La seguridad de información ha pasado por muchas fases en cuanto a la evolución de las amenazas se refiere. Desde los años 80 hasta finales de los 90s, el vector de ataque principal era la red. Si el atacante penetraba la red era dueño de todo, puesto que las defensas eran principalmente de perímetro y había pocos o ningún control a lo interno. Recuerdo que cuando trabajaba para Codetel había un señor llamado Tim Tuttle, quien desempeñaba la función de Gerente de Seguridad de Información en GTE (antigua casa matriz de Codetel), cerca del año 98; él decía que las redes eran a menudo como un huevo “duras por fuera y blandas por dentro”, pues así fue por mucho tiempo y lamentablemente todavía encontramos ejemplos de esa “mentalidad de fortaleza”.

Luego el perímetro se fue desvaneciendo, a medida que las organizaciones abrían sus redes a socios de negocio, proveedores, clientes y otros relacionados que requieren acceso a las informaciones y sistemas de la empresa. Entidades de todos tipos establecieron DMZs, VPNs, extranets y otras infraestructuras de acceso que exponen los sistemas internos ante redes externas y no confiables.

Este cambio hizo el atacar el perímetro irrelevante, pues ya no había tal perímetro según se conocía hasta entonces. Entre los años 2000 a 2005 los ataques se enfocaron en los servicios. Durante este período vimos amenazas como el gusano SQL Slammer, Sasser, Nimda, entre otros; los cuales aprovechaban vulnerabilidades en el software para atacar y propagarse. Por igual surgió una plétora de “exploits” y frameworks de los mismos, diseñados para atacar los huecos de software. La respuesta de la industria fue, como parecía lógico, atacar estas vulnerabilidades, por lo que vimos iniciativas de gigantes de la industria por mejorar las técnicas de programación y auditar el software con el objetivo de mitigarlas durante el ciclo de desarrollo.

Por un momento se llegó a pensar que esta sería la solución a todos los problemas de seguridad, ya que el software estaría libre de vulnerabilidades que atacar. Lamentablemente esto no duró mucho, ya que los atacantes adaptaron rápidamente sus técnicas y procedieron a atacar las aplicaciones web, haciendo populares los ataques de Inyección SQL y Cross-Site Scripting. Dada la “webificación” de gran cantidad de servicios, producto de lo que conocemos como web 2.0, el vector de aplicaciones web resulta crítico y ofrece al atacante un gran potencial de causar daños.

Las industrias de la tecnología y seguridad, así como entidades particulares, continúan adaptándose a este escenario. Sin embargo, todavía queda camino por recorrer e incluso hasta hoy se descubren con frecuencia huecos en el software que aprovechan amenazas como el gusano Conficker, Storm y otras formas de “malware”.

En la actualidad, la denominada capa 8 o el factor humano, así como el software cliente (Ej. navegador web) parecen ser los vectores más atacados por la última generación de amenazas. Lo cierto es que como disciplina seguimos jugando al gato y al ratón, y el gato está quedando como un tonto. Organizaciones en todos los sectores de nuestras economías, así como individuos o usuarios finales, siguen sufriendo las consecuencias de este enfoque reactivo de “descubrir y parchar”, donde son los malos quienes descubren y/o explotan nuestras debilidades y estas son corregidas sólo después de que el daño ya ha ocurrido, algo similar al hábito de “poner candado después que nos roban”.

El problema radica, en la opinión de muchos expertos, en que es más rentable emitir productos o sistemas vulnerables e ir corrigiéndolos sobre la marcha que invertir tiempo y recursos en protegerlos de forma proactiva. Lo mismo denota deficiencias en la cultura de gestión de riesgo, donde se valora funcionalidad sobre seguridad, robustez y calidad general de los productos de TI.

Podemos comenzar a atacar el problema considerando la seguridad como una dimensión fundamental de la calidad, a exigirla de nuestros proveedores así como a comprometernos con proveerla. Hasta que no logremos cambiar nuestro modelo de protección, continuaremos con un desfile de amenazas que parece no conocer límites.