Ciberseguridad, cómo proteger la información en un mundo digital

Estamos viviendo un momento importante en el que el mundo tecnológico está cambiando profundamente, con numerosas consecuencias en el entorno, las relaciones entre las personas, en los trabajos o el ocio.

Prácticamente nada escapa a la ola de digitalización y las personas, las empresas y las instituciones se ven abocadas a vivir y funcionar cada vez más en la red. Qué duda cabe que constituye un escenario de oportunidades, sin embargo, también trae consigo nuevas amenazas relacionadas con la cibervulnerabilidad del internauta.

El problema es que aunque el usuario presenta preocupación por su ciberseguridad, a menudo no es capaz de identificar cuáles son realmente los peligros y por tanto no sabe cómo enfrentarse a ellos. Por ejemplo, gran parte de los internautas piensa que la mayor amenaza en la red es que te roben datos personales y las claves, pero el cibercrimen evoluciona constantemente, de forma que un atacante puede querer acceder a los recursos del usuario para aprovecharse del poder de procesamiento con el fin de realizar tareas que requieran gran poder de computación, o bien puede robarle su ancho de banda para que su sistema actúe como un zombi dentro de una botnet y poder realizar ataques masivos.

La publicación Ciberseguridad, la protección de la información en un mundo digital, que acaba de lanzar Fundación Telefónica dentro de su línea editorial relacionada con la cultura digital, ahonda en este tema, reflexionando sobre el tipo de peligros que acechan en la red, así como las formas de prevenirlos. Probablemente la aportación más interesante de este trabajo sea el ejercicio que han realizado los autores y que consiste en clasificar las principales tendencias actuales e identificar sus principales vulnerabilidades, así como sus necesidades de seguridad. De esta forma, analizan fenómenos como BYOD (Bring Your Own Device), cloud computing y big data, Internet de las cosas, Internet industrial, las apps móviles y las múltiples identidades digitales.

El denominado Bring Your Own Device es el producto de la desaparición progresiva de las barreras entre los ámbitos personal y profesional de los empleados, de forma que llevan a cabo tareas asociadas a su puesto de trabajo en cualquier lugar y no necesariamente en la oficina. Esto implica que cada vez en mayor medida utilizan dispositivos propios, portátiles y smartphones sobre todo, con el consecuente ahorro de costes para las empresas, la flexibilidad que implica poder trabajar desde cualquier lugar y un aumento considerable de la productividad.

A pesar de las ventajas de este modelo laboral, no son pocos los peligros que entraña desde la perspectiva de la ciberseguridad, dado que suponen dispositivos que al acceder a las redes corporativas pueden dejar que ciertas trazas de información personal caigan en el poder de terceras entidades. El acceso descontrolado e ilimitado a los sistemas de la empresa puede convertirse en una puerta para la entrada de malware. Adicionalmente, el BYOD implica la convivencia de gran cantidad de sistemas operativos y de diferentes versiones, diversidad que es difícil de gestionar y que puede suponer en muchas ocasiones agujeros de seguridad.

Las soluciones de seguridad en el caso del BYOD pasan por:

Enfoque orientado a la red: se basa en el control de acceso a la red conocido (Network Access Control) e implica que la red controla qué dispositivos acceden al sistema.

Gestión de dispositivos móviles: MDM (Mobile Devices Management) es una plataforma software que monitoriza y gestiona todos los dispositivos móviles.

Virtualización: permite a las aplicaciones funcionar en servidores back-end con lo que tanto las aplicaciones como los datos de empresa no se encontrarían en los propios móviles.

Enfoque centrado en el móvil: mantener la seguridad en el propio dispositivo mediante un sistema MDM instalado por el fabricante. En general, el dispositivo móvil posee una doble SIM, una que se utiliza para el entorno personal y otra para el entorno profesional.

seguridad en IOT

El cloud computing se ha convertido en poco tiempo en una importante tendencia tecnológica, pero entraña numerosos riesgos relacionados con la seguridad, como la pérdida de control en el uso de las infraestructuras de la nube, la falta de garantía de la seguridad de los datos y las aplicaciones cuando se lleva a cabo la portabilidad a otro proveedor, los fallos de aislamiento, los problemas a la hora de realizar certificaciones externas de seguridad o calidad de los servicios de la empresa que opera en la nube o la exposición que supone el llevar a cabo la gestión de las interfaces a través de Internet.

