Ciberseguridad ubicua
El mes de octubre abre el primer ventanal del otoño y del cierre de actividades y proyectos de este año que pareciera, empieza a marcar el fin de la pandemia pero a la vez, comienza a desarrollar las nuevas condiciones a través de las cuáles se desarrollarán las relaciones humanas a través de la digitalización; una temporada que no solamente está marcada por las heridas económicas que dejó el confinamiento conjuntamente con el cierre de los proyectos del ejercicio, sino que brinda los últimos datos para replantear las estrategias de las siguientes actividades por parte de la industria.
En ese espacio de reflexión y replanteamiento de proyectos se ha posicionado la revisión de las estrategias por las cuales las personas se protegen en el ciberespacio tanto en el ambiente europeo, como en el norteamericano, declarando el mes de octubre como un periodo para generar consciencia sobre ciberseguridad, y por ende, octubre es considerado el mes de la ciberseguridad.
La ciberseguridad tiene una serie de componentes amplios dependiendo del enfoque desde el que se aborde, y, desde una perspectiva propia, la protección de la información personal y la segmentación de espacios de protección de la infraestructura crítica y lógica en torno a los usuarios constituye el corazón de los activos a preservar, y si bien, esta materia se asocia principalmente a la protección de las personas frente a los ilícitos informáticos, tal como se ha señalado en las colaboraciones anteriores logramos advertir que los ejes de la ciberseguridad se vincula con los diversos espacios por los cuales las personas pueden estar seguras en los entornos informáticos, es así que, pensar que la ciberseguridad solamente debe ser abordada desde una perspectiva criminal, sería tanto como generar la expectativa que la protección de las personas en el ciberespacio sería únicamente posible a través de medidas correctivas a través de la investigación y persecución de los delitos informáticos, que cabe señalar, aún no cuentan con una implantación clara como mecanismo de defensa de la ciber ciudadanía frente a las afectaciones en sus bienes que se generan como resultado de ataques informáticos.
En el proceso de cuidar que la seguridad del ciberespacio se vuelve crítica la consciencia de los usuarios, sin embargo, otorgarles la carga de la responsabilidad se vuelve desproporcionado y eventualmente implicaría, a pesar de que la ciudadanía cuente con mecanismos técnicos de defensa adecuados, regresar a mecanismos de tutela autocompositiva, es decir, la primitiva del Ley del Talión que permitía a través de la venganza o de la autodefensa justificar la afectación de un tercero si éste había generado un daño previamente, por ello, se vuelve necesaria la acción del Estado y del gobierno para establecer reglas que permitan por una parte inhibir y neutralizar las acciones ilícitas de los ciberdelicuentes, así como establecer y definir el límite sobre lo prohibido y lo permitido en el ciberespacio, así como, consolidar un régimen de sanciones que a su vez permita la ejemplaridad para que, las hipótesis que se decide prohibir, sean taxativas para todas las personas que participan en dicho entorno digital.
Por ello, en ese mes de la ciberseguridad se vuelve necesario definir las estrategias que seguirán los países y las autoridades para enfrentar dicho problema, razón por la cual, si se pretende combatir un problema es decir, establecer mecanismos de ciberseguridad, primero se hace necesario identificar los riesgos que se pretenden administrar a fin de señalar las estrategias respectivas, y, adicionalmente identificar las características del ciberentorno a fin de identificar las brechas que hacen necesarias una acción estratégica.
Desde dicha perspectiva, las condiciones de la ciberseguridad se han modificado derivado de los hábitos de las personas cibernautas, mismas que a partir de la digitalización aumentaron su actividad e intensidad de las actividades digitales, lo cual, también generó cambios de disponibilidad para la población de las y los usuarios de la demanda de servicios e infraestructura, misma que conforme a la intensidad de uso no sólo ha incrementado su inmersión sino la necesidad de puntos de conexión y de integración con las actividades cotidianas, lo cual da paso a la conformación de la tecnología ubicua, lo cual se traslada a todos los ámbitos, desde la computación y el uso de los dispositivos, hasta las necesidades de configuración con la appificación y la gobernanza de los datos, requiriendo de manera necesaria, el medio por el cual se realiza la comunicación, lo cual da lugar a la conectividad e internet ubicuo, un escenario que se vuelve importante en la preservación de la seguridad en internet.
