El futuro de la ciberseguridad: Lo que no ocurrirá en el próximo año
El futuro de la ciberseguridad: Lo que no ocurrirá en el próximo año
Una versión de este artículo apareció originalmente en Lectura oscura. Se ha actualizado para su sindicación aquí.
En nuestra industria, muchos expertos en seguridad han tomado la costumbre de predecir los temas candentes para el próximo año (y yo no soy una excepción), pero con más de cinco mil millones de registros de datos sensibles robados en 2019, me imaginé que sería más preciso predecir lo que no sucederá en ciberseguridad en 2020, o de hecho en el futuro previsible.
Me senté con mi cofundador, Matías Madou, y nos reímos un poco al elaborar esta lista. Pretende ser una perspectiva algo desenfadada, pero te hace reflexionar sobre el largo camino que queda por recorrer para fortificar cada organización contra los ciberataques maliciosos.
Ahora, miremos en nuestra bola de cristal y revelemos nuestras predicciones. No vamos a ver:
Inyecciones SQL erradicadas de todo el software
Creo que todos los profesionales de la seguridad del planeta han estado esperando el día en el que ya no se descarrilen para identificar los fallos de inyección SQL, hasta la saciedad.
Lamentablemente, llevamos más de veinte años esperando este día, y seguiremos esperando al menos uno más. Es la vulnerabilidad que, como una cucaracha, ha sobrevivido a todas las tácticas hasta ahora para erradicarla definitivamente.
Es frustrante, como mínimo, ya que el remedio se conoce desde hace casi el mismo tiempo. Sin embargo, la prioridad de las mejores prácticas de seguridad en cada etapa del desarrollo de software (especialmente desde el principio) sigue siendo demasiado baja, y ciertamente inadecuada a la luz del gran aumento de la producción de código desde el descubrimiento de la inyección SQL.
(¿Quieres saber más sobre los patrones de codificación que pueden llevar a una inyección SQL? Acepte el reto aquí).
Los desarrolladores y AppSec se convierten en los mejores amigos
Ah, los desarrolladores y el equipo de AppSec. ¿Se llevarán bien alguna vez, o están destinados a una vida de rivalidad como la de Rocky contra Apolo? La respuesta corta es que sí, pueden llevarse bien, pero ahora mismo sus prioridades suelen ser muy diferentes.
Cuando se encuentran en el entorno de un proyecto, están en las antípodas y chocan justo en el último obstáculo: cuando los especialistas en seguridad de las aplicaciones examinan el código de un desarrollador. El desarrollador ha construido características hermosas y funcionales (que es su máxima prioridad) que se destrozan si se descubren vulnerabilidades de seguridad. El gurú de la seguridad del software, en efecto, ha llamado a su bebé feo y ha obligado al desarrollador a volver a arreglar cualquier error, a menudo retrasando el despliegue.
En nuestro estado actual, esto no se arreglará hasta que los desarrolladores y los equipos de AppSec trabajen hacia un objetivo común, que es la creación de software seguro. No va a ocurrir como un proceso por defecto en 2020 (y con muchas empresas, bastantes años después de eso), pero con la llegada del movimiento DevSecOps y más allá, los desarrolladores están reconociendo la necesidad de actualizar sus conocimientos en materia de seguridad y trabajar con un estándar más alto; uno que incluya objetivos de seguridad desde el principio.
Un exceso de profesionales de la seguridad
En 2020, 2025, 2030... está casi garantizado que nos faltará personal a nivel mundial en lo que respecta a la experiencia en seguridad.
Según un informe del ISC(2), hay alrededor de 2,93 millones de puestos de ciberseguridad sin cubrir. Es casi seguro que esta situación va a empeorar antes de mejorar, y no hay ningún ejército de seguridad oculto esperando a marchar a nuestro rescate en los próximos años.
En el futuro inmediato, nuestra mejor oportunidad para hacer frente a esta escasez de habilidades es hacer de la seguridad una prioridad organizativa y mejorar la capacitación de nuestra fuerza de trabajo actual, y eso significa capacitar a los desarrolladores con la formación y las herramientas para codificar de forma segura, así como crear una cultura de seguridad en toda la empresa. La mayoría de los equipos actuales de AppSec probablemente están luchando contra errores de seguridad conocidos y antiguos (véase el punto 1 anterior). Si nos aseguramos de que no tengan que dedicar un tiempo y un esfuerzo preciosos a arreglar estos problemas comunes, tendrán más ancho de banda para centrarse en los problemas de seguridad más difíciles (por el momento, es probable que estos abarquen problemas con las API, así como la creación de herramientas que puedan adaptarse a los conductos de desarrollo).
