Autor: Juan González, director de Seguridad y Privacidad
Este texto ha sido publicado originalmente en la revista Economía Industrial Núm.410: Ciberseguridad
Una vez establecida la necesidad de invertir en innovación en ciberseguridad, el objetivo del apartado actual es centrarnos en qué aspectos de la ciberseguridad innovar. Si bien existen multitud de tecnologías y campos donde la innovación en ciberseguridad es beneficiosa, se incluyen a continuación aquellos que consideramos más relevantes.
Inteligencia Artificial
Paseando por cualquiera de las ferias de seguridad informática es fácil ver que los principales fabricantes de productos de ciberseguridad, principalmente los emergentes, están apostando por la Inteligencia Artificial para mejorar las capacidades de sus productos, ya sean antivirus, sistemas de detección de intrusión, sistemas de gestión de eventos de seguridad, cortafuegos, detectores de spam, etc., pero por ahora son pequeñas funcionalidades construidas sobre el núcleo de sus productos. Los algoritmos de Inteligencia Artificial (IA), por su capacidad de aprendizaje, son una tecnología apropiada para un problema, los ciberataques, que evolucionan constantemente para evitar las herramientas de detección. Se busca, por tanto, invertir el paradigma clásico en ciberseguridad, según el cual las medidas defensivas siempre van detrás de las técnicas que desarrollan los atacantes. La aplicación de IA a la ciberseguridad es un campo emergente, influido también, por supuesto, por el efecto en marketing de palabras como Machine Learning, Deep Learning, etc. Así y todo, con la aplicación de IA se espera una nueva generación de productos que mejoren la seguridad al mismo tiempo que disminuyen los costes asociados a su gestión.
El concepto de aplicar la Inteligencia Artificial al campo de la ciberseguridad no es nuevo. Cuando Willian Gibson escribió la novela ‘Neuromante’ en 1984, años antes del nacimiento de la World Wide Web, no solo se anticipó a la realidad de un mundo hiperconectado, sino que predijo también los problemas de ciberseguridad que vendrían asociados. En la novela, Case, el antihéroe y hacker (cybercowboy en el texto de Gibson), es contratado para vulnerar la seguridad de un sistema crítico de una gran corporación. Este tipo de ataques, técnicamente avanzados, empleando el ciberespacio y bien financiados, no son desconocidos a día de hoy, de hecho nos referimos a ellos como Amenazas Persistentes Avanzadas (APT, Advanced Persistent Threats).
En la novela de Gibson, las corporaciones protegen sus sistemas de información más críticos empleando herramientas de detección y neutralización de ataques, conocidas por el acrónimo ICE (Intrusion Countermeasures Electronics). El equivalente en nuestra realidad son los sistemas de detección o prevención de intrusión (IDS, Intrusion Detection System – IPS, Intrusion Prevention System). En Neuromante, las versiones más avanzadas de ICE, denominadas Black ICE, son controladas mediante una Inteligencia Artificial.
Uno de los principales problemas en la detección y prevención de intrusiones es la cantidad ingente de información a analizar, en la que hay que buscar patrones que indiquen ataques, intentos de modificaciones no autorizadas en los sistemas de información Los sistemas de detección de intrusión tradicionales se basan en la comparación de los datos de tráfico de red o de acceso y uso de los sistemas con patrones de ataques conocidos, pero son ineficaces en la detección de nuevas técnicas de ataque o en modificaciones de las ya existentes. Son estas vulnerabilidades las que utilizan los atacantes para pasar inadvertidos.
El uso de técnicas de Inteligencia Artificial en sistemas de detección de intrusión u otros sistemas como antivirus, permitiría la detección de los ataques, no mediante el uso de patrones conocidos como de ataque, sino mediante el aprendizaje de lo que es normal en una organización: su tráfico de red, el patrón de acceso a los sistemas y aplicaciones, el comportamiento de sus usuarios,… Los sistemas de ciberseguridad basados en Inteligencia Artificial podrían detectar si una determinada actividad en los sistemas de información de una organización es anómala e informar de ello a los analistas de seguridad.
