2023 fue un año explosivo para la ciberseguridad. La conversación sobre la criptografía postcuántica se intensificó, con varios algoritmos ahora en consideración para su estandarización por parte del NIST; el uso de dispositivos IoT —y con ello, las identidades de máquinas— continuó expandiéndose exponencialmente, creando una plétora de desafíos de seguridad; la IA se hizo más accesible que nunca gracias a las soluciones de IA generativa; muchas organizaciones se encontraron enfrentando una brecha de talento en seguridad, y la lista continúa.
2024 no será diferente. De hecho, veremos muchas de estas tendencias culminar en el nuevo año, y surgirán muchos más desafíos nuevos. Para saber más sobre qué esperar en 2024, nos reunimos con cuatro de los expertos en ciberseguridad de Keyfactor para escuchar sus predicciones. Esto es lo que aprendimos.
La criptografía postcuántica despegará
2024 será el año de la "preparación cuántica" para las organizaciones.
Puede que sea una afirmación audaz, pero creo que este será el año de la criptografía cuántica.
Si bien se espera que los candidatos iniciales para los algoritmos PQC del NIST se finalicen a principios de 2024, eso marca la línea de partida para los algoritmos postcuánticos, no la meta. Esto es algo positivo, ya que las organizaciones necesitarán realizar pruebas y planificación significativas para adoptar los nuevos algoritmos, ya que son completamente diferentes de los actuales utilizados en criptografía asimétrica.
En 2024, las organizaciones deben comenzar a planificar y probar la adopción de esos nuevos algoritmos, y deben empezar a realizar evaluaciones sobre cuán preparada estará toda la cadena de suministro de su organización. A partir de este momento, será imperativo que las evaluaciones de seguridad y las auditorías de proveedores comiencen a tener en cuenta la criptografía postcuántica.
– Chris Hickman, Director de Seguridad (CSO) en Keyfactor
La estandarización de protocolos por parte del NIST se materializará, lo que impulsará una aceleración en el desarrollo.
Keyfactor está siguiendo de cerca la estandarización de algoritmos y estará preparada para apoyar a las organizaciones en su transición a los nuevos estándares, incluyendo soluciones de PKI y firma que aprovechen los algoritmos PQC, poco después de que sean finalizados por el NIST.
En particular, con FIPS 204 Dilithium/ML-DSA, no solo estamos trabajando en Software, sino también integrándonos con proveedores de HSM. Keyfactor será el primero en lanzar productos listos para producción y preparados para la computación cuántica una vez que el estándar FIPS 204/ML-DSA sea finalizado.
En general, a medida que los estándares sean finalmente publicados, 2024 presenciará una aceleración en el desarrollo entre los proveedores de productos y las organizaciones de estandarización, y será el año en que las soluciones de PKI y firma preparadas para la computación cuántica se implementarán en producción.
– Tomas Gustavsson, Director de PKI en Keyfactor
Un IoT en constante crecimiento presentará continuas preocupaciones de seguridad.
Las identidades de máquinas – y los desafíos de seguridad asociados – seguirán proliferando.
El número de identidades de máquinas seguirá proliferando en 2024. Muchas organizaciones están experimentando un crecimiento significativo en los dispositivos IoT que requieren conexiones de red. A menudo denominada OT para IoT, esta nueva ola de dispositivos seguirá impulsando el número total de dispositivos y puntos finales conectados.
Huelga decir que no se puede tratar a estos dispositivos con menos escrutinio y seguridad que a cualquier otro. Desafortunadamente, muchos de estos dispositivos no incluyen protocolos sofisticados para automatizar la gestión de sus identidades, y por lo tanto las organizaciones tendrán dificultades para seguir el ritmo de este crecimiento a menos que cuenten con una plataforma de gestión del ciclo de vida de identidades de máquinas.
– Chris Hickman, Director de Seguridad (CSO) en Keyfactor
El riesgo de que los atacantes aprovechen el IoT en la ciberguerra se materializará.
Muchos puntos finales de dispositivos pueden ser aprovechados en ataques si no están debidamente protegidos. Para algunos de estos dispositivos inteligentes de consumo, las empresas que necesitaron reducir costos durante el proceso de diseño pueden haber eliminado algunas características de seguridad, por lo que es algo a lo que todos deben prestar atención.
Profundizando aún más en el ámbito de la seguridad del IoT, los fabricantes deberán tomarse en serio la exploración de la criptografía postcuántica para los dispositivos IoT de larga vida útil.
– Ellen Boehm, Vicepresidenta Ejecutiva de Estrategia y Operaciones de IoT en Keyfactor
Las regulaciones que antes parecían lejanas en el futuro se harán realidad en 2024.
