¿Qué será lo próximo en 2023 para la ciberseguridad?
A medida que nos acercamos al final de 2022, se plantea la pregunta: ¿qué vendrá en 2023? Desde las normativas, las identidades digitales y la batalla de la realidad, hemos preguntado a nuestros expertos su opinión sobre lo que se avecina en materia de ciberseguridad.
Las identidades autosuficientes están en auge
En 2023 aparecerá el primer monedero de identidad digital que apoyará las transacciones transfronterizas de confianza, en el que los consumidores tendrán el control definitivo de dónde y cómo se utilizará su identidad electrónica. La introducción de un uso a gran escala de las identidades auto-soberanas será el mayor factor para impulsar la democratización de la identidad de los consumidores/ciudadanos a nivel mundial.
- • Impulsada por la ampliación de la normativa eiDAS de 2014, y más aún con la publicación en septiembre de 2022 del marco europeo de identidad digital eIDAS 2.0 - Toolbox, la innovación avanzará rápidamente con la promesa de la interoperabilidad de la identidad digital más allá de las fronteras de la UE.
• Se espera un impacto transformador en la sociedad a través de la introducción de aplicaciones más amplias y de la adopción por parte de los consumidores, ya que se ha hecho hincapié en la facilidad de uso y en el aumento de la privacidad a través del diseño.
• El consentimiento será clave para aumentar la protección de la privacidad del consumidor, especialmente en lo que respecta a cómo y dónde se utilizarán o compartirán sus datos.
• Los monederos digitales serán el método de facto para que los usuarios traigan su propia identidad (BT.YOI), lo que permitirá una amplia gama de casos de uso comercial y gubernamental, incluyendo la creación de cuentas bancarias, la prueba de edad adecuada (sin compartir la fecha exacta de nacimiento), el acceso a los registros médicos y la interacción con los servicios gubernamentales, por nombrar algunos.
• Teniendo en cuenta que los dispositivos móviles y las aplicaciones en la nube serán los métodos predominantes para acceder a los monederos digitales, la importancia en torno a la ciberseguridad móvil y en la nube no hará más que aumentar.
Las herramientas de mensajería están ganando terreno, pero el correo electrónico seguirá siendo popular en 2023 - y más allá
En mis casi 20 años de carrera en el mundo de las TI he estado expuesto a muchas predicciones. Aunque algunas de ellas eran erróneas (inevitablemente), no dejaron de suscitar interesantes debates y procesos de reflexión. Una de ellas fue realizada en Alemania en la feria it-sa por uno de los proveedores de plataformas de colaboración en 2018. "El correo electrónico desaparecerá en los próximos cinco años", afirmaron y parecían convencidos de que su afirmación se haría realidad.
Ahora bien, echando la vista atrás, en estos últimos cinco años se han producido cambios en la forma de comunicarnos. Los servicios y aplicaciones de mensajería se utilizan cada vez más en el mundo empresarial, como Microsoft Teams, haciendo que el correo electrónico quede más reservado para la comunicación interna.
Pero, ¿por qué hay 4.000 millones de usuarios diarios de correo electrónico (y subiendo)? Una de las respuestas se esconde en el último párrafo. Su mensajería, así en plural. Cada empresa utiliza la herramienta de mensajería que elige. Incluso si se utiliza el mismo mensajero, los administradores tienen miedo de abrir esta plataforma de comunicación a partes externas, ya que temen crear una nueva superficie de ataque.
Así que, incluso después de 50 años, de cara a 2023 el correo electrónico seguirá siendo uno de los pocos estándares de comunicación en los que podemos intercambiar información de forma fiable en todo el mundo. Mientras sea seguro y fiable, yo no esperaría grandes cambios en los próximos años.
Realidad virtual, realidad aumentada y realidad mixta: ¿Quién será el ganador al final?
