguridad informática.
Los mismos problemas incluso ocurren dentro de una industria específica. Por ejemplo, en el campo de la salud, he presenciado que la seguridad de los dispositivos utilizados por los cirujanos durante las operaciones es completamente lamentable, mientras que la seguridad informática de las máquinas expendedoras en el hospital es bastante buena. Intuitivamente, pensarías que los dispositivos utilizados en la cirugía deben ser increíblemente seguros, pero ocurre lo contrario. La máquina expendedora es más segura que los dispositivos utilizados por el cirujano.
Esta inversión contra intuitiva, creo, se debe a una simple cuestión de darwinismo. Ningún aeropuerto internacional ha quebrado debido a problemas masivos de seguridad informática. Estos aeropuertos ni siquiera tienen permitido fallar y pueden salirse con la suya con problemas continuos de seguridad informática durante años con un impresionante grado de apatía. Por el contrario, si diriges una empresa que opera una aplicación de apuestas en línea y permites que los hackers extraigan dinero, no durarás mucho y nadie vendrá a rescatarte.
A modo de evidencia anecdótica, me gustaría señalar una charla de 2014 sobre seguridad en aeropuertos. En esta charla, dos investigadores de seguridad mostraron que, en términos de seguridad informática, los aeropuertos son realmente malos. La seguridad es tan deficiente que casi sería cómico si no fuera tan grave. Esto es exactamente lo contrario de lo que esperarías; anticiparías que los aeropuertos internacionales tendrían una seguridad informática increíblemente estricta. Sin embargo, la seguridad informática en los aeropuertos es literalmente una completa broma. Estos investigadores de seguridad mostraron que no es solo una vulnerabilidad, sino una enciclopedia de vulnerabilidades, con muchos de los problemas que demuestran completa incompetencia, falta de cuidado y apatía.
Esta charla coincidió con mi propia experiencia profesional. Como pasatiempo profesional, he estado realizando auditorías tecnológicas en nombre de empresas de inversión durante más de una década. He tenido la oportunidad de auditar docenas de empresas tecnológicas, y mi observación es que cuanto más segura parece o es el contexto de la empresa, peor parece ser su seguridad informática real. Por ejemplo, las empresas que operan en campos de defensa y seguridad tienden a tener una seguridad informática increíblemente deficiente, mientras que las empresas que operan en áreas grises, como sitios web de apuestas o sitios web para adultos, tienden a tener una excelente seguridad informática.
Curiosamente, los mismos problemas incluso ocurren dentro de una industria específica. Por ejemplo, en el campo de la salud, la seguridad de los dispositivos utilizados por un cirujano durante una operación es lamentable, mientras que la seguridad informática de las máquinas expendedoras en el pasillo del hospital es bastante buena. Intuitivamente, pensarías que todo lo que entra en la sala de operaciones debe ser increíblemente seguro porque está en juego la vida del paciente, pero ocurre lo contrario. La máquina expendedora es más segura que los dispositivos utilizados por el cirujano.
Esta inversión contraintuitiva, creo, es simplemente una cuestión de darwinismo. Ningún aeropuerto internacional ha quebrado debido a problemas masivos de seguridad informática, y ni siquiera se les permite fracasar. Como resultado, pueden salirse con la suya con problemas continuos de seguridad informática durante años con un grado impresionante de apatía. Por el contrario, si diriges una empresa que opera una aplicación de apuestas en línea y permites que los hackers extraigan dinero porque pueden cambiar los resultados de las apuestas, no durarás mucho y nadie vendrá a tu rescate.
Como resultado, esas personas son esencialmente sobrevivientes. Son aquellos que hicieron todo lo necesario para asegurar sus sistemas. Para la cadena de suministro, la lección clave aquí es que si estás buscando ayuda genuina en seguridad informática para ayudarte a asegurar tu cadena de suministro, no busques ex funcionarios militares con credenciales impecables. En su lugar, busca a un administrador de sistemas o a alguien que haya estado involucrado con un sitio web para adultos o apuestas en línea, esas áreas marginales donde las personas realmente necesitaban habilidades, talento y dedicación para sobrevivir. De lo contrario, la empresa habría dejado de existir bajo su supervisión.
Como parte final sobre lo que se puede hacer en términos de seguridad informática, me gustaría resaltar el papel del diseño. Cuando se trata de seguridad informática, muchos llamados expertos te dirían que necesitas capacitar a tus equipos. Personalmente, no estoy tan seguro, en el sentido de que no puedes entrenar a las personas para que no cometan errores. Incluso las personas más inteligentes van a estar cansadas, enfermas y cometer errores muy estúpidos de vez en cuando. No puedes depender únicamente de la capacitación. La seguridad informática no es como la seguridad militar; no puedes simplemente someter a las personas a una intensa capacitación para que puedan operar por instinto. La mayoría de las veces, la situación realmente requiere que estés tranquilo y pienses detenidamente en lo que está sucediendo. De lo contrario, es muy probable que la solución sea peor que el problema que tenías en primer lugar.
