Es casi imposible predecir el futuro con exactitud, pero algunas tendencias de cara al futuro más próximo parecen inevitables. En este capítulo, echaremos un vistazo al futuro cercano y nos atreveremos a adivinar lo que podría deparar el futuro no tan inmediato.
El futuro próximo (1-10 años)
A medida que siga avanzando el juego del gato y el ratón entre atacantes y defensores, se aplicarán nuevas técnicas e innovaciones. Sin embargo, en los próximos años, el mayor impacto provendrá probablemente de las amenazas que ya conocemos, que tal vez innoven en las formas. Los métodos actuales se perfeccionarán y se emplearán en cada vez más ataques. Se hackearán sistemas informáticos y se encontrarán nuevas vulnerabilidades. Las tendencias que estamos observando en los ataques de ransomware, seguramente, seguirán evolucionando y afectando a un número creciente de empresas y organizaciones.
1) Mayor uso de la inteligencia artificial y el aprendizaje automático
Es previsible que los sistemas de aprendizaje automático (machine learning) y de IA (en inglés, AI) se usen cada vez más, tanto para atacar como para defenderse. Ya se utilizan, por ejemplo, para filtrar los miles o millones de posibles problemas de seguridad a los que se enfrentan las empresas y reducirlos a una cantidad más manejable. La IA y el aprendizaje automático ya se aplican para requerir menos especialistas humanos, pero no para sustituirlos por completo. El volumen de conexiones y tráfico que gestiona cada servicio web —por no hablar de toda una red de empresa— es increíblemente grande. Tanto, que el ser humano por sí solo es incapaz de seguirle el ritmo. Los sistemas de IA pueden reducir esa enorme carga de trabajo eliminando los eventos que se pueden ignorar sin que supongan un riesgo y filtrando las actividades sospechosas de manera que se puedan gestionar.
La «verdadera IA», capaz de hackear o defenderse automáticamente, aún está muy lejos, pero los sistemas serán cada vez más inteligentes.
2) Más teletrabajo
Debido a la pandemia de la COVID-19, una gran parte de la mano de obra ha empezado a trabajar a distancia. Esto ha dado lugar a un volumen de trabajo distribuido (en remoto) nunca visto. Lo más probable es que el trabajo siga distribuyéndose en el futuro, y eso supondrá nuevos retos para las empresas a la hora de proteger sus activos. Los sistemas de VPN tendrán que ampliarse y se deberán aplicar medidas relacionadas con el almacenamiento de los datos, como el cifrado, a los dispositivos que manejen esos datos. Las conexiones de Internet domésticas tendrán que estar mejor protegidas. El acceso a Internet ya se utilizaba habitualmente en gran parte del mundo, pero la seguridad de las conexiones deja mucho que desear.
Además, con el aumento del teletrabajo, se procesan más datos importantes fuera de las oficinas. Antes, solo se consideraba seguro acceder a ciertos datos mediante la red de la empresa. En cambio, ahora es necesario acceder a esa información desde casa y, a veces, almacenarla en dispositivos personales. Los discos duros compartidos a través de la red de la oficina no son la solución idónea para almacenar archivos. Por eso, habrá que hacer copias de seguridad de los dispositivos personales para que, si se estropean o si algún tipo de malware borra su disco duro, no se pierdan los datos importantes. Cifrar los datos guardados en los discos duros (datos en reposo, del inglés data at rest) será tan importante como cifrarlos durante las comunicaciones (datos en tránsito, del inglés data in transit).
3) Mayor uso del Internet de las cosas (Internet of Things) y el 5G
Otro avance que ampliará la superficie de ataque es el Internet de las cosas (IoT). Cada vez hay más dispositivos que se conectan a Internet, y ahora también son objetivo de los ataques. Cualquier dispositivo con conexión a la red es, como mínimo, un miniordenador y, como tal, es susceptible de sufrir los mismos tipos de ataques que un ordenador normal. En el futuro, habrá innumerables dispositivos IoT, por lo que no hay duda de que estarán expuestos a cada vez más usos indebidos. En muchos casos, el objetivo del ataque no es el propio dispositivo IoT, sino que este constituye el primer paso para entrar en una red. Una vez dentro, el atacante suele examinar la red y tratar de moverse lateralmente dentro de ella, vulnerando otros dispositivos o servicios. En las empresas, los atacantes pueden aprovechar los dispositivos IoT para colarse en la red sin ser detectados por ninguna de las medidas de protección existentes. Actualmente, los dispositivos IoT no son lo suficientemente seguros para protegerse de esto, algo que hay que tener en cuenta y priorizar cuanto antes.
