Número 4

Inteligencia Artificial y Ciberseguridad (Capítulo 4). Navegando por las complejidades de la Inteligencia Artificial (AI) en ciberseguridad; equilibrando innovación, regulaciones y ética.
Análisis: Desvelando el cambiante panorama de las ciberamenazas
AppSec: El modelado de las amenazas y la metodología STRIDE.

Noticias y Actualidad del ISC2:

Top 5 Topics Trending Now for ISC2 Security Congress 2024.

El lema de este año, Boldly Forward, une a los profesionales de la ciberseguridad de todo el mundo en nuestra determinación de adelantarnos a las amenazas y defender con firmeza lo que más importa en el complejo mundo digital actual. Los cinco temas de ciberseguridad más destacados en las propuestas de presentación de este año para nuestro ISC2 Security Congress 2024 reflejan esta vocación.

Cerrar la brecha de mano de obra y competencias en ciberseguridad de la UE.

Esta semana el equipo del #ISC2 asistió a una mesa redonda de alto nivel con el Vicepresidente Schinas y el Comisario Breton para seguir desarrollando la Cyber Skills Academy.

En abril de 2023, ISC2 fue la primera organización en comprometerse a apoyar la Cyber Skills Academy de la UW, en el marco del pilar "competencias digitales para la mano de obra". Para ayudar a cubrir la necesidad urgente en ciberseguridad en la UE, ISC2 se comprometió a proporcionar a 20.000 personas de los Estados miembros de la UE acceso gratuito a su programa de formación y examen Certified in Cybersecurity (#CC)

Inteligencia Artificial y Ciberseguridad (Capítulo 4)

Navegando por las complejidades de la Inteligencia Artificial (AI) en ciberseguridad; Equilibrando innovación, regulaciones y ética.

En el ámbito de la ciberseguridad, la Inteligencia Artificial (AI) ha surgido como una herramienta para combatir las ciberamenazas al proporcionar capacidades para identificar, responder y mitigar riesgos potenciales. Sin embargo, junto con la integración de la AI en las prácticas de ciberseguridad, surgen una serie de desafíos, complejidades regulatorias y consideraciones éticas. Este artículo profundiza en el panorama del papel de la AI en la ciberseguridad examinando los obstáculos, los marcos regulatorios y los dilemas éticos que enfrentan las organizaciones al aprovechar la AI para protegerse contra las intrusiones digitales.

Si bien la AI es prometedora para reforzar las defensas de ciberseguridad, también introduce una serie de obstáculos. Una preocupación principal radica en la naturaleza de los algoritmos de AI, que potencialmente pueden crear vulnerabilidades y vías de ataque. Además, la escasez de profesionales de la AI amplifica la dificultad para implementar y supervisar soluciones de seguridad impulsadas por la AI. Las tácticas en evolución empleadas por los actores de amenazas complican aún más las cosas al plantear desafíos que exigen una adaptación constante para burlar los mecanismos de detección basados en la AI.

Los estándares regulatorios juegan un papel en la configuración de cómo se utiliza AI en el ámbito de la ciberseguridad. En todas las jurisdicciones se han establecido regulaciones y directrices para abordar cuestiones relacionadas con la protección de la privacidad de los datos, el cumplimiento de los protocolos de seguridad y garantizar la responsabilidad con respecto al empleo de tecnologías de inteligencia artificial.

En la Unión Europea, el Reglamento General de Protección de Datos (GDPR) impone normas sobre el manejo y la protección de datos, incluidos los datos gestionados por sistemas de inteligencia artificial. Asimismo, organizaciones como el Instituto Nacional de Estándares y Tecnología (NIST) ofrecen recomendaciones y estructuras para mejorar la seguridad de los sistemas de AI y reducir los riesgos.

Las preocupaciones éticas desempeñan un papel en la implementación de soluciones de ciberseguridad impulsadas por la AI. Uno de los dilemas implica el riesgo de sesgo, en los algoritmos de AI que pueden conducir a resultados discriminatorios o a un trato injusto de ciertos grupos. Además, el uso de la AI para actividades cibernéticas ofensivas plantea cuestiones relacionadas con la proporcionalidad, la responsabilidad y las consecuencias no deseadas. Garantizar la transparencia y la explicabilidad en las decisiones generadas por la AI es crucial para mantener la confianza y la responsabilidad en las operaciones de ciberseguridad.