Mi opinión es que si tienes un problema de diseño en tu organización en cuanto a seguridad informática, no importa cuánta capacitación o cinta adhesiva utilices, no podrás solucionar el problema. Será una batalla que no podrás ganar. Cuando abordas las cosas desde una perspectiva de diseño, estás buscando decisiones o aspectos que pueden tener un impacto masivo en los modelos de amenazas, las superficies de ataque y el radio de explosión. Quieres tomar decisiones de diseño que eliminen tantas clases de modelos de amenazas como sea posible, eliminen superficies de ataque completas y restrinjan el radio de explosión potencial.
Por ejemplo, al hablar de las superficies de ataque, considera las decisiones de diseño involucradas. Si tu organización elige proveedores de software mediante Solicitudes de Propuestas (RFPs) o Solicitudes de Cotización (RFQs), puedes estar seguro de que tendrás problemas masivos de seguridad informática por diseño debido a las RFPs y RFQs. ¿Por qué es eso? Bueno, si seleccionas proveedores de software empresarial basándote en RFPs o RFQs, estás seleccionando proveedores que pueden marcar todas las casillas porque habrá toneladas de casillas por marcar. Una típica RFP de cadena de suministro va a tener cientos de casillas por marcar, y esas casillas se refieren a las capacidades y características del software. Cuando conduces tu selección de proveedores de software empresarial a través de una RFP, en realidad estás seleccionando proveedores que tienen productos enormemente inflados con toneladas de características y capacidades, lo que a su vez resulta en una enorme superficie de ataque. Cuantas más capacidades y características, mayor será la superficie de ataque. Si cada proveedor de software que elijas es seleccionado a través de este proceso, terminarás con un panorama aplicativo que tiene una superficie de ataque increíblemente grande al final del día o, más bien, al final de la década, porque estos son problemas de evolución lenta en lo que respecta a las cadenas de suministro.
Las mismas decisiones de diseño también pueden tener un impacto masivo en el radio de explosión. Por ejemplo, la forma en que abordas los datos tiene consecuencias bastante dramáticas desde una perspectiva de cadena de suministro. La mayoría de los datos personales son simplemente completamente inútiles para cualquier tipo de optimización de cadena de suministro. Si quieres tener mejores pronósticos y una mejor planificación, no necesitas saber el nombre y apellido de tus clientes. La idea, y esta es una práctica que Lokad adoptó hace más de una década, es ver los datos personales como un pasivo, no como un activo. En términos de radio de explosión, esto significa que si los sistemas son vulnerados, el daño será mucho menor si no se filtran datos personales. Sí, es malo si todos tus niveles de stock están expuestos públicamente, pero no tendrá un impacto negativo muy grande en tu empresa, a diferencia de los datos personales filtrados. Este es un aspecto de diseño de la organización de tu cadena de suministro que puede tener consecuencias masivas en términos de radio de explosión.
Las mejores decisiones de diseño son aquellas que eliminan clases enteras de problemas. El papel de una cultura de seguridad informática en una empresa es permitir que la organización desarrolle las ideas correctas sobre qué decisiones de diseño se deben tomar para proteger a tu empresa. Las ideas de diseño correctas son el producto de una cultura adecuada en torno a la seguridad informática.
Esto me lleva a la conclusión de que la seguridad informática es demasiado importante para dejarse únicamente en manos de especialistas en tecnología de la información. La seguridad informática se aborda mejor como una cultura dentro de la empresa y es una responsabilidad compartida, no solo de las personas que tienen la palabra clave de seguridad en su título laboral. Como discutimos anteriormente en esta conferencia, la seguridad informática a menudo compite con otros tipos de seguridad dentro de una empresa, por lo que es una ilusión pensar que un especialista en seguridad informática puede salvarte. Solo pueden abordar una faceta del problema, por lo que la cultura es esencial para fomentar la aparición de decisiones de diseño que aporten grandes beneficios de seguridad a tu empresa.
La cultura adecuada también es esencial para rechazar instintivamente malas decisiones de diseño que crearían problemas continuos que no se pueden solucionar más adelante. Tener una gran cultura de seguridad no se trata solo de lo que debes hacer, sino también de lo que no debes hacer. Uno de los aspectos más difíciles de una cultura de seguridad informática saludable es lograr que los empleados se preocupen lo suficiente por el problema como para no conformarse con la apariencia de seguridad. En una cultura de seguridad informática saludable, las personas buscan una seguridad genuina, no solo la apariencia de seguridad. La ilusión de seguridad a menudo es mucho peor que la falta real de seguridad.