Las tecnologías del futuro, como la Realidad Virtual (RV), la Realidad Aumentada (RA) y la Realidad Mixta, se consideran áreas de enorme crecimiento. Varios gigantes de la tecnología, como Meta, Microsoft, Nvidia, Alphabet, Qualcomm e incluso Apple, ya han optado por ellas y están invirtiendo mano de obra, tiempo y dinero en ellas.
Meta, la empresa matriz de Facebook que últimamente hemos visto aparecer con bastante frecuencia en las noticias, cree firmemente que el metaverso es la "nueva gran cosa" e invierte miles de millones de dólares para hacer realidad el sueño de Mark Zuckerberg. Este mundo inmersivo de la RV en 3D es el nuevo hype y está tomando forma, lenta pero segura. Aunque algunos se preguntan si estas plataformas llegarán a estar pobladas por algo más que equipos de marketing y desarrolladores de GAFAM. Actualmente, las opiniones son dispares, así que por el momento hay que esperar y ver.
Apple, por su parte, ha puesto todas sus esperanzas en la RA, en la que un usuario puede ponerse unas gafas y vivir en un mundo en el que su mundo real está aumentado visualmente y en el que se superponen datos, información y otros detalles.
Con las enormes inversiones que están realizando estas empresas tecnológicas en los diferentes mundos/tecnologías, es posible que en 2023 veamos cómo estas formas de tecnologías se integran aún más en nuestras vidas. La formación, la educación, el marketing, el entretenimiento y la medicina (por ejemplo, la cirugía); todos ellos tienen un enorme potencial, que aún debe ser descubierto y desarrollado. Puede que aún falten varios años para que todas estas "realidades" estén bien establecidas, pero 2023 debería darnos una buena visión de hacia dónde nos dirigimos.
¿Qué implica la PSD3 y cuándo podemos esperar que entre en vigor?
La banca abierta no ha dejado de desarrollarse en Europa desde el lanzamiento de la Directiva de Servicios de Pago 2 (PSD2) en junio de 2016.
En mayo de 2022, la Comisión Europea (CE) publicó una consulta específica para reunir pruebas para su revisión de la PSD2 y desarrollar nuevas legislaciones como la PSD3.
Hay muchos ámbitos de debate sobre cómo puede ser la PSD3. Sea como sea, modificará la legislación actual para que los pagos sean más rápidos y seguros, al tiempo que se ajustará mejor al marco jurídico de la UE. Algunas indicaciones de lo que podría abordarse:
• Las actividades no reguladas, como las transacciones con criptoactivos, los servicios de "compre ahora y paga después", los sistemas de pago operativos, los servicios de monedero digital y los servicios de procesamiento de pagos.
• Cambios en la autenticación fuerte del cliente (SCA)
• Abordar más eficazmente la fragmentación en Europa incluyendo una especificación más precisa y concreta de las normas de las API, los servicios de directorio y la infraestructura
Todavía es pronto para la PSD3, pero una de las principales prioridades es garantizar una amplia adopción de las normas de seguridad de más alto nivel y de soluciones de pago europeas transfronterizas. Los órganos competentes de la CE revisarán las preguntas de la consulta, así como los resultados adicionales, y trabajarán para elaborar un proyecto de PSD3, que se espera para principios o mediados de 2023. Puede que falten entre tres y cinco años para que las empresas se vean obligadas a cumplirla en su totalidad, pero los responsables de las empresas deben estar al tanto de estas novedades. Predecimos que las empresas invertirán en tecnología relacionada con la PSD3, y optimizarán sus prácticas digitales para construir eficiencias para su negocio
La autentificación de la identidad será más importante que nunca
Sin entrar de lleno en la política, cuando Elon Musk se estrenó en Twitter ofreciendo marcas de verificación por 8 dólares, en cuestión de horas la plataforma prohibió y suspendió cuentas de impostores, muchas de ellas por hacerse pasar por el propio Musk. Se ha convertido en el ejemplo anecdótico más reciente de por qué la capacidad de verificar la autenticidad de algo nunca ha sido más crítica, especialmente cuando se trata de la identidad.