Para gestionar los riesgos y mantener los estándares en las aplicaciones de AI dentro de la ciberseguridad, las organizaciones deben adoptar un enfoque. Esto incluye el establecimiento de marcos de gobernanza para garantizar la transparencia, la rendición de cuentas y la equidad en los procesos de toma de decisiones impulsados por la IA. Las organizaciones también deben priorizar la diversidad y la inclusión dentro de sus equipos de desarrollo de AI para evitar prejuicios y promover prácticas. Además, es necesario un seguimiento y una evaluación continua de los algoritmos de AI para detectar y rectificar vulnerabilidades y sesgos.

A medida que las organizaciones dependen cada vez más de las tecnologías de AI para mejorar sus defensas de ciberseguridad, es vital abordar los desafíos, los estándares regulatorios y las consideraciones éticas relacionadas con la implementación de la IA. Es básico adoptar un enfoque que integra el conocimiento, el cumplimiento de las regulaciones y la adherencia a los valores éticos, las organizaciones entonces pueden aprovechar todo el potencial de la AI mientras gestionan los riesgos asociados.

Es importante trabajar con ideas y apegarse a prácticas éticas, las empresas pueden crear sistemas sólidos de ciberseguridad con AI que protejan contra las amenazas cibernéticas cambiantes y al mismo tiempo sigan principios de equidad, transparencia y responsabilidad.

Autor: Diogo Donadoni

Desvelando el cambiante panorama de las ciberamenazas:

El nuevo informe de Verizon sobre Data Breach Investigations (DBIR) 2024, en su 17ª edición, destaca las principales conclusiones y tendencias en el cambiante panorama de las amenazas a la ciberseguridad. Este informe se enfoca en proporcionar información práctica que ayuda a las organizaciones a comprender y mitigar de manera más efectiva los riesgos de ciberseguridad.

Este informe analiza 30.458 incidentes de seguridad, incluyendo 10.626 violaciones de datos confirmadas, procedentes de 94 países. Incorpora contribuciones de 77 organizaciones, entre las que se incluyen fabricantes de soluciones de ciberseguridad, entidades gubernamentales, fuerzas de seguridad, empresas de inteligencia, grupos industriales, proveedores de seguros, empresas de software e instituciones académicas. La diversidad de estos colaboradores permite que el informe analice datos desde una amplia gama de perspectivas y fuentes.

Tras una lectura detallada, he identificado los siguientes seis puntos que, en mi opinión, son los más útiles para cualquier profesional de la ciberseguridad y son de una importante ayuda para el ejercicio de nuestra profesión:

1. Descubrir las vías de acceso a las brechas de seguridad

El informe profundiza en las «vías de entrada» que emplean los actores de amenazas para obtener acceso no autorizado a infraestructuras, sistemas digitales y datos confidenciales de las organizaciones. Un hallazgo significativo es el aumento del 180% en la explotación de vulnerabilidades como vía crítica para iniciar filtraciones. Esta tendencia pone de manifiesto la creciente sofisticación de las amenazas y su voluntad de aprovechar las vulnerabilidades para obtener beneficios económicos.

2. Aprovechar la fragilidad humana

Aunque el elemento humano se ha citado a menudo como un factor que contribuye a los incidentes de ciberseguridad, el informe redefine su impacto. Excluyendo las amenazas internas maliciosas, el informe pretende arrojar luz sobre el papel que desempeñan los errores humanos y los descuidos en los incidentes de ciberseguridad, haciendo hincapié en la necesidad de programas eficaces de concienciación sobre la seguridad para mitigar dichos incidentes.

3. El panorama interconectado de las amenazas

El informe reconoce la naturaleza interconectada de la postura de ciberseguridad, en el que las decisiones tomadas por las organizaciones y sus socios pueden tener consecuencias de gran alcance. La introducción de métricas de «interconexión de la cadena de suministro» subraya la importancia de responsabilizar a los proveedores y socios de los resultados de seguridad, así como la necesidad de prácticas seguras de desarrollo de software.

4. La era de la explotación de vulnerabilidades ha llegado

A medida que aumentan los ataques de extorsión y ransomware, el informe hace hincapié en la creciente tendencia de los actores maliciosos a aprovechar las vulnerabilidades para sus ataques. Dado que la explotación de vulnerabilidades sigue siendo una vía importante para conseguircomprometer los sistemas y datos, las organizaciones deben dar prioridad a la gestión de vulnerabilidades y de nuevo también a las prácticas de desarrollo de software seguro.