Tal como se destaca en el recientemente publicado Reporte de Ciberseguridad y Privacidad 2020 del Instituto Nacional de Estándares y Tecnologías de Estados Unidos (NIST, por sus siglas en inglés) y los elementos detectados entre las actividades desarrolladas, se advierte que como parte de los elementos necesarios para incrementar un entorno de protección de la seguridad en el ciberespacio y de la privacidad, la concientización y la educación son importantes, así como el acceso y gestión de las identidades, la administración de riesgos, los indicadores para medición y la mejora de la protección, las herramientas provistas para la protección de la privacidad de los usuarios y, la gestión de la seguridad de las tecnologías emergentes.
En ese sentido, particularmente se señala en torno a la conectividad que el programa de ciberseguridad para internet de las cosas y de todo, de NIST, respalda el desarrollo y la aplicación de estándares, pautas y herramientas relacionadas para mejorar la ciberseguridad de los dispositivos conectados y los entornos en los que se implementan. Al colaborar con las partes interesadas del gobierno, la industria, los organismos internacionales y el mundo académico, el programa tiene como objetivo cultivar la confianza y fomentar un entorno que permita la innovación a escala global.
Lo anterior, también destacando que nos encontramos en la era de la criptografía post cuántica, señalando que, en los últimos años, ha habido un progreso constante en la construcción de computadoras cuánticas, máquinas que explotan los fenómenos de la mecánica cuántica para resolver problemas que son difíciles o intratables para las computadoras convencionales. Cuando exista la capacidad para construir computadoras cuánticas a gran escala, podrán romper muchos de los criptosistemas de clave pública actualmente en uso. Esto comprometería seriamente la confidencialidad y la integridad de las comunicaciones digitales en Internet y en otros lugares. El objetivo de la criptografía post-cuántica (PQC, por sus siglas en inglés, también llamada criptografía cuántica resistente o segura) es desarrollar sistemas criptográficos que sean seguros contra computadoras tanto cuánticas como clásicas y que se puedan implementar sin cambios drásticos en los protocolos y redes de comunicación existentes.
También se indica que, la cuestión de cuándo se construirá una computadora cuántica a gran escala es complicada. En el pasado, estaba menos claro que las grandes computadoras cuánticas eran una posibilidad física, pero muchos científicos ahora creen que se trata simplemente de un importante desafío de ingeniería. Algunos ingenieros incluso predicen que dentro de los próximos 20 años, se construirán computadoras cuánticas suficientemente grandes para romper esencialmente todos los esquemas de clave pública actualmente en uso. Históricamente, se han necesitado décadas para implementar modernas infraestructuras de criptografía de clave pública, por lo que los esfuerzos para preparar sistemas de seguridad de la información que sean resistentes a la computación cuántica deben comenzar ahora.
En ese sentido, la nueva dimensión de la ciberseguridad debe contemplar en principio, una protección desde el diseño de los estándares y protocolos implementados, sobre si todo, si consideramos los inconvenientes técnicos como los que se presentaron con el apagón de internet con motivo de la baja del uso de certificados, que, si se explora en el ámbito operativo, abre una gran brecha en torno a las vulnerabilidades existentes en los sistemas a través de los dispositivos y su conexión a internet, lo cual, si se combina con el incremento de capacidades computacionales, vuelve necesario empezar a trabajar sobre estándares que construyan, al igual de la conectividad, una estrategia de ciberseguridad ubicua, y para ello, se vuelven fundamentales los esfuerzos de las autoridades como la que se llevará a cabo este año en México con la Asamblea Global de la Privacidad, tema que abordaremos en una siguiente colaboración.
Hasta la próxima.