Por Douglas Clare
“Cuanto más cambian las cosas, más siguen igual”. Esta frase de 1849 de Jean-Baptiste Alphonse Karr parece apropiada para la industria actual de la ciberseguridad. En el 2017 vimos un cambio masivo en la velocidad, creatividad y magnitud de los ataques; sin embargo, la industria avanzó poco en temas importantes como la publicación oportuna de filtración de datos.
Considerando esos dos factores, mis predicciones sobre ciberseguridad para el 2018 se centran en la puntuación cibernética, la autenticación de dos factores y los ataques a la seguridad biométrica.
1. La puntuación cibernética de tu compañía será tan importante como su puntuación de crédito
En una entrevista reciente con TechRepublic, Jeff Wheatman, director de investigación en Gartner, afirmó: “Ya no basta saber que la compañía con la cual vas a negociar tiene un buen historial crediticio, sino que también debemos conocer su postura ante la seguridad, pues ésta tendrá un impacto en nuestra propia postura”. TechRepublic agregó: “Antes, las empresas acudían a las agencias de calificación de crédito para saber si su socio tenía buena historia crediticia, pero ahora que las compañías proporcionan datos a sus socios, necesitan conocer su postura. Por lo tanto, hemos visto un aumento considerable en el mercado por servicios de puntuación de seguridad, dijo Wheatman”.
¡Exactamente! En el 2017, FICO experimentó una alza en la adopción de nuestro Enterprise Security Score, ya que tanto los proveedores de ciberseguridad como sus clientes corporativos reconocieron el valor de contar con una medición objetiva del riesgo a la ciberseguridad.
En el 2018, mi pronóstico es que el conocimiento y uso de puntuación cibernética se disparará. Al igual que tiendas como Costco y Walmart exigen que sus proveedores apliquen estándares rigurosos en materia de logística y control de inventario, este año veremos que los contratos con proveedores se cancelarán, o simplemente no se renovarán, debido a las mediciones de nivel de riesgo cibernético encapsuladas en las puntuaciones cibernéticas generadas de manera independiente.
2. La autenticación de dos factores será prácticamente ubicua
Aunque la palabra “ubicuidad” quizá haya pasado de moda (junto con muchas otras palabras que surgieron en la era de las .com), es una descripción precisa de cómo la autenticación de dos factores (2FA, por sus siglas en inglés) cobrará fuerza en el 2018. La 2FA no es nueva, pero como componente de la autenticación multifactorial requerida por el estándar PCI, está destinada a ser mucho más prevalente hasta que pueda reemplazarse con algo nuevo o mejor.
Lo cierto es que la autenticación de dos factores es sumamente eficaz. Dado que el robo de credenciales de inicio de sesión se ha convertido en una práctica común en la red oscura, una 2FA bien implementada deja dichas credenciales prácticamente inservibles. Esperen ver una rápida expansión de la 2FA tanto en las aplicaciones de consumo como en el acceso frontal a los datos y recursos en la empresa.
La 2FA no resolverá todos nuestros problemas de seguridad, pero es una solución relativamente económica que reduce en forma considerable los problemas relacionados con la autenticación de usuario. Y a los usuarios aún no parece molestarles tener que realizar ese paso adicional.
3. Veremos el primer ataque a la seguridad biométrica en el 2018
Es cierto que mi blog sobre predicciones para el 2017 incluyó la siguiente afirmación fatal: “Los datos de seguridad biométrica podrían convertirse en la vulnerabilidad de seguridad más grande”. Lo sigo creyendo, ahora aún más con la generalización de medidas de seguridad biométrica como el reconocimiento facial Face ID de iPhone X. Ese mismo iPhone X recientemente se desbloqueó con dos mujeres diferentes, lo que demuestra la falibilidad inherente de las técnicas de autenticación biométrica.
Pero confundir a dos seres humanos no es el único problema serio. El problema más grave es que al utilizarse para aplicaciones de seguridad, la biometría no es nada más que una interpretación digital almacenada de una característica biológica, la cual entonces se asocia con tus credenciales de cuenta. Esos archivos digitales pueden falsificarse, robarse o simplemente cambiarse para que apunten a una identidad digital diferente a la tuya.
Desde luego que es difícil, pero hubo un tiempo en que se consideraba difícil falsificar un cheque o una tarjeta de crédito cifrada magnéticamente. La biometría no es infalible ni está garantizada contra el fraude. Y cuando alguien reemplaza la interpretación digital de tu retina con la suya, y logra eliminar toda la evidencia, ¡buena suerte en demostrar que realmente eres tú! El exceso de confianza en la biometría es injustificado y no durará.