Si bien ya se está aplicando la Inteligencia Artificial en productos de ciberseguridad, todavía existe mucho campo de mejora. El principal sería la reducción de los falsos positivos, es decir, cuando se alerta al analista de seguridad de una potencial amenaza que resulta ser falsa. Los sistemas actuales tienen un índice alto de falsos positivos, lo que aumenta el trabajo de los analistas y reduce la eficiencia de la gestión de la seguridad. El uso del conocimiento en el proceso de toma de decisiones en ciberdefensa requiere un soporte de decisión inteligente que se puede lograr con éxito usando métodos de inteligencia artificial (1).
Criptografía: protección de la información
La seguridad de la información girar alrededor de tres dimensiones a proteger: confidencialidad, integridad y disponibilidad. Las dos primeras se han protegido tradicionalmente utilizando criptografía. Dentro del campo de la criptografía destacan dos tendencias innovadoras: procesado seguro de la información y criptografía post-cuántica.
Procesado seguro de la información
La información se debe proteger de accesos no autorizados en todo el ciclo de vida de la misma, desde su creación hasta su destrucción. En ese ciclo de vida la información se presenta en tres estados: transmisión, almacenamiento y procesamiento. Con la tecnología existente a día de hoy es relativamente sencillo proteger la información en transmisión y almacenada. Sin embargo, asegurar que la información no es accedida por terceros no autorizados mientras se procesa es un problema más complejo de resolver. Este problema tiene especial protagonismo por la adopción de servicios de Cloud Computing, donde la información de las organizaciones se procesa en infraestructura de terceros.
Existen dos aproximaciones para la protección del procesado de la información. La primera se basa en el uso de elementos hardware, que pueden ir desde los tradicionales HSMs (Hardware Security Modules) a otras plataformas conocidas como enclaves seguros basadas en hardware embebido en microprocesadores. En ambos casos se protege el procesado de la información proporcionando un entorno confiable, externo en el caso de los HSM e interno en caso de los enclaves. Los HSMs son grandes soluciones para problemas específicos de dominio, por ejemplo la verificación de PIN o de transacción EMV en dominio financiero, pero requieren de innovaciones que faciliten su uso y su extensión a otros dominios, por ejemplo el voto electrónico. Respecto a los enclaves seguros es necesario buscar soluciones que permitan su escalabilidad en entornos Cloud (2).
La segunda aproximación, la más innovadora, no utiliza hardware específico sino que se basa en una propiedad de la que habría que dotar a los criptosistemas denominada homomorfismo. Un criptosistema homomórfico tiene la propiedad de permitir operar con datos cifrados de una manera análoga a la que se operaría con los datos en claro. La existencia de este tipo de criptosistemas era teórica hasta que Craig Gentry en su tesis doctoral diseño el primer sistema totalmente homomórfico (3).
Los criptosistemas homomórficos suponen un gran avance para la protección del procesado de la información en entornos no confiables sin necesidad de utilizar hardware especializado. Un posible campo de aplicación es el procesado de algoritmos de identificación biométrica en el Cloud, especialmente ahora que el Reglamento General de Protección de Datos (RGPD) ha clasificado los datos biométricos para identificación como particularmente sensibles. Aun así existen grandes desafíos en este campo, como pueden ser disminuir la capacidad de cómputo necesaria para el procesamiento de los datos cifrados o simplificar el uso de los algoritmos existentes para facilitar su implantación.
Criptografía post-cuántica
Se han producido grandes inversiones en los últimos años para lograr un computador cuántico universal. El impacto en criptografía sería dramático ya que este tipo de computadores podrían resolver los problemas de factorización de enteros y el logaritmo discreto en tiempo polinómico, lo que comprometería la seguridad de los criptosistemas de clave pública RSA y curva elíptica, utilizados en la actualidad para proteger la mayor parte de las comunicaciones por Internet (4).