5. El papel de las aplicaciones web

El informe identifica las aplicaciones web como uno de los principales vectores de ataque, en el que las amenazas utilizan tanto el abuso de credenciales como la explotación de vulnerabilidades. Esta conclusión subraya la importancia de proteger las aplicaciones web y minimizar las superficies de ataque. Al reconocer la creciente sofisticación de los actores de las amenazas y la creciente complejidad de las ciberamenazas, el informe proporciona ideas y recomendaciones prácticas para mitigar los riesgos.

6. La importancia de un desarrollo de software seguro

El informe destaca la necesidad crítica de que las organizaciones den prioridad a las prácticas de desarrollo de software seguro. Al reconocer el impacto del software inseguro en los riesgos de ciberseguridad, el informe subraya la importancia de responsabilizar a los proveedores de software de la seguridad de cualquier elemento software y de priorizar las soluciones de software seguras. Además, recomienda la implementación de políticas rigurosas de evaluación y monitorización continua de la seguridad del software. Por último, se enfatiza la colaboración entre desarrolladores, proveedores y organizaciones para crear un ecosistema más robusto y resistente a las amenazas.

Mirando hacia el futuro

A medida que el panorama de la ciberseguridad sigue evolucionando, el informe subraya la necesidad de que las organizaciones adapten sus estrategias de seguridad. Al reconocer la creciente sofisticación de los actores de las amenazas y la creciente complejidad de las ciberamenazas, el informe proporciona ideas y recomendaciones prácticas para mitigar los riesgos.

Basándome en este informe tan exhaustivo, considero esencial mantener y evolucionar todas las medidas y soluciones de ciberseguridad en el ámbito de la protección que ya existen en la mayoría de las organizaciones. Adicionalmente, a través de la implementación de programas eficaces de concienciación sobre seguridad, prácticas seguras de desarrollo de software y un enfoque proactivo hacia la ciberseguridad, las organizaciones tendrán la capacidad de tomar decisiones informadas y mejorar significativamente su postura general de seguridad.

Autor: Alejandro Cadarso

El modelado de amenazas y la metodología STRIDE

Como continuación al número anterior donde introducimos el mundo de la seguridad de aplicaciones, en este artículo vamos a hablar de una de las herramientas más importantes y eficaces para prevenir vulnerabilidades de seguridad durante el desarrollo de cualquier software: el modelado de amenazas, más conocido por su nombre en inglés, threat modeling. Ofreceremos una visión general, explicando en que consiste, como se implementa y aunque se mencionarán algunas de las principales metodologías que pueden utilizarse, nos centraremos en la que resulta más reconocida en el campo de la seguridad de aplicaciones (AppSec).

¿Qué es el Threat Modeling?

Se trata de una actividad proactiva que tiene lugar en las fases tempranas del ciclo de vida del desarrollo, más concretamente, durante la fase de diseño. Consiste principalmente en identificar y evaluar las amenazas y potenciales vulnerabilidades en un sistema informático.

Permite a los equipos de desarrollo y seguridad anticipar los posibles ataques, mejorar la seguridad del diseño del sistema, así como garantizar la integración de las medidas de mitigación necesarias desde el principio del desarrollo, lo que facilitará su implantación y reducirá los costes y tiempos asociados.

Para el correcto desarrollo de esta actividad, es importante contar con la participación de todas las funciones involucradas en el desarrollo, por lo que será necesario involucrar a los principales desarrolladores, arquitectos de software, personal de operaciones e infraestructura, y equipos de seguridad.

Metodologías de análisis

Existen diferentes enfoques a la hora de identificar las posibles amenazas, y en este sentido, cada equipo puede decidir la que mejor se ajuste a sus necesidades y su contexto, o incluso, por qué no, desarrollar la suya propia. A continuación, se mencionan algunas de las más conocidas:

STRIDE: fue inicialmente desarrollada por Microsoft y se basa principalmente en tratar de identificar posibles amenazas basada en una lista de seis categorías diferentes, de donde veremos que procede su nombre.
PASTA: es un proceso de análisis y evaluación de amenazas basado en siete pasos y principalmente enfocado en la aplicación que se está analizando y sus riesgos potenciales. Su nombre proviene de las siglas en inglés, Process for Attack Simulation and Threat Analysis.
Trike: como en el caso anterior, su enfoque está basado en los riesgos y por tanto, evalúa las posibles amenazas y las vulnerabilidades identificadas en ese contexto. Se trata de una metodología open source y actualmente la versión 2 es la última disponible.
VAST: está especialmente indicada para entornos ágiles de desarrollo, y se centra principalmente en la representación visual de las amenazas, priorizando la automatización, colaboración e integración. Su nombre proviene de las siglas en inglés, Visual, Agile, Simple Threat modeling.

