«Cybernomics»: La seguridad cibernética hoy
"El principal objetivo de la seguridad y de la encriptación es proteger la confidencialidad y la integridad de una transacción entre los extremos de un sistema."
Durante los últimos meses, ha habido mucha especulación en los medios con respecto a filtraciones de la Agencia de Seguridad Nacional (NSA) de los Estados Unidos y su repercusión en todo el mundo.
Mucho de lo que leemos es digno de una novela de espías, y, en algunos casos, la prensa emite informes sin entender el contenido de los documentos clasificados sobre los que habla.
Los detalles sobre las capacidades del sistema de recopilación de inteligencia de cada gobierno son secretos muy resguardados que tienen un impacto en la seguridad nacional de países de todo el mundo. Cada país implementa programas de seguridad para garantizar la seguridad del Estado y de los ciudadanos, y para preservar la integridad del gobierno en sí.
En informes recientes, hubo conjeturas de todo tipo con respecto a la cooperación entre la NSA y varios proveedores de tecnología de los Estados Unidos, y se hacían alegaciones que hablaban de puertas traseras y otros mecanismos que comprometen la seguridad de sus productos.
Si bien no tengo conocimiento de estas situaciones, quiero deseo hacer algunas aclaraciones basándome en mi experiencia con BlackBerry, la empresa líder de la industria de la seguridad móvil. Ojalá pueda explicar lo que los consumidores, las empresas y los gobiernos necesitan tener presente cuando escuchan informes sobre las supuestas vulnerabilidades de seguridad.
El principal objetivo de la seguridad y de la encriptación es proteger la confidencialidad y la integridad de una transacción entre los extremos de un sistema. Para usuarios de smartphones, los extremos son el dispositivo y los servicios que operan detrás del firewall de la empresa.
Tras años de pruebas y experiencia, mis colegas y yo hemos aprendido que la mejor protección se obtiene con un enfoque integrado de seguridad móvil, que incluye la encriptación de datos entre ambos extremos.
Es esencial encriptar los datos antes de que salgan de la empresa y desencriptarlos después de que sean entregados. Una encriptación sólida, como el cifrado AES-256, que es el centro de la solución BlackBerry, protege la integridad de los datos en todos los puntos que están más allá del control de la empresa. Y cualquier ingeniero de red o profesional de seguridad sabe que esos puntos son un territorio hostil y poco confiable.
La entropía es uno de los desafíos más grandes al momento de asegurar la efectividad de un sistema moderno de encriptación. Para quienes no estén familiarizados con el concepto, la entropía es la recopilación y la creación de datos aleatorios.
Para hacer una comparación sencilla, podríamos decir que la efectividad de un sistema es como la diferencia entre elegir un número de 1 a 10 y elegir un número de 1 a 1.000.000.000.000. Si bien los problemas son esencialmente los mismos, el nivel de dificultad y complejidad es sustancialmente diferente.
En el contexto de la solución BlackBerry, usamos múltiples fuentes de entropía para crear claves cambiantes y dinámicas con el objetivo de que los datos móviles permanezcan encriptados y no se puedan leer hasta que sean desencriptados, una vez que hayan llegado a destino. Estas claves cambian con cada paquete de datos que se envía. Por ejemplo, recibir una presentación de 1 MB en el dispositivo implica recibir 500 paquetes individuales (o transacciones), y cada paquete está encriptado con una clave única.
Actualmente, todas las plataformas de informática pueden sufrir ataques con spyware (o malware). Si usa una plataforma de desarrollo abierto, debe tener en cuenta que seguramente haya personas tratando de encontrar una manera de explotar los usuarios de esa plataforma. Esto es una amenaza seria para los gobiernos, los usuarios empresariales y las personas que requieran soluciones para proteger su privacidad.
El malware se ha vuelto una herramienta internacional de delitos cibernéticos y una amenaza para todos los usuarios de aplicaciones en dispositivos móviles. Hoy en día vemos desde aplicaciones diseñadas para apoderarse ilegítimamente de la información personal y robar la identidad hasta iniciativas auspiciadas por el estado para acceder a secretos del gobierno.
La amenaza es real y crece.
El hecho de que la mayoría de nuestros datos más preciados ahora son móviles es una realidad irreversible. Y esa tendencia seguirá creciendo. Por eso, cuando se trata de proteger su infraestructura móvil o de comunicaciones, la seguridad debe estar integrada de extremo a extremo y en todas las capas -en el hardware, el software y la red- para proteger los datos donde son más vulnerables.
Todos nos beneficiamos de la creación de estándares abiertos que estén a la altura de evaluaciones o validaciones independientes y que nos permitan elegir soluciones con la tranquilidad de saber que nuestra información estará protegida.
Los expertos en seguridad que se han dedicado a encontrar mejores formas de proteger los datos saben que siempre habrá alguien intentando quebrantar nuestros sistemas de protección. La industria necesita seguir innovando y redefiniendo la tecnología de última generación para acompañar la evolución continua de los enfoques que tienen que ver con la seguridad y la encriptación.
En BlackBerry tenemos equipos dedicados a la seguridad, que es el centro de todo lo que hacemos. Hacemos soluciones sin puertas traseras y sin comprometer la seguridad. Confíen, pero verifiquen. Responsabilicen a sus socios para que sean transparentes y para que demuestren que están protegiendo la información de la empresa.
Scott Totzke es Vicepresidente Senior de Seguridad de BlackBerry.
Fuente: Scott Totzke – blackberry.com