Cada día que pasa, más y más de nuestras vidas se vuelven digitales. En la vida real tenemos tarjetas de identidad, pasaportes, documentos gubernamentales que pueden autentificar nuestras identidades. En Internet las cosas siguen evolucionando. Este problema es especialmente grave en el mundo de la ciberdelincuencia, donde hacerse pasar por otro individuo es a menudo el punto de partida de una brecha o un ataque mucho mayor.
Por eso las organizaciones trabajan para asegurar sus redes y dispositivos mediante la implementación de una PKI robusta, por eso las salvaguardias de seguridad del correo electrónico, como S/MIME, se están reconsiderando y aplicando más ampliamente y por eso Europa está redoblando la apuesta por las firmas digitales. Y a medida que nos adentramos en una nueva era de profundas falsificaciones y desinformación, en la que las ciberamenazas no harán más que volverse más peligrosas, la apremiante necesidad de una fuerte autenticación de la identidad no hará más que cristalizar.
La percepción de la gente sobre la seguridad y el mercado de las CA cambiará
En años pasados, las organizaciones implementaban un software de seguridad muy básico que requería poca supervisión. Hoy, la situación es muy diferente. Las empresas comprenden ahora que su futuro no es tan seguro y que los elementos malintencionados son cada día más inteligentes. Constantemente se producen nuevos ciberataques, y las empresas y los departamentos de TI se esfuerzan por contenerlos.
En 2023, podemos esperar que se duplique la concientización sobre la seguridad, así como los productos que utilizan la Infraestructura de Clave Pública (PKI), pero también la seguridad en la nube de forma más amplia, especialmente en los mercados en desarrollo como APAC y los países africanos en comparación con los occidentales. Un ejemplo que veremos es el de la India, donde el gobierno ya ha estado educando a sus ciudadanos sobre los peligros que pueden acechar a sus ordenadores y teléfonos. Gracias a esto, la gente está cada vez mejor educada en materia de seguridad digital, por lo que esto seguirá creciendo en 2023 y en los años venideros.
Además, se adoptarán productos que sean fáciles de usar, se integren bien y puedan ser suficientes para muchos casos de uso, adoptando el enfoque de "matar dos pájaros de un tiro", ya que las empresas se cansan de tener que depender de una muchas herramientas de seguridad (hay demasiados productos diferentes en el mercado, así que será bueno ver una sacudida).
Las Autoridades Certificadoras (CA) como GlobalSign verán disparada su demanda, ya que cumplen con la normativa y están respaldadas por certificados fiables.
Además, veremos algunos nuevos participantes en este mercado, especialmente sistemas operativos (Microsoft, Apple, Linux), ya que comprenden la necesidad de integraciones centralizadas a través de la nube. Algunos segmentos, como el comercio electrónico y la defensa, tendrán una gran demanda. Según la empresa de investigación MarketsandMarkets, nos situamos en torno a los 130 millones de dólares en CA, y veremos cómo crece hasta los 230-250 millones.
Leyes de datos de 2023: ¿Hacia dónde nos dirigimos?
Antes de pensar en lo que nos pueden deparar los próximos 12 meses, es importante recapitular sobre el último año. ¿Qué ocurrió en 2022? Por supuesto, vimos muchos casos, sentencias y algunas ejecuciones. Sin embargo, lo que realmente destacó fueron los cambios y adaptaciones del panorama legislativo mundial. A raíz de las gravísimas infracciones de Medibank y Optus, Australia está proponiendo una amplia revisión de la legislación sobre datos, en respuesta a una aplicación de los requisitos de las cookies muy mal entendida por los desarrolladores web, el Reino Unido está considerando la posibilidad de eliminar partes del Reglamento General de Protección de Datos (RGPD), la Ley de Privacidad del Consumidor de California (CCPA) ha desencadenado una bola de nieve de otros estados que están revisando sus propias normas y muchos otros países están examinando sus marcos jurídicos en materia de datos.
