211service.com
Por el bien de la seguridad, debemos frenar la innovación en las cosas conectadas a Internet.
Esa es la opinión del experto en seguridad Bruce Schneier, quien teme que se pierdan vidas en un desastre cibernético a menos que los gobiernos actúen con rapidez. 6 de septiembre de 2018
An Rong Xu
Los dispositivos inteligentes están en todas partes. Lo más probable es que los tenga en su lugar de trabajo, en su hogar y quizás en su muñeca. Según una estimación de la firma de investigación Gartner, habrá más de 11 mil millones de dispositivos conectados a Internet (excluyendo teléfonos inteligentes y computadoras) en circulación en todo el mundo este año, casi el doble que hace un par de años.
Muchos miles de millones más estarán en línea pronto. Su conectividad es lo que los hace tan útiles, pero también es una pesadilla de ciberseguridad. Los piratas informáticos ya han demostrado que pueden comprometer todo, desde automóviles conectados hasta dispositivos médicos, y cada vez son más fuertes las advertencias de que la seguridad se está menoscabando en la estampida para llevar productos al mercado.
En un nuevo libro llamado Haga clic aquí para matar a todos , Bruce Schneier argumenta que los gobiernos deben intervenir ahora para obligar a las empresas que desarrollan dispositivos conectados a hacer de la seguridad una prioridad en lugar de una ocurrencia tardía. El autor de un influyente boletín de seguridad. y bloguear , Schneier es miembro del Berkman Klein Center for Internet and Society de la Universidad de Harvard y profesor de política pública en la Harvard Kennedy School. Entre otras funciones, también forma parte de la junta directiva de Electronic Frontier Foundation y es director de tecnología de IBM Resilient, que ayuda a las empresas a prepararse para enfrentar posibles ciberamenazas.
Schneier habló con Revisión de tecnología del MIT sobre los riesgos que corremos en un mundo cada vez más conectado y las políticas que cree que se necesitan con urgencia para abordarlos.
El título de su libro parece deliberadamente alarmista. ¿Es eso solo un intento de aumentar las ventas?
Puede sonar como publicar clickbait, pero estoy tratando de señalar que Internet ahora afecta al mundo de una manera física directa, y eso lo cambia todo. Ya no se trata de riesgos para los datos, sino de riesgos para la vida y la propiedad. Y el título realmente señala que aquí hay peligro físico y que las cosas son diferentes de lo que eran hace cinco años.
¿Cómo está cambiando este cambio nuestra noción de ciberseguridad?
Nuestros autos, nuestros dispositivos médicos, nuestros electrodomésticos son ahora computadoras con cosas conectadas a ellos. Su refrigerador es una computadora que mantiene las cosas frías, y un horno de microondas es una computadora que calienta las cosas. Y tu auto es una computadora con cuatro ruedas y un motor. Las computadoras ya no son solo una pantalla que encendemos y miramos, y ese es el gran cambio. Lo que era seguridad informática, su propio ámbito separado, ahora es todo seguridad.

An Rong Xu
Se le ocurrió un nuevo término, Internet+, para encapsular este cambio. Pero ya tenemos la frase internet de las cosas para describirlo, ¿no?
Odiaba tener que crear otra palabra de moda, porque ya hay demasiadas. Pero el internet de las cosas es demasiado limitado. Se refiere a los electrodomésticos, termostatos y otros dispositivos conectados. Eso es solo una parte de lo que estamos hablando aquí. Es realmente el Internet de las cosas más las computadoras más los servicios más las grandes bases de datos que se están construyendo más las empresas de Internet más nosotros. Acabo de acortar todo esto a Internet+.
Centrémonos en la parte estadounidense de esa ecuación. Dices en el libro que nos estamos convirtiendo en cyborgs virtuales. ¿Qué quieres decir con eso?
Ya estamos íntimamente ligados a dispositivos como nuestros teléfonos, que miramos muchas veces al día, y los motores de búsqueda, que son como nuestros cerebros en línea. Nuestro sistema de energía, nuestra red de transporte, nuestros sistemas de comunicaciones, están todos en Internet. Si baja, en gran medida la sociedad se detiene, porque dependemos mucho de ella en todos los niveles. Las computadoras aún no están ampliamente integradas en nuestros cuerpos, pero están profundamente integradas en nuestras vidas.
¿No podemos desconectarnos un poco para limitar los riesgos?
Eso es cada vez más difícil de hacer. Intenté comprar un automóvil que no estaba conectado a Internet y fracasé. No es que no hubiera autos disponibles como este, pero los que estaban en el rango que quería venían con conexión a Internet. Incluso si pudiera apagarse, no había garantía de que los piratas informáticos no pudieran volver a encenderlo de forma remota.
Los piratas informáticos también pueden explotar las vulnerabilidades de seguridad en un tipo de dispositivo para atacar a otros, ¿verdad?
Hay muchos ejemplos de esto. La botnet Mirai explotó vulnerabilidades en dispositivos domésticos como DVR y cámaras web. Los piratas informáticos se apoderaron de estas cosas y las utilizaron para lanzar un ataque en un servidor de nombres de dominio, que luego desconectó un montón de sitios web populares. Los piratas informáticos que atacaron a Target ingresaron a la red de pago del minorista a través de una vulnerabilidad en los sistemas de TI de un contratista que trabajaba en algunas de sus tiendas.