Este problema no solo comprometería la confidencialidad e integridad de la información una vez se desarrolle el computador cuántico universal sino que comunicaciones cifradas actuales podrían ser almacenadas y desveladas en el futuro. Por ello es fundamental el desarrollo de nuevos criptosistemas de clave pública cuya seguridad no esté amenazadas por la capacidad de procesamiento de computadores cuánticos. En la actualidad existen varias propuestas de criptosistemas post-cuánticos, pero es un campo en el que se espera gran actividad en los próximos años.
Biometría para verificación de identidad
La identidad, y su verificación, es una de las dimensiones básicas de la seguridad de la información. La seguridad de la información debe proteger que solo aquellos individuos con permisos puedan acceder o modificar determinada información. Para ello es imprescindible contar con mecanismos que permitan, con un nivel adecuado de certeza, garantizar que un individuo es quien dice ser.
Las soluciones clásicas, basadas en usuario y contraseña, fueron diseñadas para otras necesidades, sistemas de información centralizados para uso interno dentro de organizaciones. Su uso en un mundo hiperconectado ha dado lugar a numerosas incidencias de seguridad, principalmente debido a bases de datos de usuarios y contraseñas comprometidos y hecho públicos en Internet o ataques de phising. Es un grave problema que hoy en día existan servicios en Internet que basen la verificación de identidad exclusivamente en esquemas de usuario y contraseña.
Se podría pensar que los retos asociados a la verificación de identidad ya están resueltos. La tecnología de certificados electrónicos e infraestructuras de clave pública está ampliamente extendida y regulada por el reglamento eIDAS que establece los requisitos para certificados electrónicos, firma electrónica y proveedores de servicios de confianza. El uso de certificados electrónicos para la firma de contratos es el preferido en la Ley de Comercio Electrónico (LSSI) y también la legislación que regula el funcionamiento de la Administración Pública (5) (6) los contempla. Pero, siendo así, ¿por qué la adopción de este sistema no está siendo la esperada?
El principal problema para la adopción es la usabilidad. Por ejemplo: el DNI electrónico; incorpora certificados electrónicos que permiten la autenticación y la firma de documentos, cada ciudadano tiene el suyo y está aceptado en las sedes electrónicas de las Administraciones Públicas y en la mayor parte de los servicios de banca electrónica. Además, aunque sufrió un grave problema de seguridad causado por el fabricante del chip que incorpora (7) (8), es una tecnología segura, que obliga a disponer del DNI físico y conocer una clave secreta. Aun así, su uso por parte de la ciudadanía es mínimo. En la campaña de la renta de 2012, al finalizar la campaña en julio de 2013 tan solo un 0,7% de los certificados utilizados se correspondía al DNI Electrónico (9). La causa es que el uso del DNI Electrónico, aunque seguro, es complejo para el ciudadano medio. Las tecnologías no solo deben ser seguros sino que deben tener en cuenta la usabilidad para garantizar su adopción.
Otro problema de la adopción de certificados electrónicos es su seguridad. En el caso de los certificados software, que no están protegidos ningún hardware como una smartcard, no dan garantías suficientes de seguridad a las corporaciones para usarlos en sus procesos. Por ejemplo, los certificados de la FNMT, aunque ampliamente aceptadas en Administración Electrónico no son admitidos en banca electrónica.
La biometría es una tecnología de verificación de identidad que está ganando fuerza principalmente por su gran usabilidad, especialmente en dispositivos móviles. Los usuarios utilizan cada vez más distintas modalidades de biometría: cara, huella dactilar, voz,… para acceder a través de sus móviles a servicios bancarios y pasarelas de pago. Su uso es rápido y sencillo, aunque existen diversos retos que se deben abordar para garantizar su seguridad.
El mecanismo más habitual para intentar vulnerar sistemas de identificación de identidad basados en biometría es el ataque de presentación. El atacante presenta al sensor que va a capturar los rasgos biométricos una representación de los mismos. Por ejemplo en biometría de cara se podría presentar una fotografía del individuo o suplantar, en biometría de voz una grabación o en biometría de huella dactilar una huella falsa de silicona.