Es casi seguro que en 2023 se producirá una continuación y un aumento de estas actividades. Ya estamos siendo testigos de violaciones de datos que aparecen en las noticias principales y esto será un lugar común en el próximo año. A medida que aumente la concienciación del público, también lo hará la demanda y la expectativa de privacidad y protección de la información.
Por mucho que se espere que, incluso con sus cambios en la legislación local (si siguen adelante), el Reino Unido (RU) mantenga su decisión de adecuación a la Unión Europea (UE). En caso de que pierda ese estatus, muy pronto quedará claro lo difícil que es comerciar, comunicarse e interactuar con otras naciones y es por esta razón que veremos que los países cuyas leyes de datos están anticuadas comienzan a revisarlas y actualizarlas para cumplir, al menos a nivel conceptual, con el alto listón establecido por el GDPR.
La zona en la que se espera que se produzca el mayor cambio sísmico, en términos relativos, en las leyes de datos es Estados Unidos. Aquí, los cambios son múltiples e incluyen el caso de las leyes de protección de datos a nivel federal que se están acelerando. Históricamente, y hasta el día de hoy, no ha existido una unidad o centralización de un conjunto de principios comunes en este ámbito, fuera de los sectores verticales específicos (piense en la FTC, la HIPAA, etc.). Las acciones que se están llevando a cabo en los espacios de la banca abierta obligarán, casi con toda seguridad, a avanzar hacia esta cohesión legislativa centralizada, gestionada y alineada, lo que dará lugar a la bonificación del biproducto de un modelo de privacidad que puede abarcar todos los estados, todas las industrias y ser el vehículo para una transferencia de datos eficiente y sin fricciones en toda la nación.
Uno de los principales titulares del próximo año será sin duda el nuevo acuerdo marco entre los Estados Unidos y la UE. Esperado durante mucho tiempo desde la invalidación del Escudo de la Privacidad en 2020, se espera con gran interés su sustitución para principios de 2023. Por supuesto, se necesitará tiempo para que se asiente y se pueda confiar en él como base legal para la transferencia, pero la esperanza de que sustituya a las actuales Evaluaciones de Impacto de las Transferencias (EIT) es alta.
Hay cuestiones que son imposibles de predecir. ¿Abandonará el Reino Unido el RGPD y empezará de nuevo? ¿Desafiará Max Schrems al instante la sustitución del Escudo de Privacidad? ¿Las inestabilidades políticas de algunas regiones harán descarrilar la política en este ámbito? ¿Adoptarán más países los requisitos de localización de datos? Sin embargo, hay algunas certezas absolutas: la importancia de la protección de datos aumentará, la concienciación sobre los usos de los datos se intensificará y los datos serán aún más valiosos para los defraudadores, lo que llevará a las organizaciones de todo el mundo a supervisar y mejorar continuamente la protección de su propia infraestructura.
2023 será un año en el que habrá que estar atento y agarrarse a los asientos.
La gestión automatizada de certificados será un motor emergente en las DevSecOps
En 2023 y más allá, la seguridad ya no será un segundo pensamiento en los planes de DevOps. Sólo en los últimos años, DevSecOps ha surgido como un segmento importante de la industria general de DevOps. Pero dado el aumento masivo de las violaciones de datos, los ataques de phishing y más, está muy claro que los desarrolladores tienen que confiar cada vez más en herramientas como la gestión automatizada de certificados para garantizar la seguridad en sus sistemas.
Digo esto porque, para tener un enfoque centrado en DevSecOps, los desarrolladores necesitan garantizar que la seguridad se inyecta en cada capa del ciclo de vida de desarrollo, lo que no es posible sin la gestión automatizada de certificados. La automatización de la gestión de certificados ayuda a garantizar una seguridad estricta en su canal de desarrollo.
