Un futuro más seguro en la red.
Herramientas contra los ciberdelitos para lograr un futuro más seguro
Se calcula que por Internet circulan continuamente unos 150 000 virus y otros tipos de código malicioso que infectan a más de 1 millón de ordenadores al día. La empresa de software antivirus McAfee describe hasta 75 millones de fragmentos únicos de código malicioso (malware) en sus bases de datos y calcula que un tercio de los correos electrónicos enviados diariamente se generan mediante botnets en forma de de correo no deseado.
Un particular puede incluso verse en la necesidad de pagar cerca de cien euros a un profesional para que limpie su ordenador de este tipo de código o recupere datos perdidos a causa de un virus, mientras que en el cómputo mundial las repercusiones económicas son inmensas si se tiene en cuenta el conjunto de los ciudadanos, las empresas y las administraciones. McAfee, en una estimación al alza, calcula el coste mundial de los ciberdelitos en hasta un billón de dólares estadounidenses anuales en concepto de tiempo gastado, oportunidades comerciales perdidas y dinero invertido en reparaciones.
La sociedad depende cada vez más de Internet para comunicarse y trabajar y su escala global hace patente que los ciberdelitos no son en absoluto un problema al que pueda enfrentarse una empresa o país en solitario. Distintas organizaciones europeas, como la Comisión Europea, las administraciones nacionales, las universidades y las pequeñas empresas, han aunado recursos y entablado relaciones con otras del resto del planeta para dar con estrategias, políticas y tecnologías capaces de combatir esta epidemia.
Un particular puede incluso verse en la necesidad de pagar cerca de cien euros a un profesional para que limpie su ordenador de este tipo de código o recupere datos perdidos a causa de un virus, mientras que en el cómputo mundial las repercusiones económicas son inmensas si se tiene en cuenta el conjunto de los ciudadanos, las empresas y las administraciones. McAfee, en una estimación al alza, calcula el coste mundial de los ciberdelitos en hasta un billón de dólares estadounidenses anuales en concepto de tiempo gastado, oportunidades comerciales perdidas y dinero invertido en reparaciones.
La sociedad depende cada vez más de Internet para comunicarse y trabajar y su escala global hace patente que los ciberdelitos no son en absoluto un problema al que pueda enfrentarse una empresa o país en solitario. Distintas organizaciones europeas, como la Comisión Europea, las administraciones nacionales, las universidades y las pequeñas empresas, han aunado recursos y entablado relaciones con otras del resto del planeta para dar con estrategias, políticas y tecnologías capaces de combatir esta epidemia.
 |
| (C) Shuttestock
|
Desde hace dos años la Comisión Europea aporta 2,5 millones de euros para la creación de Syssec (1), una red de excelencia (NoE) europea cuyos principios se resumen en el tradicional refrán que afirma que es mejor prevenir que curar. Esta NoE está dedicada a crear soluciones que permitan anticipar amenazas y vulnerabilidades antes de que se produzcan y, por tanto, logrará que las posibles víctimas de un ciberataque activen un sistema de defensa preventivo. El equipo del proyecto ha creado un Centro Virtual de Excelencia que agrupa a la comunidad científica europea dedicada a la seguridad de sistemas y fomenta la investigación colaborativa. Entre sus funciones está la de redactar un plan de acción científico y la de elaborar una serie de iniciativas de formación sobre ciberseguridad.
«La red de excelencia de Syssec adopta un método revolucionario en cuanto a ciberseguridad: en lugar de perseguir a los agresores tras un ataque, Syssec estudia vulnerabilidades y peligros incipientes antes de que se materialicen. Los objetivos principales de la red pasan por crear un plan de trabajo sobre amenazas y construir una infraestructura que impulse la formación en cuanto a seguridad de sistemas para generar el conocimiento necesario que las combata en una etapa inicial», indican en un artículo sobre el proyecto su coordinador, Evangelos Markatos, y Herbert Bos, investigador asociado al mismo.
Seguridad por diseño
Mientras que el enfoque de Syssec en cuanto a la predicción de amenazas es de índole global, otra NoE financiada con fondos europeos denominada Nessos (2) se ocupa en concreto de fomentar el diseño y el desarrollo de programas y sistemas seguros para la «Internet del futuro». Su propósito es garantizar que ingenieros y programadores aborden la seguridad desde las primeras fases de análisis y diseño de sistemas, para lo cual han seleccionado seis áreas básicas: definir requisitos de seguridad para los servicios de la Internet del futuro, generar arquitecturas de servicio y diseño de servicios seguros, apoyo a entornos de programación que den lugar a servicios seguros y «componibles», crear un marco para la garantía de la seguridad, establecer un ciclo de desarrollo de software consciente de los riesgos y los costes, y realizar estudios prácticos destinados a aplicaciones hipotéticas de la Internet del futuro.