La metodología STRIDE

Como se ha mencionado anteriormente, STRIDE se basa en la identificación de amenazas de acuerdo a las seis principales categorías de amenazas que pueden comprometer la seguridad de una aplicación. De sus siglas en inglés deriva el nombre de esta metodología: Spoofing, Tampering, Repudiation, Information disclosure, Denial of service and Elevation of privileges.

Antes de continuar, veamos muy brevemente en que consiste cada una de estas categorías:

Spoofing (falsificación o suplantación), se relaciona con el riesgo de suplantación de identidad de un usuario o de un dispositivo.
Tampering (alteración o manipulación), tiene que ver con la modificación maliciosa de cualquier tipo de dato e impacta principalmente en la integridad de la información.
Repudiation, o non-repudiation (rechazo o renuncia), se basa en la posibilidad de que un atacante o usuario malicioso pueda realizar cualquier tipo de acción sin dejar evidencia, pasando desapercibido.
Information disclosure (revelación de información), ocurre cuando determinada información confidencial es expuesta.
Denial of service (DoS, denegación de servicio), consiste en la interrupción de un determinado servicio de forma que quede inaccesible.
Elevation of privileges (elevación de privilegios), tiene que ver con la posibilidad de que un usuario pueda llegar a obtener un nivel de acceso superior al que debería tener.

Implementación de STRIDE

El primer paso para llevar a cabo este tipo de análisis, consiste en la creación de un diagrama de flujo en el que se identifiquen todos los componentes del sistema, así como los datos que se mueven a través de la aplicación desde o hacia cada uno de los componentes o subsistemas. En este paso, se deben identificar además las distintas zonas de confianza (o trust boundaries) en las cuales se encontrarán cada uno de los componentes, de forma que se presente especial atención durante el posterior análisis cuando alguno de los datos atraviesa o cruza alguna de esas zonas.

Este diagrama de flujo, una vez terminado, ayudará a comprender el sistema completo desde la perspectiva de un posible atacante, por lo que se procederá a analizar y evaluar cada uno de los componentes atendiendo a las seis categorías mencionadas anteriormente. Se creará un registro de cada una de las amenazas encontradas, detallando a que categoría atiende, cual es la severidad del impacto de esa potencial amenaza (¿qué grado de criticidad tendría el daño sobre los datos o el propio sistema?) así como la probabilidad de su explotación (¿cuál es la dificultad para un atacante de poder explotar esta vulnerabilidad?).

Una vez finalizado ese registro de amenazas, se deben priorizar atendiendo a la severidad y la explotabilidad identificadas, de forma que se puedan desarrollar las estrategias de mitigación más adecuadas para cada una de ellas, contemplando aspectos tales como los controles técnicos a implementar (sistemas de autenticación, implementación de sistemas de cifrado, controles de acceso y sistema de autorización, validaciones de entrada, …), la aplicación de distintas políticas y procedimientos (formación y capacitación de usuarios, definición y establecimientos de nuevas políticas de seguridad, procesos de auditoría) e incluso de distintos controles físicos (seguridad física en el acceso a los servidores o a otros componentes que puedan ser críticos para el sistema).

Cuando se haya completado todo el análisis y la documentación mencionada, se implementarán las medidas de mitigación seleccionadas y se realizarán las pruebas necesarias para validar su efectividad. Estas pruebas pueden ser desde algunos tests funcionales, pasando por análisis y revisiones de código o implicar incluso test de penetración.

Todo este proceso de análisis e identificación de amenazas, no debe entenderse como una actividad puntual, y debe revisarse y mantenerse actualizada con cada una de las nuevas releases del sistema que se vayan liberando, de forma que sea una actividad más incorporada como parte del ciclo normal de diseño e implementación de cualquier nueva versión.

Conclusión

Como se desprende de la explicación anterior, el desarrollo del diagrama de flujo es tan sólo el comienzo del proceso de modelado de amenazas. sin embargo, seguir todo los pasos que se han expuesto e incorporarlo como una actividad más habitual en cualquier desarrollo, garantiza que los sistemas sean más resistentes y que están más preparadas para adaptarse a las nuevas amenazas que puedan ir apareciendo, manteniendo de este modo una postura de seguridad mucho más robusta a lo largo del tiempo.

Autor: José Alberto Charfolé Sancho

Page updated

Report abuse