1. Visibilidad de los certificados: una infraestructura PKI centralizada ayudará a las organizaciones a realizar el seguimiento y la gestión de sus certificados desde el compromiso del código en los sistemas de control de versiones hasta el despliegue
2. Automatización e integración en CI/CD - Con la ayuda del protocolo ACME, es fácil configurar e instalar los certificados en las proximidades de la pipeline de CI/CD
3. Concienciación y aplicación de la seguridad: la infraestructura de gestión de certificados automatizada ayuda a los desarrolladores a comprender los protocolos de seguridad y podrán aplicar el certificado en sus flujos de trabajo automatizados para proteger su infraestructura de extremo a extremo.
Por lo tanto, las organizaciones que quieran garantizar la seguridad en sus sistemas, deben centrarse e invertir más en la gestión automatizada de certificados.
La industria de la automatización en América Latina tendrá que implementar más soluciones de ciberseguridad el próximo año
En 2023, las economías de América Latina comenzarán a recuperarse de una combinación de impactos: la pandemia, la disrupción económica y los ciberataques. En conjunto, el resultado es que la región, que comprende 33 países, requerirá una mayor productividad. La automatización es la clave, ya que optimizará la producción en diversas industrias como la automotriz, la agroalimentaria y la minera, que son los principales sectores de la región. Por ello, contar con sistemas de seguridad informática que permitan implementar estas tecnologías de manera eficiente es fundamental, pero también un reto para nuestra región.
Afortunadamente, las grandes empresas tienen previsto invertir en automatización en el próximo año. Según la tercera edición del informe Now and Next de Futurum Research, el 77% de las empresas tiene intención de aumentar sus inversiones en automatización. Asimismo, Gartner predice que el 85 % de los líderes de infraestructuras y operaciones (I&O) prevén automatizar sus empresas en un plazo de tres años.
Los procesos de automatización utilizan sistemas de software y conectividad que son susceptibles de ser atacados y, por ello, exigen implementaciones que solucionen estas vulnerabilidades, para que los sistemas de producción puedan ser mejorados. En ese sentido, las inversiones deben destinarse no sólo al proceso de automatización, sino que las empresas también deben tener en cuenta los procesos de seguridad necesarios para evitar cualquier ataque con el fin de no poner en peligro la productividad de la empresa.
eIDAS 2: Nuevos horizontes para la identidad digital europea
En junio de 2021, la Comisión Europea presentó una propuesta destinada a revisar la actual directiva No. 910/2014 (Reglamento eIDAS) con la introducción de nuevos cambios en el sistema de identificación electrónica, autenticación y servicios de confianza (eIDAS 2).
Estos cambios establecen un nuevo marco legal para la identidad digital europea y para el reglamento eIDAS, con el objetivo de acelerar el proceso de digitalización de los servicios públicos y privados en un contexto transfronterizo.
La actual directiva no contenía una indicación específica para las herramientas de "identificación electrónica", por lo que cada Estado aplicaba una o varias soluciones sin ninguna interoperabilidad ni normas precisas de reconocimiento mutuo.
Para septiembre de 2023, el nuevo DNI digital de la UE deberá estar a disposición de todos los ciudadanos (o residentes) y empresas de la UE; se utilizará tanto para los servicios en línea como fuera de línea en toda Europa y también para almacenar datos personales sensibles (por ejemplo, los relacionados con la salud) dentro de un documento.
La noticia más relevante y el elemento clave de la nueva propuesta es la introducción de la cartera de identidad digital europea, una herramienta de identificación y autenticación con seguridad biométrica.
El monedero contendrá un PID (Person Identification Data) que almacena los datos de identificación y las credenciales vinculadas a su identidad. A través de este monedero los usuarios podrán demostrar su identidad y compartir información en toda Europa.
Esta herramienta simplificará y unificará sin duda el procedimiento de identificación en Europa siempre que un ciudadano necesite utilizar un servicio de la administración pública, por ejemplo: matricularse en una universidad, presentar la declaración de renta, abrir una cuenta bancaria, solicitar un certificado de nacimiento, acceder a diferentes sistemas médicos, etc.
La oferta de carteras de identidad digital de los proveedores de aplicaciones móviles ya está aumentando y en un momento dado la Comisión Europea tendrá que regular la oferta del mercado.
