La noción de confianza se encuentra en el centro de muchos debates actuales en el sector de la ciberseguridad. Su dimensión estratégica la vincula a una gran variedad de cuestiones en curso, y las tensiones geopolíticas, que eran claramente visibles en 2018, han tenido repercusiones significativas en el mundo del ciberespacio. Ciertamente no faltan ejemplos.
Además de las sospechas que rodean la presencia de estados-nación detrás de grandes ciberataques, y la apertura de «escuelas» de ciberespionaje en algunos países, 2018 se ha caracterizado por el anuncio de embargos contra determinados proveedores por supuestas actividades relacionadas con el espionaje, así como nuevas dudas acerca de la introducción de puertas traseras en tecnologías extranjeras.
Estas cuestiones, por otra parte, están planteando dudas sobre la fiabilidad e integridad de los productos de software, especialmente sobre las soluciones de ciberseguridad que como, “guardianes del templo”, mantienen el control sobre los sistemas de protección, pero también tienen acceso a los recursos protegidos. Por tanto, la elección de un partner para la ciberseguridad nunca ha sido tan crucial para las empresas e instituciones.
Puertas traseras, el debate está servido
Las posiciones adoptadas por los estados-nación sobre cuestiones espinosas como las puertas traseras y el debilitamiento de los mecanismos de encriptación varían, entre los que los apoyan, como Rusia o los estados miembros de la alianza de los Cinco Ojos*, y los que piensan, como ocurre en Europa, que las puertas traseras podrían proporcionar una forma indirecta de acceder a información sensible perteneciente a empresas privadas o individuos.
En este caso, los países europeos abogan por uso del cifrado de extremo a extremo en las comunicaciones para garantizar una seguridad completa. En 2017 el vicepresidente de la Comisión Europea subrayó esta posición al destacar la amenaza que supone el uso de puertas traseras que podrían ser explotadas por los ciberdelincuentes. Las debilidades en los sistemas de protección o encriptación bien podrían ser descubiertas y explotadas con fines maliciosos, proporcionando la oportunidad perfecta para la actividad delictiva.
Esto demuestra una vez más que la noción de confianza digital va mucho más allá de consideraciones puramente tecnológicas y funcionales, y que a menudo adquiere un carácter altamente geopolítico.
La comprensión de los orígenes de las tecnologías digitales, en particular las que se utilizan para manipular o proteger datos confidenciales, es fundamental para la confianza digital. Las empresas también deben incorporar esta información estratégica en su razonamiento antes de confiar a los proveedores las claves para asegurar sus sistemas de información. En este sentido, se requieren esfuerzos continuos de sensibilización entre las organizaciones privadas y públicas. Los editores europeos, por su parte, deben ser más transparentes en sus posiciones y adoptar una postura común.
También debemos acoger con satisfacción el trabajo realizado para apoyar la confianza digital a escala europea y por diversos organismos gubernamentales, como la agencia francesa ANSSI, cuyo sistema de calificación de productos de seguridad requiere una revisión de los códigos fuente para garantizar que las funciones de protección sean suficientemente robustas y que no haya puertas traseras. Apostamos a que esta iniciativa se retomará más ampliamente en el futuro marco europeo de certificación y que en España ha sido encomendado recientemente a ENISA.
* Una alianza que reúne a los servicios de inteligencia de Estados Unidos, Australia, Nueva Zelanda, Reino Unido y Canadá.
Matthieu Bonenfant
CMO de Stormshield