Se produce menos código
El mundo se está digitalizando a un ritmo asombroso, y la demanda de la sociedad no va a disminuir. Cada año se escriben aproximadamente 111.000 millones de líneas de código, y esta cifra no hará más que aumentar y ser más aterradora (para los equipos de AppSec, que ya están agotados).
El aumento del volumen de código incrementa inevitablemente las posibles vulnerabilidades de seguridad, por lo que cualquier idea de que 2020 será un año más lento para la producción de software y las infracciones es tan realista como que se celebren carreras de unicornios en el Grand National.
Reducción de los robos de registros de datos
Como he dicho, más código significa más vulnerabilidades, y esto presenta más oportunidades para que los atacantes encuentren una manera de robar datos.
En 2019 se robaron al menos 5.300 millones de registros en todo el mundo, y la defensa contra los atacantes sigue siendo un poco desesperada y reactiva. Puede que esta cifra no se duplique en los próximos doce meses, pero creo que se acercará.
Como ejemplo, veamos las tendencias históricas de los datos robados denunciados en Estados Unidos año tras año:
Si se examina el período comprendido entre 2005 y 2010, se observa un aumento constante con un pequeño flujo y reflujo entre años. Esto es interesante, pero un factor importante que hay que destacar es que en 2009 se produjo un fuerte descenso en el número de infracciones notificadas en comparación con 2008. Sin embargo, hubo un claro aumento en el número de registros robados a pesar de que hubo menos infracciones.
Los registros de datos son el nuevo oro; tienen valor para un atacante. El gráfico refleja una tendencia general al alza de las violaciones y el número de registros robados, con un enorme pico en 2017. El número de ataques tuvo una tendencia a la baja en 2018, quizá debido al endurecimiento de las medidas de seguridad, pero el número de registros obtenidos fue el más alto de la historia. Los ciberataques serán cada vez más sofisticados, de gran volumen y no van a desaparecer pronto. Y a nivel mundial, es poco probable que veamos un descenso en 2020, ya que las empresas producen rápidamente más software que nunca. Son los guardianes de nuestros datos y deben trabajar de forma más inteligente para proteger nuestra privacidad.
Los promotores exigen una formación de seguridad más larga y frecuente basada en vídeos
Si hay algo que les gusta a los desarrolladores es ver horas y horas de vídeos de formación por ordenador (CBT). De hecho, es tal la demanda de este cautivador contenido, que Netflix anunciará toda una nueva subcategoría dedicada a los vídeos genéricos de formación en seguridad.
Eh, no. Ni ahora, ni en 2020, ni nunca.
Para los desarrolladores, su introducción a la seguridad es a menudo a través de la formación en el lugar de trabajo. La codificación segura rara vez forma parte de su educación terciaria, y la formación en el puesto de trabajo puede ser su primer encuentro con la seguridad del software. Y, como es lógico, a menudo no les gusta.
Para que los desarrolladores se tomen en serio la seguridad -y para que la formación sea útil- tiene que ser relevante, atractiva y contextual a sus trabajos. Una formación puntual sobre el cumplimiento de la normativa, o un flujo interminable de vídeos aburridos, no es el camino hacia el corazón de un desarrollador, y no va a reducir las vulnerabilidades.
Si quieres que la cohorte de desarrolladores tenga alguna posibilidad de convertirse en una fuerza defensiva consciente de la seguridad contra las vulnerabilidades comunes, haz que trabajen con ejemplos de código reales, del tipo que se encontrarían en sus tareas diarias. Haz que el aprendizaje sea del tamaño de un bocado, que sea fácil de construir, e incentívalo con un sentido de diversión. Para que una cultura de seguridad prospere, debe ser positiva, atractiva y desarrollar habilidades y soluciones reales en toda la organización.
¿Quién sabe? Con la formación adecuada, un desarrollador podría reconocer el campeón de seguridad que lleva dentro y difundir los beneficios de la codificación segura a lo largo y ancho.
Cero muertes por un incidente relacionado con la ciberseguridad
Está claro que esto no es un asunto de risa. He dicho muchas veces que el mundo simplemente no se preocupará por la ciberseguridad hasta que la gente empiece a morir por un incidente relacionado con un ciberataque.
