En esta época del año, es un momento interesante en el mundo de la seguridad cibernética. DigiCert, Inc., el mayor proveedor de soluciones TLS/SSL y PKI del mundo, lanza sus predicciones de seguridad para 2020. Estas predicciones se centraron en general en la transformación digital y se dividen en tres subcategorías: Internet de las cosas (IoT), cifrado y privacidad. Tanto IoT, como la transformación digital siguen siendo lo más importante para muchas personas («Internet de las cosas» de Google será recibido con resultados asombrosos con más de 2.600 millones de conexiones), lo que generará mucha emoción y promete algo interesante en los próximos años.
A continuación, varios expertos de DigiCert, incluidos Tim Hollebeek – estratega técnico de la industria, Mike Nelson – vicepresidente de IoT Security y Dean Coclin – Director Senior de Desarrollo de Negocios de DigiCert contribuyeron al pronóstico de predicciones de este año.
Predicciones de seguridad para 2020:
IoT
Seguridad
El enfoque en los requisitos de adquisición crecerán, y las empresas pedirán garantías a sus fabricantes de dispositivos IoT acerca de la seguridad de los dispositivos. El rápido crecimiento de los dispositivos de conectividad, telesalud e IoT integrados en los pacientes conducirá a un fuerte impulso para una mejor seguridad en los dispositivos médicos.
Más fabricantes de dispositivos y consorcios aprenderán de las industrias clave cómo la infraestructura de clave pública escalable (PKI) puede proteger los dispositivos IoT. La adopción de PKI aumentará para la autenticación, el cifrado y la integridad del dispositivo conectado. Después que el PKI informal decepcione a las empresas, recurrirán a los principales expertos / CA externos para que lo proporcionen. “Los piratas informáticos continuarán encontrando vulnerabilidades en los dispositivos de IoT del consumidor, ya que la seguridad no es lo más importante cuando se desarrollan estos dispositivos. En contraste, la seguridad industrial de IoT ha mejorado, especialmente para sistemas críticos como automotrices, SCADA, atención médica”, señaló Dean Coclin, Director Senior, Desarrollo de Negocios en DigiCert.
Regulación
Los dispositivos IoT se enfrentarán a un número creciente de regulaciones globales en 2020. Los consumidores ayudarán a impulsar esto exigiendo protecciones de seguridad más estrictas, como el etiquetado de dispositivos, algo que ya se requiere en el Reino Unido. En un esfuerzo por evitar la regulación gubernamental, las industrias se unirán en muchos mercados, incluidos Alemania, Reino Unido, Corea del Sur, Japón, EE. UU. Y otros lugares para desarrollar estándares para asegurar los dispositivos IoT dentro de su industria.
Mercados como Japón, Reino Unido y Estados Unidos están avanzando en la regulación de IoT.
A continuación un breve resumen de la actividad reguladora actual en estos países:
- Japón: En previsión de las amenazas a la seguridad cibernética durante los Juegos Olímpicos de verano en 2020, el gobierno japonés aprobó una ley que le permite piratear los dispositivos IoT de los ciudadanos. En cooperación con los proveedores de servicios de Internet (ISP) del país, el gobierno intentará piratear millones de dispositivos utilizando las credenciales predeterminadas de los dispositivos. Se advertirá a los propietarios que no hayan cambiado los valores predeterminados, que sus dispositivos corren el riesgo de sufrir ataques.
- Reino Unido: en 2018, el Reino Unido firmó el primer código de práctica de IoT del mundo, incluidas las directrices para fabricantes, como las contraseñas predeterminadas. Más recientemente, anunció planes para introducir leyes que exijan que los fabricantes incorporen seguridad en los dispositivos IoT.
- Estados Unidos: «Si bien el gobierno federal de EE. UU, ha estado menos dispuesto a regular la IoT de manera tan agresiva como otros, el estado de California ha liderado la regulación de los dispositivos IoT vendidos en el estado», según un artículo de Forbes. La legislación de California exige que las características de seguridad protejan el dispositivo y la información que contiene de múltiples amenazas. La medida ha dominado a los fabricantes de dispositivos debido al enorme mercado que representa California.
“Veremos más exploits públicos en dispositivos IoT que harán que los reguladores fortalezcan su posición sobre la seguridad de IoT. Más gobiernos globales introducirán la regulación de seguridad de IoT. Así mismo las industrias se unen en un esfuerzo por crear estándares para asegurar los dispositivos IoT en su industria. Estos esfuerzos serán un intento de evitar la regulación” afirmó Mike Nelson, vicepresidente de seguridad de IoT en DigiCert.