Es necesario el desarrollo de tecnologías innovadoras que posibiliten la adopción segura de tecnologías biométricas que los usuarios demandan por su usabilidad y conveniencia. Entre las tecnologías en las que se trabaja para mejorar la seguridad ante ataques de presentación están las siguientes:
- Detección de vida (Liveness detection): Tecnologías que permitan garantizar que no estamos ante una reproducción. Estas tecnologías pueden ser colaborativas, donde se le solicita al usuario que realice una determinadas acción, por ejemplo un gesto en el caso de biometría de cara a repetir unas palabras aleatorias en caso de biometría de voz. También pueden ser no colaborativas, donde se utilizan avances en la visión por computador para detectar anomalías que indiquen un ataque de presentación.
- Fusión de biometrías: Combinación simultánea de varias biometrías para disminuir la eficacia de un ataque de presentación. Por ejemplo, capturar cara y voz al mismo tiempo.
Otro de los retos en el campo de la biometría es la protección de la privacidad. El nuevo RGPD ha incluido los datos biométricos para identificación entre los datos especialmente sensibles a proteger. Es evidente que un mal uso de estas tecnologías, como la identificación masiva de personas mediante cámaras en lugares públicos o mediante fotos en redes sociales, es una amenaza a la privacidad. Para ello se deben desarrollar tecnologías que protejan adecuadamente la información biométrica. Las tecnologías comentadas en el punto anterior, principalmente las relativas al procesado seguro de la información en el dominio cifrado son un ejemplo de ellas.
La biometría también abre nuevas oportunidades, como su uso para el alta de nuevos clientes mediante la comparación automática de la fotografía en documentos de identidad con un vídeo (digital onboarding). Esta tecnología tiene especial aplicación en sectores donde la verificación de identidad en el momento de contratar productos tiene especial relevancia y por ello están especialmente regulados, como puede ser el sector bancario o los proveedores de servicios de confianza.
Otra oportunidad es su uso en aplicaciones donde es necesario que la verificación se realice de forma continuada y no como un proceso independiente al inicio. Por ejemplo, posibilitaría la realización de exámenes online u el acceso remoto a información especialmente sensible.
Privacidad
El derecho a la privacidad, regulado por el RGPD, está profundamente ligado con la seguridad de la información, la obligación de proteger adecuadamente los datos personales. Adecuadamente no es un adverbio vacío de significado la oración anterior; la protección de los datos personales debe ser la que se adecue a las necesidades de cada organización tras un análisis de los riesgos de privacidad a los que están expuestos los datos que maneja, que no son suyos sino de las personas asociadas.
Sobre tecnologías innovadoras en protección de la información hemos hablado en el apartado anterior, pero en este punto nos gustaría resaltar dos aspectos tecnológicos adicionales relacionados con la privacidad:
Identidades digitales seguras
La gestión de la identidad es clave para un correcto funcionamiento de los servicios proporcionados a través de Internet. Es necesario lograr un equilibrio entre la necesidad de asegurar la identidad, por parte de los proveedores de servicios, para evitar fraudes y la protección de la privacidad de las personas. Mientras que las empresas deben poder contar con los medios necesarios de identificación de identidad para poder tomar medidas legales contra comportamientos fraudulentos los ciudadanos deben tener derecho a disfrutar de cierto nivel de anonimato al contratar servicios o adquirir productos.
La innovación en tecnologías de identidad seguras debe proporcionar mecanismos para proveer de anonimato cualificado. La identidad digital no debería ser un elemento absoluto, que identifique completamente a un individuo, sino un conjunto de atributos cualificados y verificables, de manera que las empresas tengan seguridad sobre los datos que necesitan, por ejemplo: una dirección, la mayoría de edad, etc., pero no el conocimiento completo de la identidad. Para la creación de estas identidades digitales sería necesario contar con un ecosistema de verificadores de atributos de identidad. Por ejemplo: una operadora de telecomunicaciones podría certificar la posesión de un número de teléfono por parte de un individuo, un ayuntamiento su residencia, una universidad la posesión de un título, un banco la titularidad de un número de cuenta, etc. Estos atributos verificables de identidad permitirían a los ciudadanos la contratación de servicios que los requieran, proporcionando garantías a las empresas, pero sin revelar su identidad completa a las mismas.
