Inicio / Protege tu empresa / Blog / ¿Qué sucedió y qué está por venir en seguridad y privacidad? (X) #resumen2011 y #prospectiva2012 - Entrevista a Javier Cao (@javiercao)

¿Qué sucedió y qué está por venir en seguridad y privacidad? (X) #resumen2011 y #prospectiva2012 - Entrevista a Javier Cao (@javiercao)

Publicado el 29/02/2012, por Javier Cao Avellaneda
Imagen_post_resumen

En el comienzo de este nuevo año, desde el Observatorio de INTECO, creemos que es interesante lanzar una reflexión tanto de lo que ha acontecido en seguridad de la información y privacidad durante este último año, como de lo que está por venir en 2012. Y para ello, quién mejor que nuestros expertos colaboradores del Blog de la Seguridad de la Información.

A lo largo de varias entregas, estamos publicando las entrevistas que hemos mantenido con estos profesionales (informáticos, abogados, consultores, profesores universitarios, periodistas, etc.) que trabajan en el ámbito de la seguridad y la privacidad TIC. Como veréis, el resultado obtenido es una rica y heterogénea amalgama formada por diversos puntos de vistas y experiencias.

A todos ellos les hemos pedido que respondan a dos sencillas preguntas: qué destacarían de lo sucedido en materia de seguridad y privacidad en 2011 (#resumen2011) y qué está por venir a lo largo de este año que comienza (#prospectiva2012).

La siguiente entrega de esta colección corre a cargo de Javier Cao (@javiercao), Ingeniero en Informática por la Universidad de Murcia y experto en el ámbito de la gestión de la seguridad de la información. Es responsable del Área de Seguridad de la Información de la empresa Firma, Proyectos y Formación. Compagina esta labor con la difusión de la seguridad a través de sus blogs personales: “Apuntes de seguridad de la información” y “Sistemas de Gestión Seguridad de la Información”.

¿Cuáles han sido los principales acontecimientos de seguridad y/o privacidad producidos en 2011?

Voy a aprovechar el texto que colgué a principio de año sobre esta cuestión y que también es una tradición de mi blog en el cambio de año.

Respecto al resumen del 2011, quizás lo más destacado ha sido lo siguiente:

  • Este ha sido el año en el que peligrosamente los virus informáticos han saltado del mundo de la informática del PC a las tecnologías SCADA. Los especímenes Stuxnet y Duqu han hecho temblar ahora a los sectores industriales que pueden verse afectados por malware.
  • Stuxnet y Duqu también son representativos de una nueva tendencia que es la especialización y orientación de los ataques hacia objetivos selectivos. En este año hemos podido ver como la amenaza de la intrusión informática a afectado a empresas muy emblemáticas como Sony, Google o RSA o Stratfor. El objetivo de los ataques selectivos básicamente han sido dos: En primer lugar el robo de grandes volúmenes de datos de carácter personal, sobre todo vinculados a información que permita acceso a servicios financieros o pago mediante tarjetas de crédito para realizar fraude y en segundo lugar el robo de propiedad intelectual muy concreta que además en el caso de RSA ha comprometido la seguridad de un mecanismo de autenticación empleado por las empresas más concienciadas y que como consecuencia ha podido generar como efecto colateral el robo de información en empresas que se pensaban protegidas por emplear métodos de autenticación fuerte empleado las tecnologías de RSA-id.
  • Este año también hemos podido ver en el lodazal de los incidentes de seguridad a Entidades emisoras de certificados (PKI). Primero Comodo y posteriormente Diginotar han visto comprometidas diferentes piezas de la infraestructura de clave pública y se han tenido que revocar ramas enteras del árbol de certificación. En el caso de Diginotar además, al verse comprometido el certificado raíz, ha supuesto el cese de actividad de esta Entidad que ya no se ha recuperado del incidente.
  • En España este año ha sido especialmente importante en materia de regulación de la seguridad. El vencimiento de plazos del R.D. 3/2010 del Esquema Nacional de Seguridad, la reforma del Código Penal que puede afectar en materia de fuga de datos a las personas jurídicas también y la publicación de la Ley 8/2011 por la que se establecen medidas para la Protección de las Infraestructuras Críticas y el R.D. 704/2011 por la que se aprueba el Reglamento para la Protección de las Infraestructuras Críticas seguramente darán mucho que hablar en este 2012.
  • Por último destacar que este año el hacktivismo (yo lo llamaría mejor cibercrimen) ha empezado a mostrar que se quiere erigir como un cuarto poder amenazando o publicando información delicada que compromete a organismos o revela datos sobre gestiones irregulares que éstos realizan. Anonymous es quizás la red más popular aunque Luzsec también ha tenido un papel destacado. Lo que si pone de manifiesto este hecho es que la "información es poder" y si ciertos ciudadanos con unas habilidades y conocimientos técnicos son capaces de acceder a las cloacas de las empresas y administraciones públicas pueden obtener datos sensibles, muchas instituciones pueden tener que dar explicaciones de cosas que hasta la fecha manejaban como "secretos". Además cuentan con servicios como Pastebin.com que se prestan al juego de dar difusión de la información robada a modo de Wikileaks del hacking. En algunos de estos casos la información robada puede acabar comprometiendo la vida de personas, como publicó Chema Alonso en la entrada "Hackers publican la BBDD de escoltas de Presidencia".

