Juan Larragueta

A pesar de la laguna existente a la hora de tomar un rumbo acordado unánimemente, las TI continúan su marcha hacia una mayor seguridad, mejorada en términos de fortaleza, disponibilidad y usabilidad. Los asuntos a los que la seguridad deberá hacer frente durante los próximos meses son los siguientes:

- Mayor responsabilidad en el ámbito de seguridad de datos: De todas las áreas de negocio afectadas por el actual clima de regulación, muchas de ellas están vinculadas al impacto de las TI, fáciles de manejar y trazadas por la implementación de tecnologías existentes. Un ejemplo son los actuales métodos de encriptación y estándares para el almacenamiento y transmisión de datos, password factibles y políticas y plataformas de autenticación, así como métodos ejecutables de prevención de malware y protección de integridad de sistemas.

Aunque ha estado presente durante años, el uso de herramientas de análisis exhaustivo de códigos, se convertirá ahora en un componente crítico en el proceso de desarrollo, para descubrir las amenazas y remediarlas antes de los lanzamientos de los productos.

-La seguridad por capas SSL será cuestionada: Desde su inicio, la tecnología SSL ha perdido fuerza y una gran parte de su valor real. Antes, cuando Internet era un sitio seguro, los usuarios de buscadores web, avisaban al personal de TI cuando aparecía en su pantalla un aviso 'pop-up' con el nombre del sujeto, certificando autoridad o validación de errores. Pero como normalmente el aviso solía ser el resultado de una errata o un certificado firmado automáticamente, los responsables de TI respondían: "no es nada, pincha en OK". Como resultado, los usuarios se hicieron rápidamente inmunes a los avisos. Cuando las amenazas reales empezaron a llegar, el sistema ya estaba en peligro y el SSL ofrecía únicamente privacidad, pero no una identificación significativa de identidad. Una vez establecida una conexión SSL sin verificar, el análisis proactivo de contenido actual, como los filtros URL o la inspección exhaustiva de paquetes, no pueden ser puestos en marcha fácilmente, lo que permite la entrega de cargas maliciosas antes de ser detectadas.

Sin embargo, ahora los nuevos buscadores web, incluyen capacidades anti-phishing integradas y los 'add-ons', al tiempo que hay disponibles extensiones para buscadores más antiguos. Pero tal como ocurrió con los avisos SSL, estos pronto se neutralizarán por el mismo "no es nada, pincha en OK".

- La virtualización como herramienta de seguridad: Las capas de operación virtuales se convertirán en lugares comunes, proporcionando un entorno protegido en el que los sistemas se pueden instalar sin ningún tipo de riesgo. El almacenamiento centralizado de alta capacidad con una fuerte autenticación y una solución de protección de datos continua securizará las librerías de imágenes virtuales.

Más que como un software de análisis de códigos, esta virtualización está destinada a su adopción como herramienta de seguridad, por lo que los entornos de desarrollo virtuales se integrarán al ciclo de desarrollo convencional.

- La autenticación en factor dos será adoptada masivamente: Los métodos de autenticación en factor dos (2FA), conocido así después del uso de una combinación de "algo que sabes" (un password) y "algo que tienes" (tarjeta de información, tarjeta de teléfono, etc) o "algo que eres" (características físicas de una persona) han sido adoptados por las empresas, pero todavía tienen un uso muy limitado. La adopción de 2FA ha sido lenta debido a sus fallos iniciales y la carga que conlleva para el personal de TI. Sus críticos además señalan su susceptibilidad a los ataques provocados por el hombre. A pesar de estos obstáculos, estamos apunto de reconocer que el coste que supone la no utilización de 2FA es mucho mayor que el precio de su implementación.

La autenticación en factor dos por sí sola no dificulta el robo de un password, pero hace que esta contraseña sea mucho más difícil de utilizar para los ladrones. Del mismo modo, los diseñadores deben considerar que explotar una vulnerabilidad de una aplicación web para obtener acceso a las bases de datos comienza a ser menos significativa y rentable cuando todos los datos están encriptados. El robo de un dispositivo físico, como un portátil, una BlackBerry o un servidor no tiene ningún valor más allá del propio hardware si el acceso a los datos está protegido por una fuerte encriptación.

Los fabricantes más anticipados verán, que como ha ocurrido anteriormente, con los diferentes esfuerzos para mejorar la seguridad, nunca encontrarán una solución perfecta, y que siempre encontrarán costes de soporte e infraestructura. Con un poco de suerte, estos costes demostrarán que el precio para llevar a cabo los pasos necesarios a la hora de neutralizar los crímenes informáticos sigue siendo pequeño.