¿Cómo combatir la “enfermedad digital”? Entrevista a Andrew Lee de ESET


Sin lugar a dudas, las ideas planteadas por Andrew Lee en su presentación de apertura en SEGURINFO 2015 Argentina dejaron a más de uno pensando en cómo mantener la privacidad hoy en día, si es que se puede. Después de todo, dijo que los datos son inmortales en esta era digital y que todo será registrado por algún sistema, abriendo la posibilidad de que la información se propague en forma incontrolable, como una “enfermedad digital”.

Para profundizar un poco más en estos temas, entrevistamos al CEO de ESET Norteamérica y conocimos su opinión sobre el impacto de Internet de las Cosas, y la (¿nula?) posibilidad de anonimato que brindan herramientas como Tor o la Deep Web. ¡No se pierdan la entrevista completa!

¿Por qué dices que los datos son inmortales?

El título es un poco humorístico, pero la idea es que nuestros datos en realidad no desaparecen. Ahora tenemos el potencial de capturar muchísimos datos más que antes, recopilar sus estadísticas vitales a lo largo de toda su vida, por lo que podemos llegar a conocer la vida entera de alguien.

Esos datos se almacenan y es muy probable que vivan más que nosotros, aún seguirán allí cuando ya no estemos. Facebook, Twitter y todas esas cosas que tenemos ahora seguirán existiendo. Quizá no sean realmente inmortales, pero por lo que sabemos ahora, es una posibilidad.

¿Cómo podemos controlarlo nosotros como usuarios? ¿O no podemos?

En este momento ese es el problema, porque es muy difícil de controlar. Hay muy poca transparencia con respecto a lo que se hace con los datos.
Este cuerpo digital que tenemos está allá afuera, en múltiples servidores y organizaciones, y cuando pensamos en todos los lugares que almacenan datos sobre nosotros, es muy difícil poder saber dónde están. Existen cientos de sitios donde en algún punto inicias sesión y das algún tipo de dato. Así es que tenemos este cuerpo digital del cual no tenemos ningún tipo de control, sino que todo el control es de terceros, casi todo.

¿Qué nos puedes decir sobre el concepto que mencionaste de enfermedad digital?

Usé la frase enfermedad digital en el contexto de datos que se ingresan o se modifican incorrectamente y eso es algo muy difícil de arreglar. Di algunos ejemplos, como el robo de identidad, donde roban detalles de tu identidad y se usan con otros objetivos. Resulta muy difícil volver atrás y hacer corregir tu informe de crédito, o lograr que modifiquen tus detalles de seguros.
Puedes terminar con datos en tu historial médico que son incorrectos pero es demasiado difícil hacer que lo cambien aunque les pidas un montón de veces que lo hagan; primero deben verificar que realmente no eran así. Estos datos se van replicando a través de muchos sistemas diferentes, y se comparten. Por ejemplo, los informes crediticios se comparten entre diversas empresas de créditos, por lo que es muy difícil poder eliminar por completo los datos incorrectos.

Y el problema es que estos datos se esparcen, ¿no?, por eso es tan difícil corregirlos

Sí, se esparcen. Es fácil cambiar datos, pero no es fácil volver atrás y corregirlos porque nadie sabe cuál es la versión realmente correcta de esa información. Un ejemplo tonto es cuando entras a Amazon y, por ejemplo, quieres comprar algo porque te lo pidió un amigo. Entonces escribes en la búsqueda, por decir, juguetes de Spiderman, y luego por todo un mes lo único que ves en las publicidades es lo que otras personas que compraron Spiderman también compraron. Y no te interesa.
Este es un ejemplo muy tonto y simple de cómo funcionan los algoritmos para propagar datos sobre algo que no tiene nada que ver contigo. Pero es mucho más grave cuando ocurre con detalles financieros o con seguros o con atención sanitaria, etc.

¿Hay alguna actividad que hagamos que no se registre?