La mayoría de los ciudadanos, así como muchas empresas privadas, parecen estar preparados para adoptar la identificación digital en todos los Estados de la UE para la mayoría de sus servicios. Pero, ¿estará la Administración Pública también preparada para implementar y adaptar sus sistemas? Esta es una pregunta a la que quizá no encontremos respuesta durante bastante tiempo.
2023 traerá cambios para el trabajo remoto, la infraestructura en la nube y la seguridad de los datos, y la colaboración global
Todos los años pensamos que sabemos qué y cómo nos traen las mejoras y los avances tecnológicos. En los dos últimos años, hemos asistido a grandes cambios, como la pandemia y ahora la guerra de Ucrania, que han catapultado esos cambios y nos han hecho reevaluar nuestra forma de trabajar, vivir y jugar.
La pandemia trajo cambios que ahora se nos han quedado grabados o que todavía estamos aprendiendo a manejar, como el trabajo a distancia y la comunicación digital. Este año, la guerra de Ucrania ha traído más cambios y preocupaciones, sobre todo por la ciberguerra.
Trabajo a distancia: los ataques de phishing son una amenaza de seguridad omnipresente en el sector de las TI, ya que muchas personas siguen siendo víctimas de correos electrónicos de phishing. Por no hablar de que los empleados están utilizando sus dispositivos personales para la autenticación de dos factores, y es muy posible que tengan versiones de aplicaciones móviles de clientes de mensajería instantánea.
Infraestructura en la nube y seguridad de los datos - Las filtraciones de datos están costando más que nunca y el ransomware es cada día más prolífico en todos los ámbitos de la empresa, sobre todo en los sectores de la sanidad, las finanzas y la educación. Ya no basta con asegurar el sitio web. Los hackers son más astutos que nunca.
Colaboración global y firma digital - El mercado global de la firma digital está creciendo a un ritmo asombroso. Lo más notable será el lanzamiento del monedero de identidad digital de la UE (y el eIDAS 2). En pocas palabras, una firma digital crea confianza electrónica entre individuos, empresas y entidades gubernamentales al estandarizar la identificación y las firmas electrónicas en todo el mundo. La competitividad en el mercado dependerá de la rapidez con la que se puedan llevar a cabo negocios a nivel nacional o mundial de forma segura y dentro de las directrices de cumplimiento.
Llegan los mandatos
Tras los aparentemente interminables ciberataques de todo tipo, los gobiernos de todo el mundo están empezando a ponerse nerviosos. Como dijo en octubre la Viceconsejera de Seguridad Nacional de EE.UU. para Tecnología Cibernética y Emergente, Anne Neuburger: "Si eres un proveedor de tecnología, eres responsable de proporcionar una base de seguridad en esa tecnología".
Justo un mes antes, los líderes internacionales de la ciberseguridad se reunieron en la Cumbre de la Red CIO del WSJ. El titular del Wall Street Journal sobre el evento del 21 de septiembre resumía bien las cosas: Las inversiones en ciberseguridad ya no son opcionales, advierten las autoridades.
En el evento, la Directora Ejecutiva del Centro Nacional de Ciberseguridad del Reino Unido, Lindy Cameron, dijo que "con demasiada frecuencia las organizaciones no estaban preparadas".
Los mensajes son bastante claros: se avecinan cambios.
Teniendo esto en cuenta, no te sorprendas si el gobierno de Estados Unidos -y otros- anuncian en algún momento de 2023 la intención de poner en marcha normas de ciberseguridad obligatorias para 2025. La normativa se considerará un mal necesario para garantizar que las empresas, tanto grandes como pequeñas, tomen las medidas necesarias para poner en marcha medidas de ciberseguridad. Hasta que no se acabe con las bandas de ciberdelincuentes, esta nueva normativa puede ser imposible de evitar. La buena noticia es que estas normativas deberían ayudar a reducir los ciberataques. La mala noticia es que, al igual que los impuestos, las nuevas normativas probablemente estarán vigentes durante muchos años.