Por su parte, en el caso del big data, el almacenamiento y tratamiento de enormes cantidades de datos es en sí un riesgo para la seguridad, puesto que las filtraciones o robos de información pueden tener importantes efectos legales y reputacionales para una organización.

El informe destaca aquí como factores de seguridad temas como la encriptación de los datos y la resiliencia de la red, concebida como la habilidad de proveer y mantener un nivel aceptable del servicio con el que poder hacer frente a los fallos que aparecen en el día a día de la utilización de la red.

El Internet de las cosas (IoT) es una de las grandes apuestas del presente de cara al futuro. La posibilidad de conectar entre sí todo tipo de objetos permite hablar de entornos inteligentes o smart: smart cities, smart homes, smart schools o smart vehicles. Las aplicaciones relacionadas con el Internet de las cosas serán tan comunes en nuestra vida diaria que mucha información sensible personal podría quedar al alcance de terceros si no hay una protección adecuada.

Cuatro son las principales recomendaciones de seguridad en este caso: resiliencia ante los ataques a un nodo de forma que la seguridad global de la red no se vea comprometida; autenticación de los datos; control de acceso que permita gestionar de una forma ordenada qué objetos se conectan y si tienen derecho a conectarse; y finalmente, el mantenimiento de unos estándares de privacidad del cliente acordes con la legislación y con sus propios deseos y necesidades.

El Internet industrial o Industria 4.0 implica no sólo la automatización de la actividad realizada por muchas de las máquinas de producción e incluso de procesos enteros para que puedan trabajar sin intervención humana, sino en dotarlas de cierta inteligencia de forma que puedan interaccionar con el entorno de manera más autónoma y sean capaces de adaptarse directamente a las situaciones y a los cambios.

Los ataques contra instalaciones industriales no son algo nuevo, pero el aspecto fundamental del Internet industrial radica en la integración de los sistemas físicos tradicionales de producción con los sistemas computacionales que monitorizan dichos procesos en los que se ha venido a llamar sistemas ciberfísicos (CPS). Por ello, el objetivo es proteger las diferentes capas o superficies del sistema (comunicaciones, hardware, software) de forma que no existan vulnerabilidades.

Actualmente las apps constituyen el medio preferido para conectarse a la red desde dispositivos móviles. Para valorar su importancia, bástenos saber que el 90% del tiempo de conexión a Internet a través de un dispositivo móvil se destina a su uso y cada mes se lanzan al mercado unas 40.000 nuevas apps. La principal ciberamenaza en este caso es la capacidad que tienen de recolectar datos personales y de comportamiento lo que las convierte en un foco de posibles fugas de información que afecten a la privacidad del usuario. A esto hay que sumarle que su carácter global choca con las distintas legislaciones sobre la protección de la privacidad que existen en los distintos países.

Las soluciones de seguridad pueden pasar por el uso de software específico de privacidad en los móviles, pero realmente resulta fundamental informar y concienciar al usuario sobre la adecuada gestión de su privacidad en las redes.

La identidad digital, o proyección del usuario en las redes, parte de la fragmentación y dispersión en diferentes lugares de la información personal. Esto hace que a menudo sea imposible controlarla y que pueda ser utilizada por terceros sin el consentimiento del internauta. En consecuencia, los fraudes relacionados con la identidad son tan variados y diversos como la imaginación humana permite.

La complejidad de abordar la identidad digital, tanto legal como tecnológicamente, hace que dentro de las numerosas soluciones de seguridad destaque sobre todo la necesidad de que el diseño de los sistemas, servicios y aplicaciones tenga en cuenta desde el principio, desde su diseño, todas las cuestiones relativas a la identidad y privacidad. Y por supuesto, lo más importante es la concienciación de los usuarios de los aspectos asociados a la identidad y sus implicaciones para prevenir los posibles problemas relacionados con este tema.

Sobre el autor

RELACIONADOS