La identidad digital ya debería ser parte fundamental de toda
estrategia de seguridad tanto personal como empresarial. Para hablar del
tema ITware Latam consultó a Armando Carratalá, CTO de CertiSur
Vivimos una época en la que la vida está mediada por las Tecnologías
de la Información y Comunicación (TIC). Nuestra cotidianeidad está
atravesada por el uso de estas tecnologías, ya sea por la búsqueda de
información, la descarga de aplicaciones que usamos diariamente, por las
distintas redes a través de las que nos comunicamos, o por la forma en
que nos identificamos en las empresas.
Las maneras de vincularnos e identificarnos se ven modificadas, el
territorio geográfico ya no es una limitación para conocer a nuevas
personas o contactar con ellas. Las redes sociales nos permiten ampliar
los modos de socialización, sumando nuevos “amigos” que conoceremos a
través de Facebook, Instagram, Twitter, TikTok, Snapchat, etc. La noción
de lo público y privado es pensada y vivida de manera diferente con
respecto a otras generaciones.
En este contexto, ¿hay una conciencia tomada sobre el tema o aún falta evangelización?
“Creo que, aunque la idea de identidad la entendemos, aún falta definir los “bordes” implementativos que se deben tener en cuenta”, indica Carratalá.
“No es lo mismo lo que ocurre cuando hablamos de empleados, de
clientes o cuando una persona se adhiere a un servicio ‘gratuito’. Todos
tienen responsabilidades para proteger la identidad, pero no todos
aplican los mismos principios ni acuerdos”, agrega el directivo,
que señala que aún se debe concientizar a los ciudadanos sobre los
riesgos que existen cuando sus datos personales son compartidos.
En este sentido, ¿cuáles serían las herramientas básicas necesarias para proteger la identidad?
Carratalá indica que, aunque íntimamente relacionados, la identidad es un concepto más amplio que la autenticación.
“Cuando los datos en juego son privados o sensibles, la
responsabilidad es tanto de aquel que provee la plataforma como del
individuo, pero en ocasiones no siempre se dispone de los más altos
niveles”, sostiene el directivo.
Agrega además que, aunque hace más de una década que se anunció la
muerte de las “contraseñas”, esto evidentemente no ha ocurrido y no se
puede asegurar que pase. “En este caso el usuario debe seguir las
buenas prácticas que ya se han difundido y no usar la misma contraseña
para todos los lugares donde se debe dar de alta. Cuando el servicio lo
permita, habilitar un mecanismo de 2do factor de autenticación, ya sea
por SMS, o Token OTP, o Certificado Digital”, explica Carratalá.
La influencia de las nuevas tecnologías
“Tanto desde el punto de vista de las empresas y su uso para
defensa, así como de los cibercriminales y temas como los deepfakes
(falsificación/uso falso), estas nuevas tecnologías pueden ayudar a la
detección de anomalías en el manejo de las identidades, o
vulnerabilidades posibles, o filtraciones indebidas, pero las mismas
capacidades están siendo utilizadas para superar una de las barreras de
seguridad: aquella que respecta a la verificación de la identidad”, apunta el directivo.
Aún no se puede decir si estas nuevas técnicas van a afectar de manera
masiva a los mecanismos, pero ya si afectan a unos de los aspectos de la
identidad: la reputación. La capacidad de detectar la información falsa
de una identidad existente es cada vez más difícil, sostiene a su vez
Carratalá.
También señala que nuevos procedimientos, como los «passkeys» de
Google son una mejora en la robustez de las contraseñas ya que va a
facilitar a los usuarios a generar contraseñas mejoras. “Por el
momento no ha habido una migración de las aplicaciones hacia esta
tecnología, pero creemos que paulatinamente irá encontrando su público y
proyectos”, agrega.
El rol del CISO
Para el directivo de CertiSur, la evolución entre los roles ha sido
la natural tal como han ido evolucionando los ataques y frentes
vulnerables de una empresa o negocio. “La reputación se ha
convertido en un valor mucho más expuesto que en el pasado, acompañado
por el auge de las redes sociales; que además se han convertido en un
nuevo ámbito donde “pelear” la defensa. Estos nuevos frentes tienen que
ser atendido con una estrategia uniforme, que quizás no estaban antes en
el radar de los CIO, sino que pertenecían más al ámbito del marketing
digital”, afirma Carratalá.
¿Cómo influye la adopción de tendencias tan en boga como el Zero Trust?
El directivo señala que aplicar los niveles más altos de seguridad no
siempre es posible, en ocasiones por limitaciones operativas. “No
solamente la “resistencia” de los usuarios influye en la adopción de
Zero Trust. Los usuarios son el primer frente de ataque actualmente, y
se debe tener muy en cuenta cuando se deciden cambios bruscos”, indica
Y sostiene que adoptar el reconocimiento de los signos de seguridad y
buenas prácticas es una tarea constante y no puede ser interrumpida o
alterada constantemente, porque ello genera un riesgo también en la
metodología. “Si constantemente estamos alterando las mismas, no ayudamos al usuario en su capacitación”, declara.
Los pasos básicos que debe dar una empresa
“La estructura básica de protección depende del activo que se
desea proteger. Los bordes de inseguridad que se deben considerar ahora
son distintos a los que se pensaban en el pasado, donde se pensaba que
un firewall y un antivirus eran las barreras fundamentales”, apunta Carratalá.
Para el CTO, hoy en día hay que pensar no solo en las herramientas,
sino en los activos y en las prácticas que se le recomiendan a los
usuarios que deben seguir y respetar; y cómo estas pueden llegar a
influir en la reputación y riesgos de los
usuarios.
“Los datos, y sobre todo la confianza en su validez, es un
elemento que hoy se considera fundamental. Tal como hemos aprendido que
un correo electrónico no es seguro, que un archivo adjunto es una
potencial amenaza, también debemos considerar que los datos deben ser
robustos y seguros, garantizando su integridad y autoría”, comenta el directivo.
Carratalá también sostiene que el primer punto a tener en cuenta es
definir los recursos que se desean proteger para posteriormente definir
qué herramienta debe considerar.
Lo que ofrece CertiSur
“CertiSur ofrece diversos mecanismos de autenticación que pueden
ser incorporados a los tradicionalmente utilizados. El uso de múltiples
factores de autenticación es nuestra especialidad, pero especialmente
nos dedicamos a utilizar tecnologías de firma digital para asegurar los
procesos e identidades”, concluye el directivo.