La seguridad, y en concreto la ciberseguridad, siempre ha sido una cuestión de “confianza”. El concepto de Zero Trust no es nuevo, pero está más de actualidad que nunca. Un modelo de seguridad basado en no confiar en nadie (fuera o dentro de la organización) centrándose en la protección de los datos.
“Los atacantes son capaces de comprometer los cimientos de internet, por lo que tenemos que pensar en una forma diferente de defendernos”. Así lo explica John Maynard, VP Global Security Sales de Cisco durante Cisco Live 2020, su evento anual celebrado hace unos días en Barcelona, en el que la ciberseguridad ha sido uno de los temas principales, ya que es asimismo una de sus líneas estratégicas.
Para el ejecutivo, uno de los retos de la seguridad es reducir complejidad y hacerla lo más simple posible. El modelo de la compañía se basa en embeber la seguridad desde diseño, sin olvidar el desafío de proteger una superficie cada vez más grande sin añadir complejidad, donde entra en juego el modelo de cero confianza.
Usuarios y contraseñas: comienza el desafío
Para entender por qué estamos en esta situación debemos echar la vista atrás y recordar los inicios de la actual combinación de usuario y contraseña para acceder a los sistemas.
”Empieza en el nacimiento de la informática, para que diferentes usuarios pudieran acceder a un mismo sistema. Estaban pensadas para cómo se trabajaba en la década de 1960, ya que básicamente las credenciales se usaban para cuantificar el tiempo que una persona había usado un equipo concreto y poder pasarle la factura apropiada”, apunta, Martin Lee, Talos Security Intelligence and Research, la división de ciberseguridad de Cisco.
Los problemas con el método de usuario y contraseña empezaron al final de los ochenta. En el laboratorio de Lawrence Berkeley se investigó un fallo en ese sistema de facturación por uso del equipo: faltaban 75 céntimos que no se habían facturado. Finalmente se descubrió que un agente de la KGB en Hanover se había conectado a los sistemas de Berkeley para tratar de acceder a ARPANET y las redes militares, que fue capaz de comprometer. ¿El motivo? Porque usaban usuarios y contraseñas por defecto. Fue un tenaz administrador de sistemas, Clifford Stoll, que investigó el asunto hasta descubrir lo que había ocurrido, que posteriormente lo plasmó en un libro titulado “The Cuckoo’s Egg”.
“En ese momento es cuando nos percatamos de que los usuarios y contraseñas no estaban funcionando… pero no teníamos otra manera de hacerlo, así que continuamos igual”, señala Lee. Si nos vamos directamente hasta mediados de 2010 nos encontramos con una cantidad considerable de brechas de datos en los que los ciberdelincuentes recolectan usuarios y contraseñas. “En ese momento ya sabemos que vivimos en un mundo en el que los malos están haciendo estas listas de contraseñas y usuarios”, explica el experto, aludiendo a la enorme brecha de datos de Yahoo en 2013 que afectó a todos sus usuarios, “que básicamente eran medio internet”.
La pregunta parecía obvia: ¿qué pretenden hacer con toda esta enorme cantidad de información? La respuesta, también: “Tratar de acceder a los sistemas, por eso la estaban recolectando. Sin ninguna duda, se había producido una industrialización de la adivinación de contraseñas ”.
Los cimientos de internet, comprometidos
Pero no solo tenemos el reto de que los usuarios tenemos que autenticarnos… También tenemos que autenticar los sistemas a los que nos estamos conectando. ¿Cómo sabemos que el sistema en el que estamos introduciendo nuestro usuario y contraseña es realmente al que queremos conectarnos y no uno malicioso?
“Por supuesto, contamos con los certificados y protocolos criptográficos que proporcionan autenticación y cifrado de la información entre servidores, máquinas y aplicaciones, y nos permiten saber que nos estamos conectando con el servicio correcto… ¿qué podría ser más seguro?”, se pregunta el experto. “En realidad”, continúa, “ya se han identificado ataques muy sofisticados que rompen esta seguridad, como los que comprometen el sistema de DNS, que contiene la información del sistema al que deberías conectarte para asegurarte de que es el legítimo. Pero es posible cambiar esa información para apuntar a un sistema malicioso”.
Este es el mundo en el que estamos viviendo, y debemos encontrar maneras de desarrollar técnicas que protejan contra estos tipos de ataques, básicamente porque necesitamos conocer si algo es genuino y confiable. Y no es tan fácil como se pudiera pensar.
De nuevo, Maynard hace hincapié en el reto al que se enfrenta el sector, en el que los atacantes son capaces de comprometer los propios mecanismos de internet y sus cimientos… que debe combatirse con la seguridad por diseño sin olvidar que lo simple siempre suele funcionar mejor.