El problema es que esto ya ha sucedido, y ha pasado bastante desapercibido.
Los ciberataques contra hospitales estadounidenses se han relacionado con un aumento de las muertes por infarto en 2019. Por supuesto, los atacantes no provocaron eventos cardíacos letales en los pacientes, pero sus ataques de ransomware a los sistemas y equipos de los hospitales ralentizaron los tiempos de tratamiento de los cuidados críticos.
Este estudio de la Universidad de Florida Central analizó 3.000 hospitales, 311 de los cuales habían sufrido una violación de datos. En los que se vieron afectados por un incidente de seguridad, tardaron una media de 2,7 minutos más en realizar un ECG a las víctimas sospechosas de sufrir un infarto; probablemente debido a los cambios en los procedimientos, las medidas de seguridad recién implementadas y los problemas de soporte informático que ocuparon más tiempo que antes. Identificar y tratar un ataque al corazón es una carrera contra el tiempo, y en esos hospitales se produjeron de media 36 muertes más por cada 10.000 ataques al corazón al año.
Esto es impactante y, por desgracia, creo que empeorará antes de mejorar. Esto debería servir como un duro recordatorio de que todos tenemos que hacer más para elevar la seguridad del software y hacer que sea una prioridad en todas las empresas.
Menos imágenes de stock de "hackers encapuchados"
Si se escribe "hacker" en una búsqueda de imágenes, inevitablemente aparecerán miles de imágenes de una figura encapuchada y sin rostro tecleando en un ordenador portátil, o una figura similar con una máscara de Guy Fawkes.
Esta imagen estereotipada de un hacker está cansando mucho y, bueno, hace que todos parezcan malos. Hay muchos chicos y chicas buenos en materia de seguridad, y las connotaciones negativas en torno a la imagen de "hacker" hacen un flaco favor a todo el mundo.
¿Creo que esto cambiará pronto? Probablemente no, pero es bueno soñar. Por ahora, es importante recordar que la seguridad no tiene por qué dar miedo.
Pieter Danhieux
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Artículos relacionados que recomendamos
Artículos relacionados que recomendamos
Sumérjase en nuestras últimas ideas sobre codificación segura en el blog.
Nuestra amplia biblioteca de recursos tiene como objetivo potenciar el enfoque humano de la mejora de la codificación segura.
Obtenga las últimas investigaciones sobre la seguridad impulsada por los desarrolladores
Nuestra amplia biblioteca de recursos está repleta de recursos útiles, desde libros blancos hasta seminarios web, que le ayudarán a iniciarse en la codificación segura orientada a los desarrolladores. Explórela ahora.
El futuro de la ciberseguridad: Lo que no ocurrirá en el próximo año
Una versión de este artículo apareció originalmente en Lectura oscura. Se ha actualizado para su sindicación aquí.
En nuestra industria, muchos expertos en seguridad han tomado la costumbre de predecir los temas candentes para el próximo año (y yo no soy una excepción), pero con más de cinco mil millones de registros de datos sensibles robados en 2019, me imaginé que sería más preciso predecir lo que no sucederá en ciberseguridad en 2020, o de hecho en el futuro previsible.
Me senté con mi cofundador, Matías Madou, y nos reímos un poco al elaborar esta lista. Pretende ser una perspectiva algo desenfadada, pero te hace reflexionar sobre el largo camino que queda por recorrer para fortificar cada organización contra los ciberataques maliciosos.
Ahora, miremos en nuestra bola de cristal y revelemos nuestras predicciones. No vamos a ver:
Inyecciones SQL erradicadas de todo el software
Creo que todos los profesionales de la seguridad del planeta han estado esperando el día en el que ya no se descarrilen para identificar los fallos de inyección SQL, hasta la saciedad.
Lamentablemente, llevamos más de veinte años esperando este día, y seguiremos esperando al menos uno más. Es la vulnerabilidad que, como una cucaracha, ha sobrevivido a todas las tácticas hasta ahora para erradicarla definitivamente.
Es frustrante, como mínimo, ya que el remedio se conoce desde hace casi el mismo tiempo. Sin embargo, la prioridad de las mejores prácticas de seguridad en cada etapa del desarrollo de software (especialmente desde el principio) sigue siendo demasiado baja, y ciertamente inadecuada a la luz del gran aumento de la producción de código desde el descubrimiento de la inyección SQL.
(¿Quieres saber más sobre los patrones de codificación que pueden llevar a una inyección SQL? Acepte el reto aquí).