La difusión del 5G, y en general de las redes móviles de mayor velocidad, permitirá que miles y miles de millones de dispositivos IoT y muchos otros tipos de aparatos electrónicos se conecten a Internet. Esto incrementará de forma exponencial la superficie de ataque. Al haber más dispositivos, será más fácil encontrar objetivos, pero lo más probable es que también requiera una mayor automatización por parte de los atacantes. Por lo tanto, la segmentación de las redes es cada vez más importante. Si tus dispositivos IoT están separados de tu red local, el factor de riesgo es mucho menor. Ya hay multitud de empresas que segmentan sus redes para mitigar los riesgos, pero la mayoría de las redes domésticas actuales consisten en una sola red con todos los dispositivos conectados de forma inalámbrica.
¿Hasta qué punto es seguro un dispositivo IoT?
Se han puesto en marcha algunas iniciativas para someter a pruebas los dispositivos IoT y etiquetarlos como «seguros». Una de ellas es la etiqueta de ciberseguridad del Centro Nacional de Ciberseguridad de Finlandia (NCSC-FI). Los proveedores pueden solicitar esta etiqueta y, si el diseño de su dispositivo se considera seguro, pueden utilizarla. Se trata de una iniciativa muy reciente, pero es de esperar que este tipo de etiquetas se impongan en un futuro próximo. Sin ellas, los consumidores tendrán muchas dificultades para evaluar la seguridad de los dispositivos.
La etiqueta de ciberseguridad y todos los productos aprobados pueden consultarse en https://tietoturvamerkki.fi/en/products
4) Escasez de profesionales de la ciberseguridad
Dado que casi todas las empresas, actualmente, son en cierto modo negocios relacionados con la informática (y lo serán aún más en el futuro), la ciberseguridad como vocación será cada vez más importante. Según diversas estimaciones, a finales del 2014 faltaba alrededor de un millón de profesionales de la ciberseguridad, y se calcula que esta cifra aumentará hasta los 3,5 millones en el 2021. La escasez de trabajadores en este sector también está impulsando el desarrollo del aprendizaje automático y la IA, ya que se espera que estas tecnologías ayuden a paliar la falta de especialistas. La ciberseguridad, que hasta ahora se consideraba una profesión independiente de otros campos de las tecnologías de la información, tendrá que convertirse en una parte fundamental de la informática. Las empresas que contratan ya valoran más a los programadores que tienen nociones de ciberseguridad.
5) Otras cuestiones de privacidad
En los próximos años, se hablará mucho más de privacidad, tanto en el sector público como en el privado. Normativas como el RGPD de la UE, la CCPA de California o la PIPEDA de Canadá tratan de proteger la privacidad de los ciudadanos frente a las empresas que intentan lucrarse con la información que poseen sobre ellos. Algunas compañías seguirán llevando al límite lo que se puede hacer para sacar provecho de los datos sin llegar a incumplir esta normativa. Por eso es crucial que los reglamentos intenten seguir el ritmo al que evolucionan las tecnologías y que las empresas y los particulares puedan protegerse siendo más conscientes de las amenazas y su evolución.
6) Posible uso de técnicas de guerra informática
Dentro de poco, es muy probable que veamos también intentos de atacar objetivos más específicos con tácticas de guerra informática. Si el enemigo no está preparado, los ataques contra sus infraestructuras pueden ser devastadores. También pueden sufrir ataques los sistemas de control y guiado de misiles de los adversarios. Ya se han dado ejemplos de ciberespionaje, pero todavía no hemos visto hasta dónde pueden llegar las herramientas utilizadas en estos ataques. Estos riesgos, como en todos los demás ámbitos, aumentarán a medida que se digitalicen, almacenen y operen en línea cada vez más activos.