Escalabilidad y seguridad basada en certificados
Muchas de las empresas que intentan ejecutar su propia PKI o pequeñas CA (Autoridad certificadora) privadas, que admiten implementaciones globales de IoT se encontrarán con problemas de escalabilidad, a medida que se den cuenta del desafío de la escala. Esto hará que los fabricantes recurran a CA públicas probadas en un intento de resolver el desafío de escalabilidad. Las CA públicas responderán creando o adquiriendo soluciones IoT más sólidas o de confianza privada para satisfacer la creciente demanda de seguridad de IoT.
En cuanto a lo que está en el horizonte para los certificados de Seguridad de la capa de transporte (TLS), los períodos de validez más cortos significan que las organizaciones comenzarán a adoptar la automatización para facilitar la administración de certificados.
“Los consumidores tendrán que aumentar su conciencia de seguridad a medida que los actores de amenazas aprovechen los certificados TLS validados por dominio gratuitos para mostrar el candado en sus sitios web. Ya no es suficiente «buscar la cerradura», uno debe mirar «más allá de la cerradura», Agregó Dean Coclin.
Cifrado
Computación cuántica
La computación cuántica, que utiliza bits cuánticos (o qubits) frente a los bits utilizados por las computadoras tradicionales, puede completar cálculos complejos simultáneamente en lugar de secuencialmente, acelerando los resultados. Las ciencias médicas, la física de partículas y el aprendizaje automático se encuentran entre las posibles aplicaciones. Esa potencia informática avanzada podría resultar irresistible para los ciberdelincuentes. Una encuesta de los responsables de la toma de decisiones de TI encontró que el 55 por ciento considera que la computación cuántica es una amenaza «extremadamente grande» o «algo grande» hoy en día. El setenta y uno por ciento cree que será una amenaza «extremadamente grande» o «algo grande» en el futuro. El quince por ciento cree que 2020 es el año en que la computación cuántica avanzará hasta el punto en que pueda descifrar los algoritmos criptográficos existentes.
La industria debe fortalecer los algoritmos de cifrado para mantenerse al día. Los certificados digitales híbridos también serán más atractivos. En algún momento entre 2022 y 2024, el Instituto Nacional de Estándares y Tecnología (NIST) habrá estandarizado un algoritmo de criptografía post-cuántica (PQC) que puede enfrentar el desafío. El logro dará inicio a un esfuerzo global para desplegarlo. Las empresas que hayan inventariado sus sistemas criptográficos y hayan enfatizado la agilidad criptográfica tendrán más facilidad para implementarlo; otros, no tanto.
“Una computadora cuántica para resolver un problema económicamente importante el próximo año. Esto iniciará una nueva era de inversión en la aceleración del desarrollo de la computación cuántica basada en la demostración de beneficios prácticos. La adopción de la criptografía post-cuántica deberá mantenerse al día”, aseguró Tim Hollebeek, estratega técnico de industria y estándares de DigiCert.
Intimidad
Este año en Estados Unidos se conoció la adopción de la Ley de Privacidad del Consumidor de California (CCPA) y el fracaso de la Ley de Privacidad de Nueva York (NYPA) para votar durante la reciente sesión del estado. A partir del 1 de enero de 2020, CCPA a veces se llama «GDPR-lite» en referencia a la Ley General de Protección de Datos (GDPR) de la Unión Europea.
El GDPR se implementó en mayo de 2018 para dar a las personas «más control sobre sus datos personales y asegurarse de que las empresas prioricen la privacidad de los datos». Entre otras cosas, CCPA otorga a los californianos el derecho de saber qué datos personales se recopilan y si se venden o comparten con otros. Las empresas deben divulgar esa información a los consumidores o enfrentar multas si no lo hacen.
Existe una creciente preocupación entre los consumidores a nivel mundial sobre cómo las empresas manejan sus datos personales. Algunos creen que la solución definitiva es una ley de privacidad nacional, similar al GDPR, pero la probabilidad de que se apruebe es baja en la administración actual. Otros países están analizando sus propias leyes de privacidad más allá del RGPD.
Predecimos que un número creciente de estados y países de todo el mundo llenarán el vacío adoptando sus propias leyes de privacidad de datos. Desafortunadamente, la naturaleza de mosaico de la adopción de la ley de privacidad en 2020 hará que el cumplimiento sea muy difícil para las empresas con ubicaciones en más de un país, o incluso más de un estado, y para aquellos que venden productos en línea a consumidores de todo el mundo.