Estamos inmersos en una nueva época tecnológica en la que los dispositivos IoT y los terminales móviles han comenzado a ser una parte habitual de nuestra existencia. Cada vez son más numerosos los dispositivos que conectamos a nuestras vidas o utilizamos simplemente como elementos lúdicos durante nuestro tiempo libre.
Sea cual sea el uso que demos a la tecnología, hay una característica de estos nuevos elementos que asumimos como propia, sin ser conscientes de en qué medida se cumple realmente: la seguridad que implementan. A día de hoy a nadie se le pasaría por la cabeza pensar que una lavadora, un frigorífico, un juguete o un horno no han pasado un estricto control de calidad para verificar la seguridad física que representa su uso -más allá de algunas recomendaciones que hemos visto en los manuales de usuarios de ciertos electrodomésticos sobre la inconveniencia de introducir un animal vivo en uno de ellos dándole un uso para el que no estaba concebido. De igual manera, asumimos que los nuevos dispositivos IoT o terminales móviles son seguros, pero en este caso bajo un concepto de la ‘seguridad’ más amplio. Y es que la seguridad no se circunscribe exclusivamente a la parte física de su uso, sino también a esa otra parte, a menudo olvidada, que implica el mundo digital y que afecta a la interconexión con otros elementos o al flujo y uso de datos que forman parte de su utilización.
El pasado año, el Estado de California impulsó por primera vez una legislación (la SB-327) dirigida a regular la seguridad de los dispositivos IoT. Aunque la legislación se vio sometida a ciertas críticas respecto a la vaguedad de sus preceptos, la realidad es que por fin se daba un paso al frente en el control de este tipo de elementos cara al usuario final, y eso tiene relevancia para el mercado de consumo. Porque, inmediatamente la pregunta que queda en el aire es ¿podría la ciberinseguridad, percibida o real, de un dispositivo electrónico ser un inhibidor para su consumo por parte de los ciudadanos?
En este escenario, resulta prioritario pensar en la ciberseguridad desde una perspectiva más amplia, como por ejemplo la económica, que incluya no solo su operatividad. La seguridad de cualquier elemento conectado u ofrecido en Internet debe ser una característica inherente al servicio o producto que se quiere vender. Y aquí es donde entra el diseño seguro como propiedad irrenunciable.
Gran parte del comercio con este tipo de elementos está basado en la obligación que tienen por normativa de cumplir con los principios de confidencialidad, integridad y disponibilidad que marca la FIPS 199. Sin embargo, ¿podríamos confiar en que lo hacen? No son pocos los ejemplos que han aparecido en los últimos años de ataques a la seguridad que implementan -o no implementan por decirlo mejor. Y con cada uno de ellos el mercado se ha resentido. Si no hay confianza en un producto, el usuario no lo compra. Y si no se compra no genera riqueza para su desarrollo y posterior evolución. Y de nuevo vuelta a empezar.
Así pues, ante esta perspectiva, la pregunta a responder es ¿cómo se debería afrontar la fabricación un producto o la definición de un servicio para que no se vea afectado comercialmente por la ciber-inseguridad que pueda transmitir?
Desde hace algunos años se viene trabajando en lo que se ha definido como la “seguridad por diseño”. Una de las primeras iniciativas en esta línea la propuso la fundación OWASP que surgió en 2001 para dotar a la comunidad de desarrolladores de productos de unas pautas para el diseño, el desarrollo, la operación y el mantenimiento de servicios en los que el usuario pudiera confiar. Entre sus principios fundamentales están la minimización de la posible superficie de ataque para los hackers, el establecimiento de configuraciones por defecto que sean seguras y que deban ser cambiadas por el usuario —permitiéndole ser consciente de las habilitaciones que activan—, la reducción en los privilegios de uso de servicios para que la ejecución de una función no implique necesariamente la habilitación para el uso de otra, y así hasta una decena de pautas a seguir. Todas son características que mejoran la seguridad del producto final y conceden al fabricante —sea de software, de hardware o ambos— un margen de confianza adicional sobre el resultado final.
Actualmente la seguridad por diseño cuenta con prácticas consolidadas que hacen referencia a la integración de la ciberseguridad en todas las fases de producción de un sistema: SecureDevOps, Security Automation, Security-as-Code o SecOps. El objetivo de todas ellas es tener un control lo más estrecho posible sobre el proceso de creación, actualización, prueba o configuración final del producto reduciendo la intervención humana.
Resultaría complejo dimensionar el coste que los fallos de ciberseguridad tienen en el mercado sin recurrir a una segmentación de sectores como el financiero, sanitario, energético, logístico, etc. En cada uno de ellos, los datos son extensos —incluso alarmantes—, aunque no por eso nos sorprenden. Según algunos estudios, más del 85% de los consumidores no se relacionarían comercialmente con una compañía o fabricante sobre el que tuvieran dudas que afectaran a la ciberseguridad de sus productos. A una inmensa mayoría (71%) les preocupa más el uso de los datos personales que pueda hacer un fabricante que la posibilidad de que aquellos puedan ser robados por hackers. Inversamente, aquellos fabricantes que consiguen una mejor percepción de la ciberseguridad de sus productos tienden a incrementar las ventas en casi un 6%. Y así un largo etcétera. Sea cual sea la estadística que refiramos, lo importante es que se trata de un elemento tremendamente sensible que, por ejemplo, en Europa afecta a más de 500 millones de posibles consumidores.
Así pues, la percepción de la ciberseguridad por parte de los consumidores es un elemento clave a la hora de influir en el éxito comercial de una solución tecnológica. Por el contrario, no tenerlo en cuenta puede conducir a riesgos importantes, situaciones imprevistas y al fracaso comercial… salvo, por supuesto, en “contadas y raras excepciones”. Seguro que a todos se nos viene a la cabeza algún caso emblemático. ¿Por qué será?