No lo sé, algo interesante en la actualidad es que solemos pensar que todo lo que hacemos mientras estamos despiertos está siendo registrado de alguna manera, porque el teléfono nos rastrea, iniciamos sesión en distintos lugares, tomamos fotografías de nuestro almuerzo, y cosas así.
Pero ahora incluso puedes comprar un dispositivo como el Fitbit, que tiene un sensor de sueño, por lo que ahora también se puede registrar tu sueño. Probablemente en la mayoría de los casos no te están monitoreando todo el tiempo, pero ciertamente se puede. Contamos con el potencial de grabar todos estos tipos de datos, y si piensas en los dispositivos médicos que se implantan en el cuerpo, también proporcionan incluso aún más datos que se pueden usar para rastrearnos e identificarnos individualmente.

¿La Internet de las cosas ayuda a que esto ocurra?

Sí, la Internet de las cosas es el lugar hacia donde se dirige toda esta revolución. Todo se está convirtiendo en un punto de entrada de datos, todo tiene algún tipo de sensor incluido capaz de ingresar datos a un sistema. Y esos datos suelen ser datos interesantes relacionados con nosotros de alguna manera. Pueden ser acerca de nuestra salud o lo que tenemos que comprar para nuestra heladera, algo que compramos o algo que hicimos, quizá sea sobre nuestro automóvil, si necesita un service, quizás es algo que se conecta remotamente a un servicio de emergencias si algo no está bien.
Todas estas cosas se pueden rastrear, y constituyen la revolución de lo que denominamos la Internet de las cosas, donde las computadoras no son solo los aparatos que tenemos sobre el escritorio.

Y si trasladamos esto al desempeño normal de las empresas, si se comenzara a aplicar la Internet de las cosas en las empresas, ¿qué impacto tendría?

Creo que el reto para las empresas es poder controlar (al igual que en nuestra vida personal, pero a nivel empresarial) adónde van sus datos, dónde están almacenados. Por ejemplo, si tu teléfono tiene cámara, podrías llegar a fotografiar un documento que sea propiedad intelectual de alguien e irte sin que nadie se dé cuenta, y nadie sabe dónde la puedes estar publicando.
Por eso existe muy poco control desde el punto de vista corporativo de dónde se encuentran los datos y cómo se están usando. Ahí es cuando empezamos a ver soluciones para la prevención de la fuga de datos, entre otras cosas, para tratar de lidiar con este tipo de problemas.

¿Crees que la Internet de las cosas sería para la empresa la nueva ola de la política conocida como BYOD?

No sé si es exactamente así, pero sin duda tendrá un efecto. Por ejemplo, si pensamos en inventos como Google Glass, ese sí que fue un experimento interesante. Pero no es un sistema convencional para el ingreso de datos. Es un dispositivo wearable que tiene más que ver con el estilo de la Internet de las cosas, pero no provocó tanta reacción en quienes lo usaban sino en los demás.

La cosa es que a los demás no les gustaba el hecho de que, por ejemplo, yo estuviera aquí sentado teniendo una interesante conversación pero con este dispositivo, y se preguntan “¿está grabando?”, “¿tomó una foto?”. Naturalmente genera incertidumbre. Pero cuando piensas en miniaturizar este tipo de dispositivo, o convertirlo en un dispositivo cibernético en verdad, que realmente esté adjunto a tu cuerpo o se utilice como dispositivo médico para reemplazar la vista, si eres no vidente puedes usarlo como un implante, quizá pueda grabar todo lo que se está haciendo, todo lo que se ve.
O quizá sea parte de tu memoria, si sufres de una enfermedad de la memoria y este aparato con registros fotográficos te ayuda a reconocer a las personas, entonces cuando entras a un lugar puedes saber quién es el otro porque te lo dijo el dispositivo.

Esto también tiene un impacto en las empresas. Qué pasa si eres un agente gubernamental o un agente de policía y tienes ojos cibernéticos, ¿cuál sería su impacto en cuanto a la privacidad de las personas con quienes interactúas? Pero por otro lado sería discriminación si por eso no te dan el trabajo, ya que es un dispositivo médico que te está ayudando a corregir una incapacidad. Va a ser interesante ver cómo se desarrolla y cómo lidiamos con este tema y sus problemas de privacidad en el futuro.

Para resumir este tema, ¿cuáles serían los retos para las empresas en este contexto?