Tecnologías como blockchain pueden servir de base para la construcción de plataformas de identidades seguras, donde de una manera descentralizada, empresas, administraciones públicas y ciudadanos puedan solicitar, almacenar y verificar los atributos de identidad. Blockchain actuaría como registro inmutable y transparente de las identidades, permitiendo a los ciudadanos demostrar ante terceros determinados datos personales sin dar a conocer su identidad.
Anonimización
Hoy en día los datos tienen un gran valor. Gracias a tecnologías de análisis de información a las que denominamos Big Data, podemos procesar, analizar y compartir cantidades masivas de datos, con enormes beneficios en distintos dominios. Por ejemplo, datos de estudios clínicos realizados en los servicios de salud son de gran valor para investigadores para el desarrollo de nuevos fármacos. Para ceder esos datos, el servicio de salud debería recabar el consentimiento expreso, inequívoco y verificable de cada uno de los pacientes informando claramente del organismo destino y de la finalidad de la cesión; este proceso es complejo y conlleva riesgos evidentes de incumplimiento normativo.
Una alternativa a los consentimientos es eliminar los datos personales de manera que el conjunto de datos resultante quede fuera del ámbito de aplicación de la RGPD. Para ello es imprescindible que este procesos, conocido como anonimización, sea irreversible, es decir, que con los datos resultantes y otras fuentes de información no sea posible re-identificar a un individuo en el conjunto de datos anonimizados.
Por ello, las tecnologías de anonimización son una herramienta fundamental para poder extraer, compartir y transferir el valor oculto en grandes conjuntos de datos, al mismo tiempo que se garantiza la privacidad de las personas y el cumplimiento normativo de las organizaciones. Las tecnologías de anonimización deben estar orientadas a riesgos, proporcionando a los responsables de los datos del nivel de anonimización resultante, de manera que puedan tomar decisiones informadas y diligentes al compartir los datos. Estas tecnologías también deben ser capaces de medir la utilidad de los datos anonimizados y ayudar a buscar puntos óptimos de equilibrio entre utilidad y anonimización.
Internet of Things (IoT)
IoT se ha definido como una arquitectura emergente de información basada en Internet que facilita el intercambio de bienes y servicios en una cadena global de suministro. Por ejemplo, la carencia de algún bien puede ser automáticamente reportada a un proveedor que responderá inmediatamente con la entrega, electrónica o física, del bien (13).
La seguridad en IoT es aspecto que ha alcanzado especial relevancia, tanto por ataques provenientes de dispositivos IoT como por su importancia para el desarrollo de la Industria 4.0 (11).
Las especificidades de los dispositivos IoT en relación a la ciberseguridad son las siguientes:
- Su gran número y dispersión: Los analistas de la industria prevén que el número de dispositivos conectados a redes móviles alcance los 50.000 millones en el año 2020 (12).
- Su escasa capacidad de almacenamiento y procesamiento que dificulta o imposibilita incorporar funciones de seguridad como cifrado.
- Su capacidad, en algunos casos, de actuar sobre el mundo físico, en particular en el entorno industrial o en infraestructuras críticas.
- Su uso para obtener y transmitir datos privados, por ejemplo los destinados a teleasistencia.
Es necesario, por tanto, desarrollar tecnologías de ciberseguridad que permitan el uso seguro de arquitecturas distribuidas basadas en dispositivos IoT. En particular, se deberían explorar nuevos aspectos tales como: criptografía ligera para dispositivos de baja capacidad, arquitecturas de gestión de identidad ligeras, escalables y descentralizadas, monitorización eficiente de políticas de seguridad en sistemas altamente distribuidos y tecnologías de protección del derecho a la intimidad.