La guerra informática también puede adoptar formas menos visibles; la propaganda y los métodos sutiles de manipular la opinión pública son una táctica eficaz. Ya hemos visto atisbos de lo que puede implicar este tipo de guerra informática en los llamados ataques de bandera falsa. Las operaciones de bandera falsa son aquellas en las que se enmascara y falsifica el origen del ataque para dirigir las represalias hacia otra entidad. Un ejemplo de ataque de bandera falsa tuvo lugar en el año 2015, cuando se hackearon correos electrónicos con el objetivo de enviar amenazas de muerte al personal militar estadounidense. El ataque se atribuyó en un principio al «Cibercalifato» asociado al Dáesh, pero posteriormente se vinculó al grupo ruso APT28, también llamado Fancy Bear. Esta operación es especialmente significativa porque dio lugar a represalias de Estados Unidos contra ciudadanos sirios, considerados culpables erróneamente.
El futuro lejano (a partir del 2030)
1) Computación cuántica
La computación cuántica podría afectar a casi todas las medidas de protección actuales basadas en el cifrado. Lo más probable es que el cifrado simétrico con claves más largas siga siendo válido, pero es posible que el cifrado de clave pública deje de servir para proteger secretos. Las funciones criptográficas de clave pública que usamos ahora basan su seguridad en la dificultad de descomponer números grandes en factores primos. Los ordenadores cuánticos pueden romper el cifrado asimétrico, por ejemplo, mediante el algoritmo de Shor, que hace más viable la factorización de grandes números.
Actualmente, los ordenadores cuánticos tienen muy poco recorrido y aún deben avanzar mucho para que se pueda romper el cifrado. Pero, en el futuro, se desarrollarán nuevas formas de utilizar estos ordenadores. Los activos que deban protegerse a años vista, como los secretos gubernamentales, ya deben ser seguros frente a la computación cuántica, pero no todos los datos confidenciales están amenazados por este tipo de máquinas. Los ordenadores cuánticos no van a convertirse de la noche a la mañana en varitas mágicas que rompan los esquemas de cifrado y lo más probable es que sigan fuera del alcance de particulares y delincuentes durante mucho tiempo.
Por otro lado, la computación cuántica permite mejorar la protección de los datos con mecanismos de cifrado e intercambio de claves más eficientes. Seguramente, estos avances protegerán al usuario medio de Internet mejor que los sistemas actuales.
Entonces, ¿cuándo será viable la computación cuántica? La respuesta es «Depende». Para ciertos usos, tal vez podamos utilizarla en un futuro muy cercano. En cambio, otras funciones —como el uso eficiente del algoritmo de Shor— requieren soluciones que aún no han encontrado los científicos. Las estimaciones más realistas sobre cuánto tardarán los ordenadores cuánticos en poder factorizar de forma fiable un número de 2048 bits utilizando el algoritmo de Shor hablan de entre 10 y 30 años a partir del 2020.
2) Las contraseñas, obsoletas
El auge de la computación cuántica afectará a muchos otros ámbitos aparte del cifrado y uno de ellos es el de las contraseñas. Se prevé que la computación cuántica permitirá averiguar las contraseñas por fuerza bruta con mucha más facilidad, por lo que dejarán de ser útiles. La autenticación multifactor o basada en hardware es una de las posibles soluciones para el problema de la autenticación. La autenticación biométrica ya está aquí, pero sus puntos débiles son bastante evidentes. Se necesitarán nuevas soluciones para resolver estos problemas de seguridad.
3) Inteligencia artificial con más capacidades
Dentro de veinte años, es posible que la inteligencia artificial haya alcanzado algunos de los objetivos previstos. Puede que tengamos una IA capaz de detectar de forma fiable las nuevas amenazas y lidiar con ellas por sí misma. También la utilizarán los atacantes, por lo que continuará la misma carrera armamentística. Sin embargo, según la mayoría de las predicciones, la verdadera inteligencia artificial automatizada aún estará muy lejos.
4) El Internet de las cosas, omnipresente
Para el año 2030, se espera que haya cerca de 100 000 millones de dispositivos conectados a Internet. En todas partes habrá diminutos chips informáticos, incorporados a casi todos los objetos. Esto significa que la superficie de ataque se ampliará enormemente y la seguridad de los dispositivos IoT será aún más importante.
La tecnología sigue evolucionando más rápido de lo esperado. Sin una bola de cristal, es muy difícil hacer predicciones en el campo de la tecnología, a más allá de unos pocos años vista. Las grandes revoluciones pueden llegar de forma inesperada y cambiar el objetivo de los ataques y los medios de defensa en el ámbito de la ciberseguridad. En cualquier caso, no hay duda de que continuarán surgiendo nuevas amenazas y, con ellas, seguirá adelante el juego del gato y el ratón.