Creo que el reto parea las empresas es simplemente conocer cuáles son los riesgos. Una gran cantidad de empresas son muy malas en la administración de riegos. Incluso empresas que gastan millones de dólares en seguridad tienen infiltraciones. Porque no siempre comprenden en qué parte del sistema está la vulnerabilidad. La mayor vulnerabilidad siempre es el usuario. Lo que las personas hacen con tus datos es la mayor vulnerabilidad que puedes tener como persona y como corporación.
Tenemos que buscar maneras de resguardar lo que tenemos, de proteger el acceso a nuestros datos, y asegurarnos de poder administrar esos datos y mantenerlos bajo control. El cifrado es un buen ejemplo de cómo podemos controlar quién ve esos datos.

La autenticación en dos fases te permite otorgar acceso en forma segura a los datos que quieres mostrar, pero no significa que todos los puedan ver. Hay muchas cosas de este tipo en las que tienen que pensar las organizaciones.

¿Qué nos puedes decir del rol del CSO (Jefe de Seguridad informática)?

Creo que básicamente ambas cosas son lo mismo, porque el rol de quien esté a cargo de la seguridad debe entender los riesgos. La administración de riesgos es la clave fundamental. Puedes tener toda la tecnología pero si no entiendes lo que estás tratando de arreglar, no tienes ninguna esperanza de resolver el problema.
El rol del CSO es comprender el riesgo y ser capaz de gestionarlo, para ello puedes usar distintas tecnologías e ideas, pero primero debes saber cuáles son los riesgos.

Retomando la idea de que la privacidad es un reto para todos, ¿cuál crees que es el rol de las empresas antivirus al respecto?

Creo que el rol de las empresas antivirus siempre fue mantener los datos seguros. Más allá del tipo de datos que tengas, tratamos de evitar que las personas dañen los datos, los modifiquen, los borren, los alteren, los distribuyan adonde no deben ir.

Esas son las cosas que, desde el punto de vista corporativo, creo que son lo mismo. Como empresa de seguridad, nuestra responsabilidad es encontrar dónde están realmente las amenazas, y ser capaces lo más proactivamente posible de ocuparnos de esas amenazas, bloquearlas donde podamos y también tratar de devolverle parte del control al usuario para que comprenda lo que ocurre con sus datos. Por ejemplo, avisarle cuando algo está tratando de subir muchos datos a un sitio Web para saber si realmente quiere que sea así.

De esta forma ayudamos a mejorar la transparencia.

¿Cuál es tu opinión acerca de herramientas como Deep Web o Tor? ¿Proporcionan realmente privacidad?

Es evidente que no. En realidad nada es anónimo en Internet. La razón por la que estas herramientas no son anónimas es porque en cierto punto hay otros datos que las rodean, lo que haces casi nunca es aislado. Si uso Tor y simplemente leo el sitio Web de alguien, a nadie le va a importar lo que hice. Seguramente nadie me va a rastrear.

Pero si cometo algún tipo de crimen, siempre habrá alguna razón tras un acto criminal o subversivo, etc. Entonces, hasta cierto punto, yo separaría el anonimato de la privacidad.
La privacidad es preservar ciertas cosas que son importantes para nosotros, no es nada criminal, solo son cosas que queremos mantener en secreto. Cosas que no queremos compartir con el mundo. Uno no quiere divulgar el número PIN de su cuenta bancaria, o el número de seguro social, o si tienes algún tipo de enfermedad o alguna póliza de seguro en particular, no quieres necesariamente que las personas se enteren de eso. Y no tiene nada que ver con un acto criminal, es solo que ciertas cosas deben ser privadas.

El anonimato es algo diferente, se usa con distintos motivos, no siempre criminales, por ejemplo, podemos pensar en personas que denuncian prácticas políticas ilegales, o en disidentes, que necesitan el anonimato para poder hacer su trabajo, pero nunca debemos basarnos en la tecnología para ello, también necesitamos contar con buenos planes de seguridad, entre otras cosas.

¿Qué es lo que más disfrutas de tu trabajo en ESET?

Me gusta trabajar en ESET por su gente. Es el motivo fundamental. Puedes trabajar en un montón de empresas y no sentir que tu trabajo realmente tiene un impacto o que haces una diferencia. Creo que ESET hace una diferencia en la vida de las personas.
No solo la de nuestros clientes sino también para quienes trabajan con nosotros. Parece que tenemos una filosofía diferente a la de las demás empresas y me agrada. Me gustan los valores compartidos, que nos importe la comunidad  y el mundo. Nos importa la tecnología, hacer las cosas bien y la verdad. Para mí todas estas cosas son sumamente importantes.