Blockchain
El blockchain nace en el año 2009 como solución para crear una moneda electrónica, Bitcoin, que pueda ser transmitida entre dos entidades sin necesidad de una institución financiera. La solución se basa en una estructura de bloques enlazados, que contienen las transacciones, cuyo consenso sobre el contenido de cada uno de ellos se alcanza mediante la combinación de una prueba de trabajo (proof-of-work) y una recompensa (13). La seguridad de la solución se basa en parte en conceptos económicos, donde los nodos distribuidos en la red, conocidos como mineros, se comportan de modo honesto por el coste de oportunidad asociado a la prueba de trabajo. Aunque su uso original era exclusivamente permitir el funcionamiento de una moneda electrónica descentralizada fue el nacimiento de la tecnología de libro de cuentas distribuido (DLT, Distributed Ledger Technology), una tecnología descentralizada que permite crear un registro inalterable consensuado entre varios participantes.
En los últimos años han surgido varias iniciativas basadas en DLT. Desde iniciativas abiertas, similares a Bitcoin, pero con otras metas, como la creación de aplicaciones descentralizadas utilizando programas que se conocen como smart contracts, a iniciativas cerradas, donde solo un conjunto de organizaciones están autorizadas a realizar escrituras y/o lecturas sobre el blockchain.
Si bien es cierto que existen numerosos detractores que opinan que blockchain tan solo es eficaz para monedas electrónicas y que, por su carácter descentralizado, no es una solución adecuada para empresas, también es cierto que los conceptos y tecnologías detrás de blockchain se están viendo con gran interés tanto por parte de la comunidad investigadora como por parte de la industria por lo que es más que probable que en los próximos años continúe la tendencia de aplicar DLT a diversos ámbitos: gestión de la identidad, logística, transacciones financieras, certificados de autenticidad, cadena de suministro, etc.
La innovación en ciberseguridad es estratégica no solo por ser clave para habilitar el crecimiento de la industria y sociedad digital sino también por las oportunidades de mercado para el desarrollo de nuevas tecnologías en este campo. En este sentido, es fundamental que en Europa en general y en España en particular se fomente y cultive la investigación y desarrollo en ciberseguridad, creando un ecosistema que facilite la innovación y la adopción por parte de la industria de las tecnologías desarrolladas. Estas ideas están presentes tanto en la estrategia europea como en la española en materia de ciberseguridad, concretándose en el caso de la europea en el programa marco H2020. A nivel nacional están empezando a surgir en el sector público iniciativas de compra pública innovadora en materia de ciberseguridad que pueden suponer un gran impulso para el desarrollo de soluciones nacionales en este sector. El sector privado podría jugar igualmente un papel habilitador planteando a la comunidad de I+D+i de ciberseguridad los desafíos a los que se enfrentan no están lo suficientemente resueltos en los productos en mercado.
Referencias
- Dilek, S., Çakir, H., & Aydin, M. (2015). Application of Artificial Intelligence techniques to combating cyber crimes. A review.
- Beekman, J. G., & Porter, D. E. (2017). Challenges For Scaling Applications Across Enclaves.
- Gentry, C. (2009). A fully homomorphic encryption scheme.
- Nguyen, P. Q. (2017). Quantum-Safe Cryptography.
- Ley 39. (2015). Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
- Ley 40. (2015). Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
- (2017). CVE-2017-15361.
- Nemec, M., Sys, M., & Svenda, P. (2017). The Return of Coppersmith’s
- Fundación Orange. (2014). Informe eEspaña.
- Webwer, R. H. (2010). Internet of Things – New security and privacy challenges.
- European Factories of the Future Research Association. (2016). Factories 4.0 and beyond.
- National Instruments. (2015). 5G: The Internet for Everyone and Everything.
- Nakamoto, S. (2009). Bitcoin: A Peer-to-Peer Electronic Cash System.