Cierto, pero estos incidentes no provocaron la pérdida de la vida o una extremidad, y aún no hemos visto muchos casos que involucren daños físicos potenciales, ¿verdad?
No lo hemos hecho. La mayoría de los ataques aún involucran violaciones de datos, privacidad y confidencialidad. Pero estamos entrando en una nueva era. Obviamente me preocupa que alguien robe mis registros médicos, pero ¿qué pasa si cambian mi tipo de sangre en la base de datos? No quiero que alguien piratee la conexión Bluetooth de mi automóvil y escuche mis conversaciones, pero realmente no quiero que deshabiliten la dirección. Estos ataques a la integridad y disponibilidad de los sistemas son los que realmente nos tienen que preocupar en el futuro, porque afectan directamente la vida y la propiedad.
Ha habido mucha discusión en los EE. UU. este año sobre las amenazas cibernéticas a la infraestructura crítica, como las redes eléctricas y las represas. ¿Qué tan serios son estos?
Sabemos que al menos dos veces, los piratas informáticos rusos han cortado la energía a partes de la red de Ucrania como parte de una campaña militar más amplia. Sabemos que los piratas informáticos del estado-nación han penetrado en los sistemas de algunas compañías eléctricas estadounidenses. Estos hacks han sido exploratorios y no han causado daños, pero sabemos que es posible hacerlo. Si hay hostilidades militares contra los EE. UU., debemos esperar que se utilicen estos ataques. Y EE. UU. los usará contra nuestros adversarios, tal como usamos los ciberataques para retrasar los programas nucleares en Irán y Corea del Norte.
¿Qué implicaciones tiene todo esto para nuestro enfoque actual de la seguridad informática, como la emisión de parches o arreglos para fallas de software?
La aplicación de parches es una forma de recuperar la seguridad. Producimos sistemas que no son muy buenos, luego encontramos vulnerabilidades y las reparamos. Eso funciona muy bien con su teléfono o computadora, porque el costo de la inseguridad es relativamente bajo. Pero, ¿podemos hacer esto con un coche? ¿Está bien decir de repente que un automóvil es inseguro, un pirata informático puede estrellarlo, pero no se preocupe porque habrá un parche la próxima semana? ¿Podemos hacer eso con un marcapasos cardíaco integrado? Debido a que las computadoras ahora afectan el mundo de una manera directa y física, no podemos darnos el lujo de esperar las soluciones.
Pero ya tenemos estándares de seguridad muy estrictos para el software que se usa en dominios cibernéticos sensibles como la aviación, ¿no es así?
Correcto, pero es muy caro. Esos estándares existen porque ya existe una fuerte regulación gubernamental en esta y algunas otras industrias. En bienes de consumo, no tienes ese nivel de seguridad y protección, y eso tendrá que cambiar. El mercado en este momento no recompensa el software seguro en absoluto aquí. Mientras usted, como empresa, no gane una participación de mercado adicional debido a que es más seguro, no dedicará mucho tiempo al tema.
Entonces, ¿qué debemos hacer para que la era de Internet+ sea más segura?
No hay industria que haya mejorado la seguridad sin que los gobiernos la obliguen a hacerlo. Una y otra vez, las empresas escatiman en seguridad hasta que se ven obligadas a tomarla en serio. Necesitamos que el gobierno dé un paso al frente aquí con una combinación de cosas dirigidas a las empresas que desarrollan dispositivos conectados a Internet. Incluyen estándares flexibles, reglas rígidas y leyes de responsabilidad estrictas cuyas sanciones son lo suficientemente grandes como para dañar seriamente las ganancias de una empresa.
Pero, ¿no tendrán cosas como las leyes de responsabilidad estricta un efecto paralizante en la innovación?
Sí, enfriarán la innovación, ¡pero eso es lo que se necesita en este momento! El punto es que la innovación en el mundo de Internet+ puede matarte. Enfriamos la innovación en cosas como el desarrollo de medicamentos, el diseño de aeronaves y las plantas de energía nuclear porque el costo de hacerlo mal es demasiado alto. Hemos pasado el punto en el que necesitamos discutir la regulación frente a la no regulación para las cosas conectadas; tenemos que discutir la regulación inteligente frente a la regulación estúpida.
Sin embargo, hay una tensión fundamental aquí, ¿no es así? A los gobiernos también les gusta explotar las vulnerabilidades para el espionaje, la aplicación de la ley y otras actividades.
Los gobiernos son ciertamente cazadores furtivos además de guardabosques. Creo que eventualmente resolveremos esta tensión de larga data entre la ofensiva y la defensa, pero será un trabajo largo y difícil llegar allí.
Su libro se centra en gran medida en los EE.UU. ¿Crees que tomará la delantera aquí?
Me concentro en los EE. UU. porque es donde se encuentran las principales empresas tecnológicas y es el régimen que mejor conozco, pero también hablo un poco de Europa. La Unión Europea es la superpotencia reguladora en este planeta en este momento. Creo que va a avanzar más y más rápido que Estados Unidos. En los EE. UU., miro más a los estados, y específicamente a Massachusetts, Nueva York y California.
También creo que habrá tratados y normas internacionales que excluyan parte de nuestra infraestructura conectada de los ataques cibernéticos de los estados-nación, al menos en tiempos de paz. Necesitamos urgentemente acción en todos los niveles ahora, desde el local hasta el internacional. Mi mayor temor es que haya un desastre cibernético y que los gobiernos se apresuren a implementar medidas, sin pensarlo mucho, que no resolverán el problema.