Me gusta trabajar con esta gente y lo vengo haciendo desde hace bastante tiempo. Nunca me gustó la idea de ser la voz del miedo; me gusta ser la voz del razonamiento. Si las personas pueden disfrutar de la tecnología, queremos que la disfruten en forma segura. Ese es el motivo por el cual hacemos lo que hacemos. La tecnología es fantástica, ocurren tantas cosas buenas que lo peor sería decidir que no queremos tener nada que ver con la tecnología.

Nosotros queremos ayudar a las personas a disfrutar de la tecnología, a que la usen bien y a que comprendan los riesgos, eso es importante.  Y hasta donde sé, creo que todos los integrantes de la gerencia comparten esta filosofía, lo que hace que sea mucho más fácil  trabajar con ellos.

Fuente: WeLiveSecurity

Comentarios

Publicar un comentario

siempre es bueno, leer tus comentarios

Entradas populares de este blog

El Modelado de Amenazas de Seguridad

Imagen
El Modelado de Amenazas de Seguridad es un proceso para la evaluación y documentación de los riesgos de seguridad de un sistema. El Modelado permite comprender el perfil de amenazas a las que está expuesto un sistema, mediante una evaluación a través de los ojos de sus potenciales enemigos. Con técnicas tales como la identificación de puntos de entrada, fronteras de privilegios y árboles de amenazas, se pueden identificar estrategias para mitigar las posibles amenazas del sistema. El Modelado de Amenazas también permitirá la justificación de la implementación de las características de seguridad dentro de su sistema, o las prácticas de seguridad para utilizarlo, para la protección de los activos de la empresa. En el mundo de componentes distribuidos el compartir datos sensibles a través de las redes a significado un aumento de la exposición a los atacantes hambrientos por sus datos. Necesita crear un modelo de seguridad firme para beneficiarse de la visión de .NET de una informática tot
Leer más

¿Como atacar Kerberos?

Introducción En este artículo de Kerberos, se mostraran algunos ataques contra el protocolo. En caso de necesitar refrescar los conceptos en que se basan estos ataques, se recomienda leer primero la primera parte sobre teoría de Kerberos . El post se divide en una sección por ataque: Kerberos brute-force ASREPRoast Kerberoasting Pass the key Pass the ticket Silver ticket Golden ticket Los ataques están ordenados por el nivel de privilegios necesarios para realizarlos, de manera ascendiente. De este modo, para llevar a cabo los primeros ataques solo hace falta tener conectividad con el DC (Domain Controller), que en el caso de AD (Active Directory) es también el KDC (Key Distribution Center). Sin embargo, el último de los ataques requiere que se posean privilegios de Domain Administrator o similares. Como añadido, cada ataque se mostrará desde la perspectiva de 2 escenarios comunes: Máquina Linux : Desde un ordenador externo al dominio, controlado por el audito
Leer más

Trámites a Distancia: Serie de vulnerabilidades permiten el acceso a datos personales de terceros

Imagen
INTRODUCCIÓN La información provista este documento tiene com único fin lograr evitar que nuestra información personal pueda ser accedida por usuarios malintencionados. Esta falla ha sido reportada anteriormente, sin obtener respuesta o solución alguna. El desarrollo del presente documento se ha realizado por Martín Aberastegue ( @Xyborg ) y reportado de forma responsable a la Dirección Nacional de Tramitación e Identificación a Distancia | Subsecretaría de Innovación Administrativa | Secretaría de Innovación Pública quienes procedieron a la solución del problema. INTRODUCCIÓN          0 RESUMEN          1 OBJETIVOS          1 DESARROLLO          2 ¿Es posible realizar este ataque de forma anónima?          3 ¿Dónde obtengo un CUIL válido?          4 Origen del problema          5 PRUEBAS DE CONCEPTO          7 Extracción masiva de datos personales:          7 Consulta de datos personales por CUIT:          8 Usos potenciales de esta información    
Leer más