Los desarrolladores y AppSec se convierten en los mejores amigos
Ah, los desarrolladores y el equipo de AppSec. ¿Se llevarán bien alguna vez, o están destinados a una vida de rivalidad como la de Rocky contra Apolo? La respuesta corta es que sí, pueden llevarse bien, pero ahora mismo sus prioridades suelen ser muy diferentes.
Cuando se encuentran en el entorno de un proyecto, están en las antípodas y chocan justo en el último obstáculo: cuando los especialistas en seguridad de las aplicaciones examinan el código de un desarrollador. El desarrollador ha construido características hermosas y funcionales (que es su máxima prioridad) que se destrozan si se descubren vulnerabilidades de seguridad. El gurú de la seguridad del software, en efecto, ha llamado a su bebé feo y ha obligado al desarrollador a volver a arreglar cualquier error, a menudo retrasando el despliegue.
En nuestro estado actual, esto no se arreglará hasta que los desarrolladores y los equipos de AppSec trabajen hacia un objetivo común, que es la creación de software seguro. No va a ocurrir como un proceso por defecto en 2020 (y con muchas empresas, bastantes años después de eso), pero con la llegada del movimiento DevSecOps y más allá, los desarrolladores están reconociendo la necesidad de actualizar sus conocimientos en materia de seguridad y trabajar con un estándar más alto; uno que incluya objetivos de seguridad desde el principio.
Un exceso de profesionales de la seguridad
En 2020, 2025, 2030... está casi garantizado que nos faltará personal a nivel mundial en lo que respecta a la experiencia en seguridad.
Según un informe del ISC(2), hay alrededor de 2,93 millones de puestos de ciberseguridad sin cubrir. Es casi seguro que esta situación va a empeorar antes de mejorar, y no hay ningún ejército de seguridad oculto esperando a marchar a nuestro rescate en los próximos años.
En el futuro inmediato, nuestra mejor oportunidad para hacer frente a esta escasez de habilidades es hacer de la seguridad una prioridad organizativa y mejorar la capacitación de nuestra fuerza de trabajo actual, y eso significa capacitar a los desarrolladores con la formación y las herramientas para codificar de forma segura, así como crear una cultura de seguridad en toda la empresa. La mayoría de los equipos actuales de AppSec probablemente están luchando contra errores de seguridad conocidos y antiguos (véase el punto 1 anterior). Si nos aseguramos de que no tengan que dedicar un tiempo y un esfuerzo preciosos a arreglar estos problemas comunes, tendrán más ancho de banda para centrarse en los problemas de seguridad más difíciles (por el momento, es probable que estos abarquen problemas con las API, así como la creación de herramientas que puedan adaptarse a los conductos de desarrollo).
Se produce menos código
El mundo se está digitalizando a un ritmo asombroso, y la demanda de la sociedad no va a disminuir. Cada año se escriben aproximadamente 111.000 millones de líneas de código, y esta cifra no hará más que aumentar y ser más aterradora (para los equipos de AppSec, que ya están agotados).
El aumento del volumen de código incrementa inevitablemente las posibles vulnerabilidades de seguridad, por lo que cualquier idea de que 2020 será un año más lento para la producción de software y las infracciones es tan realista como que se celebren carreras de unicornios en el Grand National.
Reducción de los robos de registros de datos
Como he dicho, más código significa más vulnerabilidades, y esto presenta más oportunidades para que los atacantes encuentren una manera de robar datos.
En 2019 se robaron al menos 5.300 millones de registros en todo el mundo, y la defensa contra los atacantes sigue siendo un poco desesperada y reactiva. Puede que esta cifra no se duplique en los próximos doce meses, pero creo que se acercará.
Como ejemplo, veamos las tendencias históricas de los datos robados denunciados en Estados Unidos año tras año:
Si se examina el período comprendido entre 2005 y 2010, se observa un aumento constante con un pequeño flujo y reflujo entre años. Esto es interesante, pero un factor importante que hay que destacar es que en 2009 se produjo un fuerte descenso en el número de infracciones notificadas en comparación con 2008. Sin embargo, hubo un claro aumento en el número de registros robados a pesar de que hubo menos infracciones.