Esta fue la última conferencia de 2021, y la próxima conferencia se llevará a cabo en 2022, el mismo día de la semana. En la próxima conferencia, comenzaré el quinto capítulo, que trata sobre pronósticos. En particular, creo que será una presentación bastante interesante porque Lokad logró obtener un resultado muy espectacular en la competencia de pronósticos M5. Presentaré este resultado, pero también discutiré las lecciones que están relacionadas con este modelo en lo que respecta a la cadena de suministro.
Ahora, permítanme abordar las preguntas.
Pregunta: En general, ¿los líderes de la cadena de suministro consideran que la ciberseguridad no es relevante para ellos?
Mi impresión es que sí, en gran medida, lo consideran así, pero puede ser peor que eso. La apatía es un gran problema, pero incluso cuando a los líderes de la cadena de suministro les importa, tienden a abordar la seguridad informática desde una perspectiva de análisis de riesgos que sería aplicable para los riesgos industriales. Este no es el enfoque más eficiente cuando se trata de ciberseguridad. Entonces, mi punto es que los líderes de la cadena de suministro realmente no se preocupan lo suficiente por lo que puede destruir sus cadenas de suministro en la actualidad, y realmente tienen que familiarizarse con el tipo correcto de remedio.
Pregunta: A medida que la ciberseguridad está en aumento, las inversiones de las empresas en esta industria crecen más rápido que su presupuesto para otro software. ¿Existe la posibilidad de que en el futuro los beneficios de tener un sistema de software se vean contrarrestados por los altos costos de la ciberseguridad y las personas vuelvan al papel y lápiz?
No dije que la ciberseguridad está en aumento; dije que el cibercrimen está en aumento. Espero que en algún momento, la ciberseguridad esté en aumento. Es cierto que las inversiones de las empresas en esta industria están creciendo más rápido que sus presupuestos para otro software. La pregunta es si, en el futuro, los beneficios de tener un sistema de software podrían verse contrarrestados por los altos costos de la ciberseguridad y las personas podrían volver al papel y lápiz nuevamente.
Como estaba diciendo, debido a que el cibercrimen está en aumento, las personas sienten la presión y, por lo tanto, gastan dinero en soluciones de ciberseguridad. De hecho, incluso el FBI recomienda invertir en algún tipo de solución de seguridad. Mi problema con estas soluciones de seguridad es que la seguridad no puede ser una idea posterior; la mayor parte de ella es por diseño. Si su empresa está seleccionando software basado en RFP, tiene un problema en el núcleo mismo de su empresa, que es que está seleccionando proveedores de software empresarial que van a ser extremadamente deficientes en seguridad. Por lo tanto, no importa si decide invertir en alguna solución de seguridad sofisticada después, es demasiado tarde. Por diseño, está comprometido.
Si volvemos a la analogía del castillo medieval, no puedes construir un foso más grande encima de un puente levadizo débil o hacer que las paredes del castillo sean más altas si no son lo suficientemente altas. En la era medieval, la mayoría de los castillos crecieron con el tiempo y no se construyeron de una vez. La idea de tener capas adicionales de seguridad funciona si estás lidiando con riesgos físicos, pero en el software no funciona. Cuantas más líneas de código agregues, mayor será tu problema de seguridad.
Estoy de acuerdo en que el cibercrimen está en aumento y el gasto en ciberseguridad está aumentando. Sin embargo, si midiéramos la ciberseguridad como una relación entre las pérdidas reportadas en el cibercrimen versus el PIB, esta relación empeora. Tenemos menos ciberseguridad mientras gastamos más para combatirla.
En cuanto a la posibilidad de volver al papel y lápiz, no creo que el mundo vuelva a la era pre-digital. El costo de hacerlo es demasiado alto. Los beneficios que trae el software son absolutamente gigantescos y, aunque consideremos que el cibercrimen es un problema significativo, al final sigue siendo un problema que, en términos de magnitud, es solo un tercio del tamaño del problema de las drogas ilegales. Las drogas ilegales son un problema importante, pero no señalan el fin de nuestra civilización industrial. No creo que la gente vuelva al papel y lápiz. Sin embargo, sospecho que muchos proveedores de software comenzarán a adoptar soluciones tecnológicas más simples.
Para ilustrar este punto, consideremos la vulnerabilidad de Log4j, que afectó al mundo y causó estragos entre las grandes empresas. Esta vulnerabilidad relacionada con un ataque a la cadena de suministro fue causada por la complejidad y las capacidades del componente Log4j. Normalmente, debería ser una pequeña pieza de software que registra errores, pero resultó ser una bestia en términos de capacidades de software. Las personas descubrieron una forma de explotar esta bestia para lograr consecuencias no deseadas.
