Construyendo confianza en un mundo desconfiado: 37% de los mexicanos ven riesgo en compras online
Por Dean Coclin, director senior de desarrollo comercial de Digicert
La pandemia de COVID-19 ha afectado nuestras vidas de muchas formas diferentes, ya sea personal, social o empresarial. Ahora confiamos en Internet y las plataformas en línea para mantenernos en contacto con nuestros seres queridos y colegas, y para comprar más servicios y productos en línea.
Para muchas empresas, la COVID-19 aceleró los proyectos para migrar sistemas a la nube y para admitir el trabajo remoto. Con las empresas migrando a los servicios en línea y respaldando un número sin precedentes de personal que trabaja de forma remota, el enfoque perimetral tradicional y los modelos de ciberseguridad ya no son válidos. Este enfoque asume que se puede confiar en todos los dispositivos, servicios y usuarios dentro del perímetro, mientras que no se puede confiar en todos los que están fuera del perímetro. Sin embargo, el perímetro ahora, en efecto, ha desaparecido.
En México, el 37% de los consumidores piensa que el riesgo de estafas aumenta en las ventas por internet, según la Asociación Mexicana de Venta Online (AMVO).
Para agravar este desafío está la revolución de Internet de las cosas (IoT), que presenta una gran cantidad de problemas en relación con la confianza en esos dispositivos. Ahora tenemos televisores, luces, sistemas de calefacción, automóviles y más conectados a Internet, y la lista de dispositivos conectados, inteligentes o de otro tipo, crece día a día.
Algunos de estos dispositivos IoT están conectados a entornos corporativos: ese televisor inteligente en la sala de juntas, por ejemplo. Estos dispositivos, a su vez, también suelen estar conectados a la plataforma del proveedor para soporte, actualizaciones o capacidades de procesamiento adicionales. Entonces, en efecto, nuestros sistemas corporativos ahora deben confiar en un dispositivo de IoT que a su vez está conectado a una plataforma de proveedor fuera de nuestro perímetro y nuestro control directo.
Además, no todos los proveedores de IoT invierten el tiempo o el esfuerzo adecuados para incorporar seguridad en sus productos. Hay muchos ejemplos de dispositivos de IoT que tienen una autenticación débil, o con credenciales predeterminadas configuradas, o los proveedores no tienen formas adecuadas de actualizar los dispositivos con actualizaciones de seguridad. El crecimiento de las redes 5G apoyará el crecimiento de los dispositivos de IoT, lo que solo agravará aún más este problema.
Yendo más allá de la tríada de seguridad
Los tres pilares estándar de seguridad (confidencialidad, integridad y disponibilidad) deben ahora ampliarse con un cuarto pilar. Ese pilar es la confianza. ¿Cómo podemos confiar en los servicios en línea que utilizamos? ¿Cómo podemos confiar en los sistemas a los que accedemos? ¿Cómo podemos confiar en el dispositivo que accede a nuestro entorno? ¿Y cómo podemos confiar en las actualizaciones, los mensajes y otras interacciones que nuestras computadoras realizan a diario, a menudo en segundo plano y, a menudo, sin nuestra intervención?
La confianza no es algo que aparezca por arte de magia. La confianza, por su propia naturaleza, debe desarrollarse y nutrirse con el tiempo. Se construye sobre la base de interacciones positivas y se refuerza con el tiempo al repetir esas interacciones positivas. Sin embargo, si bien puede llevar tiempo generar confianza, esa confianza se puede perder rápidamente debido a una mala interacción o evento.
En 1987, después de firmar el Tratado de Fuerzas Nucleares de Alcance Intermedio, el entonces presidente de los Estados Unidos, Ronald Reagan, cuando se le preguntó cómo podía estar seguro de que la Unión Soviética cumpliría con el acuerdo, utilizó la frase “confíe, pero verifique”. " Esta frase, una obra de teatro con un antiguo proverbio ruso real, "Doveryai, no proveryai", destaca que uno no debe aceptar ciegamente la confianza al pie de la letra, sino buscar pruebas de apoyo de que se mantiene la confianza.
Certificados digitales es el camino
Los certificados digitales son una piedra fundamental para generar la confianza que necesitamos para llevar nuestra vida personal y comercial de manera segura. Los certificados digitales pueden ayudar a proteger los datos en tránsito a través de las redes o mientras están en reposo. También pueden proporcionar un mecanismo sólido para autenticar a las personas y los dispositivos, incluidos los dispositivos de IoT, en nuestros sistemas para que podamos estar seguros de que nos estamos comunicando y conectando con aquellos en quienes confiamos.
Es importante tener en cuenta que los certificados digitales por sí solos pueden no ser suficientes para generar y mantener los niveles de confianza requeridos. En el pasado, los certificados digitales mal administrados y sus claves asociadas han sido abusados por actores malintencionados. Los delincuentes han robado certificados de empresas acreditadas y luego los han utilizado para firmar digitalmente actualizaciones de software o realizar otras actividades maliciosas. Como cualquier activo valioso, las claves privadas de los certificados digitales deben protegerse adecuadamente.
En el mundo posterior a la pandemia, continuaremos experimentando un aumento en la cantidad de personas y organizaciones que aprovechan el trabajo remoto, se involucran en el empleo de nuevas plataformas en línea e implementan dispositivos de IoT en hogares y oficinas. Esto conducirá a un aumento en la cantidad de certificados digitales que una organización tendrá que administrar. Con la erosión del perímetro de seguridad, estos certificados digitales deberán emitirse, renovarse, revocarse y gestionarse continuamente para garantizar su integridad. La gran escala y el volumen de certificados digitales que se administrarán requerirá que las organizaciones empleen soluciones escalables para administrar certificados digitales sin problemas en la nube pública o privada, en las instalaciones o mediante una solución de administración alojada por CA.
En el mundo digital, debemos generar confianza, pero debemos tener plataformas automatizadas y escalables para administrar y verificar esa confianza.