Los registros de datos son el nuevo oro; tienen valor para un atacante. El gráfico refleja una tendencia general al alza de las violaciones y el número de registros robados, con un enorme pico en 2017. El número de ataques tuvo una tendencia a la baja en 2018, quizá debido al endurecimiento de las medidas de seguridad, pero el número de registros obtenidos fue el más alto de la historia. Los ciberataques serán cada vez más sofisticados, de gran volumen y no van a desaparecer pronto. Y a nivel mundial, es poco probable que veamos un descenso en 2020, ya que las empresas producen rápidamente más software que nunca. Son los guardianes de nuestros datos y deben trabajar de forma más inteligente para proteger nuestra privacidad.
Los promotores exigen una formación de seguridad más larga y frecuente basada en vídeos
Si hay algo que les gusta a los desarrolladores es ver horas y horas de vídeos de formación por ordenador (CBT). De hecho, es tal la demanda de este cautivador contenido, que Netflix anunciará toda una nueva subcategoría dedicada a los vídeos genéricos de formación en seguridad.
Eh, no. Ni ahora, ni en 2020, ni nunca.
Para los desarrolladores, su introducción a la seguridad es a menudo a través de la formación en el lugar de trabajo. La codificación segura rara vez forma parte de su educación terciaria, y la formación en el puesto de trabajo puede ser su primer encuentro con la seguridad del software. Y, como es lógico, a menudo no les gusta.
Para que los desarrolladores se tomen en serio la seguridad -y para que la formación sea útil- tiene que ser relevante, atractiva y contextual a sus trabajos. Una formación puntual sobre el cumplimiento de la normativa, o un flujo interminable de vídeos aburridos, no es el camino hacia el corazón de un desarrollador, y no va a reducir las vulnerabilidades.
Si quieres que la cohorte de desarrolladores tenga alguna posibilidad de convertirse en una fuerza defensiva consciente de la seguridad contra las vulnerabilidades comunes, haz que trabajen con ejemplos de código reales, del tipo que se encontrarían en sus tareas diarias. Haz que el aprendizaje sea del tamaño de un bocado, que sea fácil de construir, e incentívalo con un sentido de diversión. Para que una cultura de seguridad prospere, debe ser positiva, atractiva y desarrollar habilidades y soluciones reales en toda la organización.
¿Quién sabe? Con la formación adecuada, un desarrollador podría reconocer el campeón de seguridad que lleva dentro y difundir los beneficios de la codificación segura a lo largo y ancho.
Cero muertes por un incidente relacionado con la ciberseguridad
Está claro que esto no es un asunto de risa. He dicho muchas veces que el mundo simplemente no se preocupará por la ciberseguridad hasta que la gente empiece a morir por un incidente relacionado con un ciberataque.
El problema es que esto ya ha sucedido, y ha pasado bastante desapercibido.
Los ciberataques contra hospitales estadounidenses se han relacionado con un aumento de las muertes por infarto en 2019. Por supuesto, los atacantes no provocaron eventos cardíacos letales en los pacientes, pero sus ataques de ransomware a los sistemas y equipos de los hospitales ralentizaron los tiempos de tratamiento de los cuidados críticos.
Este estudio de la Universidad de Florida Central analizó 3.000 hospitales, 311 de los cuales habían sufrido una violación de datos. En los que se vieron afectados por un incidente de seguridad, tardaron una media de 2,7 minutos más en realizar un ECG a las víctimas sospechosas de sufrir un infarto; probablemente debido a los cambios en los procedimientos, las medidas de seguridad recién implementadas y los problemas de soporte informático que ocuparon más tiempo que antes. Identificar y tratar un ataque al corazón es una carrera contra el tiempo, y en esos hospitales se produjeron de media 36 muertes más por cada 10.000 ataques al corazón al año.
Esto es impactante y, por desgracia, creo que empeorará antes de mejorar. Esto debería servir como un duro recordatorio de que todos tenemos que hacer más para elevar la seguridad del software y hacer que sea una prioridad en todas las empresas.
Menos imágenes de stock de "hackers encapuchados"
Si se escribe "hacker" en una búsqueda de imágenes, inevitablemente aparecerán miles de imágenes de una figura encapuchada y sin rostro tecleando en un ordenador portátil, o una figura similar con una máscara de Guy Fawkes.
Esta imagen estereotipada de un hacker está cansando mucho y, bueno, hace que todos parezcan malos. Hay muchos chicos y chicas buenos en materia de seguridad, y las connotaciones negativas en torno a la imagen de "hacker" hacen un flaco favor a todo el mundo.
¿Creo que esto cambiará pronto? Probablemente no, pero es bueno soñar. Por ahora, es importante recordar que la seguridad no tiene por qué dar miedo.