En Lokad, no estamos utilizando Log4j; nuestra pila está en .NET y estamos usando NLog, el componente equivalente en la pila de .NET. Sin embargo, a la luz de los problemas dentro de la comunidad de Java, mi CTO y yo decidimos eliminar gradualmente NLog y optar por algo mucho más simple. No será un mejor NLog, sino algo con solo un uno por ciento de la complejidad. Estos registradores son increíblemente capaces, pero sus capacidades se convierten en una gran responsabilidad.
El equivalente a volver al papel y lápiz sería comenzar a reemplazar piezas de software muy potentes y complejas con piezas de software mucho más pequeñas y menos capaces. Esto puede ayudar a aliviar la carga de los costos de seguridad. En algún momento, queda claro que es más barato volver a implementar una pequeña pieza de software que haga exactamente lo que necesitas, incluso si tienes que reinventar la rueda, en lugar de usar un componente de código abierto gratuito que incurre en una enorme superficie de ataque adicional debido a su tamaño.
En cuanto a los ataques conocidos más grandes que afectan a las cadenas de suministro, puede haber sesgos en los ataques que salen en las noticias. Log4j fue un problema masivo en todo el mundo porque afectó a muchas industrias, incluyendo banca, cadena de suministro, proveedores de computación en la nube y compañías de juegos. Sin embargo, si observamos el ataque al Colonial Pipeline, fue un ataque de ransomware dirigido a una pieza de software de facturación específica. Lo que veo es que los ataques que salen en las noticias son los que reciben mucha cobertura, pero eso no significa que no estén ocurriendo ataques específicos a las cadenas de suministro. Si bien no puedo revelar detalles sobre la base de clientes de Lokad, he sido testigo de ataques de ransomware entre nuestros más de 100 clientes. Para nosotros es evidente cuando no recibimos datos durante una o dos semanas mientras las empresas luchan por solucionar la situación, generalmente restaurando sus sistemas desde cero con copias de seguridad. A veces, Lokad termina siendo la única copia de seguridad que tenían. Los ataques graves dirigidos a los sistemas de la cadena de suministro ocurren con bastante frecuencia.
Con una muestra bastante pequeña, Lokad tiene más de 100 empresas como clientes, pero no es como si tuviéramos un millón. Incluso con eso, actualmente estamos viendo alrededor de media docena de incidentes importantes al año, lo que equivale a un riesgo anualizado del 5% para un incidente de ciberseguridad significativo. Esto es un riesgo bastante alto en mi opinión.
Pregunta: Parece que la ciberseguridad se convierte en el análogo digital de la higiene personal. ¿Crees que las escuelas deberían comenzar a enseñar a los niños estas habilidades?
Sí, entiendo tu punto sobre la higiene. Sin embargo, en ciberseguridad, los atacantes son inteligentes. Los virus de la vida real mutan y es difícil contener los patógenos. Pero hay una diferencia significativa entre enfrentar un ataque sin sentido y lidiar con personas que pueden pensar mucho y durante mucho tiempo sobre cómo infligir el mayor daño posible a ti y a tu empresa.
Estoy de acuerdo en que hay un desafío en enseñar y capacitar a las personas, incluso a los niños, sobre ciberseguridad. Mi creencia personal es que un niño de 12 años es esencialmente tan inteligente como un adulto, simplemente carece de la experiencia que tiene un adulto. Entonces sí, esto es algo que debería abordarse, incluyendo el fraude y los esquemas de ingeniería social. Muchas personas todavía caen víctimas de estafas obvias, como los famosos correos electrónicos del príncipe nigeriano.
Las escuelas deberían preparar las mentes jóvenes y las generaciones más jóvenes para enfrentar un mundo que puede ser adversarial. Incluso en tiempos relativamente pacíficos, hay personas que te desean mal. El aspecto clave de la ciberseguridad es que una persona que te desea mal puede estar a miles de kilómetros de distancia y aún así lograr hacerte daño a ti, a tu organización y a tus familiares.
En algún momento, las escuelas deberían abordar este problema. Sin embargo, al menos en Francia, todavía es difícil encontrar profesores que puedan enseñar habilidades básicas de programación. Esta lucha continua dificulta encontrar profesores que puedan enseñar ciberseguridad y seguridad digital a los niños. Sin embargo, probablemente debería hacerse, pero no tengo muchas esperanzas en esta área en la próxima década.
Como no hay más preguntas, me gustaría desearles a todos una Feliz Navidad y nos vemos el próximo año.
