Cuando la práctica totalidad de los servicios depende de sistemas informáticos, la prevención de amenazas conocidas se vuelve esencial.
Si nos dijeran que, a la hora de diseñar un sistema informático, podemos conocer automáticamente todos sus potenciales riesgos de seguridad simplemente aportando información de nuestra arquitectura, ¿no sería magnífico? Esta es la promesa del modelado de amenazas automatizado, herramienta ya usada ampliamente por empresas en las que la seguridad de sus infraestructuras es clave. Estas empresas no pueden permitirse tener un fallo de seguridad ya que puede tener nefastas consecuencias como dejar a sus clientes sin servicio o la filtración de datos personales.
Este tipo de fallos no solo tienen repercusiones muy negativas para los usuarios (pensemos, por ejemplo, en sistemas de transporte aéreo u hospitales), sino que también dañan las finanzas de la empresa y, lo que es peor, afectan gravemente a su reputación. Una empresa que ha tardado muchos años en ganarse un prestigio en su sector puede ver arruinados sus esfuerzos de la noche a la mañana.
Debido al aumento de los incidentes de seguridad, los gobiernos están intensificando el control sobre sus proveedores de herramientas digitales.
Un ejemplo claro es la Orden Ejecutiva EO 14028 de Estados Unidos, cuya aplicación estipula, entre otras medidas, el uso del modelado de amenazas.
En Europa se está debatiendo la propuesta de Ley de Resiliencia Cibernética (CRA por sus siglas en inglés), cuyo objetivo es establecer un marco de buenas prácticas para asegurar la calidad del software y minimizar los efectos de los crecientes ataques cibernéticos.
«Es crucial que el descubrimiento de amenazas esté integrado en los procesos de desarrollo de software ya que su valor aumenta cuanto más temprano se aplique»
Sorprendentemente, la mayoría de los ingenieros de software no conoce el modelado de amenazas. Solo en los años recientes se le está dando más importancia, quizá por las constantes noticias de violaciones de seguridad que vemos en los medios.
Es crucial que el descubrimiento de amenazas esté integrado en los procesos de desarrollo de software ya que su valor aumenta cuanto más temprano se aplique: idealmente antes de comenzar el desarrollo, durante la fase de diseño. Esta metodología, conocida como seguridad “Shift Left”, busca identificar errores en las etapas iniciales, en lugar de las fases habituales de prueba y despliegue, cuando realizar cambios en el software puede ser demasiado tarde y costoso.
A veces esta práctica puede parecer tediosa, pero ¿qué pasa si añadimos la inteligencia artificial a la ecuación? En el último año, la expectativa en torno a la IA ha crecido significativamente. Tanto es así que el pasada mes de julio se publicó el reglamento 2024/1689 de la Unión Europea, el cual regula el uso de la IA y que será de obligatorio cumplimiento para todas las empresas en diferentes fases, hasta alcanzar el cumplimiento total en agosto de 2026.
Para facilitar la detección de potenciales amenazas y evitar el síndrome de la hoja en blanco, se están introduciendo funciones de IA en las herramientas de modelado. Estas funciones permiten el análisis a partir de simples dictados, conversaciones en reuniones, textos de análisis o tareas que describen el sistema.
Una vez obtenida esta información, solo queda aplicar las recomendaciones para asegurar que el riesgo de sufrir un ataque debido a una vulnerabilidad del sistema quede mitigado.
La palabra “ciber” en ciberseguridad proviene de la palabra griega kybernetes, que significa “piloto” y se asocia al liderazgo. Con la llegada de la IA, las empresas ya no tienen excusa: es hora de que se comprometan y asuman ese liderazgo en seguridad para garantizar que nuestro bienestar y calidad de vida en esta era cibernética no se vean comprometidos.