El método de seguridad por diseño tiene un ejemplo claro en otro proyecto europeo. Los investigadores de SecureChange (3), procedentes de nueve países europeos, desarrollaron la metodología, las técnicas y las herramientas que permiten aumentar la eficiencia, la seguridad y la flexibilidad del ciclo de vida del software al completo -desde la ingeniería de requisitos hasta la implementación y las actualizaciones pasando por el diseño, el desarrollo, las pruebas y la verificación- e incluso reducir su coste en términos tanto económicos como del tiempo necesario para implementar todos los pasos.
Fabio Massacci, coordinador de SecureChange, explicó el problema en los términos siguientes: «Se parte de un software seguro, por ejemplo. Tras su entrega al cliente es necesario actualizarlo para añadir características que aporten una ventaja sobre la competencia. Si se empieza el proceso de verificación del código desde cero y al completo, aunque sólo haya cambiado una pequeña porción del mismo, el coste en tiempo y dinero resulta considerable.»
Por ejemplo, un análisis del navegador de código abierto Firefox realizado por el equipo de SecureChange que abarca seis actualizaciones sustanciales durante un periodo de cinco años sacó a relucir que sólo un tercio del código del programa se modificó de una versión a la siguiente. Además, cada nueva versión heredó de la precedente distintas vulnerabilidades importantes, un fenómeno común también en otros navegadores como Chrome o Internet Explorer. La necesidad de proporcionar actualizaciones rápidas implica una reducción del tiempo que se dedica a las labores de comprobación y verificación. Gracias al método de SecureChange, es posible comprobar sólo el código nuevo y mantener la seguridad e integridad del sistema completo.
Mientras que el enfoque de Syssec en cuanto a la predicción de amenazas es de índole global, otra NoE financiada con fondos europeos denominada Nessos (2) se ocupa en concreto de fomentar el diseño y el desarrollo de programas y sistemas seguros para la «Internet del futuro». Su propósito es garantizar que ingenieros y programadores aborden la seguridad desde las primeras fases de análisis y diseño de sistemas, para lo cual han seleccionado seis áreas básicas: definir requisitos de seguridad para los servicios de la Internet del futuro, generar arquitecturas de servicio y diseño de servicios seguros, apoyo a entornos de programación que den lugar a servicios seguros y «componibles», crear un marco para la garantía de la seguridad, establecer un ciclo de desarrollo de software consciente de los riesgos y los costes, y realizar estudios prácticos destinados a aplicaciones hipotéticas de la Internet del futuro.
El método de seguridad por diseño tiene un ejemplo claro en otro proyecto europeo. Los investigadores de SecureChange (3), procedentes de nueve países europeos, desarrollaron la metodología, las técnicas y las herramientas que permiten aumentar la eficiencia, la seguridad y la flexibilidad del ciclo de vida del software al completo -desde la ingeniería de requisitos hasta la implementación y las actualizaciones pasando por el diseño, el desarrollo, las pruebas y la verificación- e incluso reducir su coste en términos tanto económicos como del tiempo necesario para implementar todos los pasos.
Fabio Massacci, coordinador de SecureChange, explicó el problema en los términos siguientes: «Se parte de un software seguro, por ejemplo. Tras su entrega al cliente es necesario actualizarlo para añadir características que aporten una ventaja sobre la competencia. Si se empieza el proceso de verificación del código desde cero y al completo, aunque sólo haya cambiado una pequeña porción del mismo, el coste en tiempo y dinero resulta considerable.»
Por ejemplo, un análisis del navegador de código abierto Firefox realizado por el equipo de SecureChange que abarca seis actualizaciones sustanciales durante un periodo de cinco años sacó a relucir que sólo un tercio del código del programa se modificó de una versión a la siguiente. Además, cada nueva versión heredó de la precedente distintas vulnerabilidades importantes, un fenómeno común también en otros navegadores como Chrome o Internet Explorer. La necesidad de proporcionar actualizaciones rápidas implica una reducción del tiempo que se dedica a las labores de comprobación y verificación. Gracias al método de SecureChange, es posible comprobar sólo el código nuevo y mantener la seguridad e integridad del sistema completo.
«Existen tres grandes retos para los criptógrafos -afirmó Bart Preneel, coordinador del proyecto-: «el coste, la velocidad y la seguridad a largo plazo».
El proyecto Aniketos (4) se ocupa de generar seguridad y confianza en un entorno homogéneo como será probablemente la Internet del futuro, donde los usuarios realizarán una transición desde los servicios estáticos actuales hacia una conjugación e interrelación de componentes y servicios cuya forma final dependerá de factores como la disponibilidad, la calidad y el precio de éstos. En un entorno de estas características es probable que las aplicaciones se compongan de diversos servicios aportados por proveedores muy distintos y que los usuarios tengan pocas garantías de que un servicio concreto o un proveedor de servicios ofrezca la seguridad anunciada. El equipo de Aniketos, en el que participan institutos científicos y agentes industriales de primera fila, trabaja en el desarrollo de nueva tecnología, herramientas y servicios de seguridad en apoyo de la creación durante la fase de diseño y el comportamiento dinámico durante la fase de ejecución de los servicios compuestos. Además aporta métodos de análisis, resolución y publicación de información sobre la forma de acotar amenazas y vulnerabilidades nuevas.
0 comentarios