¿Se pueden apuntar tendencias para el 2012?

Respecto a lo que se avecina, las tendencias son variadas aunque parece que en el año 2012 se hablará mucho de “nubes”, “seguridad en dispositivos móviles”, “infraestructuras críticas” y “hacktivismo”.

Lo que si ya es una evidencia notable en el mundo de la seguridad es que ya sabemos cuál es la profundidad del iceberg que durante años hemos ido anunciando que afectaría a los sistemas informáticos. Los malos irán allá donde haya dinero fácil y donde el crimen tecnológico de guante blanco les permita generar unos ingresos rápidos con poco esfuerzo y de difícil investigación.

¿Los medios? Los que sean fáciles de aplicar y sencillos de emplear para estos fines. Seguramente veremos bastantes cosas en materia de aplicaciones en smartphones porque su uso está creciendo de forma vertiginosa y son plataformas donde todavía no hay cultura de la prevención proactiva. Serán pocos los que instalen en sus terminales aplicaciones antimalware. En este sentido, el Android Market por su ausencia de controles y su gran crecimiento en número de usuarios será en este caso "el Microsoft del mundo PC", con la desventaja de que a Google esta guerra le pilla relativamente de nuevas y tendrá que aprender rápido la necesidad de la gestión de la seguridad sobre sus plataformas.

Otra novedad posiblemente sea Cibercrimen as Service (CaaS) del que ya se empiezan a ver algunos ejemplos. Si los malos montan sus plataformas de hacking para sus usos particulares, ¿por qué no alquilárselas a terceros y seguir ingresando dinero por ello?

Respecto a la privacidad, este año será por lo que parece bastante movidito. Ya está en curso la reforma de la Directiva europea y los grandes de Internet empiezan a hacer sus movimientos en materia de políticas de privacidad. Yo en este sentido empiezo a ver a algunas empresas como las grandes en la liga de los “Big data” y por tanto, un motín suculento para aquellos amigos de lo ajeno que se lucran vendiendo información, es decir, se dedican al “infotráfico de datos”. También el mundo de la mercadotécnica verá en esas empresas una fuente muy atractiva de poder hacer previsiones.

Los nativos digitales que han ido dejando rastro de gustos desde menores de edad, la polarización de intereses, tendencias, aficiones y "sentimientos" permitirá conocer aspectos nuevos del potencial consumidor. También en este sentido se están desarrollando tecnologías para la identificación de emociones por parte de los aparatos domésticos de forma que reconozcan el estado de ánimo para ofrecer o presentar servicios.

Las empresas podrán anticiparse a los posibles deseos del consumidor y seleccionar potenciales productos que al usuario puedan interesar garantizando la materialización de esa compra potencial. La mayor parte de esta información puede obtenerse desde los buscadores, ya que lo que el consumidor investiga en la red suele estar orientado a potenciales compras. Esta misma información procesada por agentes del mundo del marketing puede servir para vender a los proveedores finales de productos perfiles de clientes casi convencidos. La minería de datos que permite correlacionar informaciones y obtener patrones de comportamiento serán las tecnologías que permitirán estos nuevos tratamientos de datos de los “Big data”.

La llegada de IPv6 también posibilitará la recogida de información desde diferentes fuentes ya no teniendo que ser un usuario sino también un electrodoméstico el que pueda generar estos datos.

Se puede ampliar información con gráficos de tendencias y de lo sucedido en este post.