Se espera que el programa de etiquetado “U.S. Cyber Trust Mark” de la administración Biden, diseñado para ayudar a los estadounidenses a elegir más fácilmente dispositivos inteligentes que sean más seguros y menos vulnerables a los ciberataques, se lance en 2024.
Este es, sin duda, un paso en la dirección correcta, ya que reconocemos una brecha en la concienciación sobre ciberseguridad y necesitamos que los consumidores sean más conscientes de los riesgos. Al igual que nosotros, como consumidores, esperamos un cierto nivel de calidad y seguridad de los productos que compramos, los consumidores tienen la misma expectativa de la seguridad que está integrada en la tecnología del hogar inteligente y los dispositivos conectados que eligen utilizar. Como con cualquier programa nuevo, habrá iteraciones, pero tener esta conversación es importante para que podamos empezar a mejorar y generar más concienciación a nivel nacional para los consumidores estadounidenses.
– Ellen Boehm, Vicepresidenta Ejecutiva de Estrategia y Operaciones de IoT en Keyfactor
El impacto largamente esperado de la IA llegará, con sus aspectos positivos y negativos.
La IA comenzará a tener un impacto real en la criptografía.
Considero que la mayor ventaja que aporta la IA es la reducción del «trabajo de campo» general necesario para romper la criptografía. La IA también podría utilizarse para identificar eficazmente patrones en los datos o para reducir el «ruido» general que pueda estar presente al descifrar claves. Por ejemplo, la combinación de un ordenador cuántico suficientemente potente y la IA podría emplearse para reducir los posibles candidatos para ataques contra claves.
– Chris Hickman, Director de Seguridad (CSO) en Keyfactor
La IA desempeñará un papel importante en la seguridad del IoT, para bien y para mal.
La IA puede utilizarse para el desarrollo de código o el diseño de productos, impulsando la creación de productos IoT y el lanzamiento más eficiente de nuevos conceptos.
Por otro lado, la IA facilitará enormemente la ruptura de implementaciones débiles de algoritmos, de modo que no habrá otra opción que utilizar elementos seguros o MCUs seguros para ejecutar algoritmos criptográficos y emplear implementaciones de Software robustas de estos algoritmos, como Bouncy Castle para servidores y HSMs, y Trusted Objects’ TO-Protect para MCUs.
– Ellen Boehm, Vicepresidenta Ejecutiva de Estrategia y Operaciones de IoT en Keyfactor
El uso generalizado de la IA creará más oportunidades, a la par que planteará serias preguntas sobre aquello en lo que podemos confiar.
Como cualquier tecnología disruptiva, la IA es un arma de doble filo. La IA existe desde hace mucho tiempo; la diferencia ahora se resume en una palabra: disponibilidad. Cualquier nueva tecnología es inicialmente cara, no está ampliamente disponible y, a veces, es demasiado compleja para la persona promedio. La IA generativa y los grandes modelos de lenguaje fueron los aceleradores que superaron estos obstáculos, haciendo que la IA fuera asequible, utilizable y accesible para todos durante el último año. Ahí es donde surgen los problemas.
Todavía no existe un estándar sobre cómo debe utilizarse la IA, a qué debe tener acceso y cómo prevenir su uso indebido. La IA puede ser un copiloto o asistente para los equipos de ciberseguridad, ayudándoles a trabajar de manera más eficiente y a comprender mejor la avalancha de alertas y advertencias con las que lidian a diario.
Por otro lado, la IA puede utilizarse para producir imágenes o vídeos fraudulentos, acelerar la producción de malware o incluso llevar los ataques DDoS al siguiente nivel al permitir que bots impulsados por IA realicen el trabajo sucio. Un área que nos preocupa especialmente es la autenticidad del contenido y del código. En un mundo donde la IA es accesible para todos, ¿cómo saber si una imagen o vídeo fue producido por un humano o por IA, cómo saber si ha sido alterado, cómo saber cuándo y dónde fue tomado? Todas estas son preguntas importantes, especialmente ante los conflictos recientes, que han planteado dudas sobre la autenticidad y muestran los peligros de la posible desinformación o incluso la desinformación a través de contenido que se propaga como la pólvora en las redes sociales. Las firmas digitales son uno de los mejores métodos actuales para probar el origen y la autenticidad de imágenes y vídeos.
Lo mismo se aplica al desarrollo de Software. Si los equipos aumentan el desarrollo con IA, ¿cómo saber el origen de su código? ¿Cómo saber si ha sido manipulado o alterado? De nuevo, las firmas digitales son una de las mejores herramientas actuales de las que disponemos para probar la integridad y autenticidad del código.
Todo esto —ya sean imágenes, vídeos o Software— es propiedad intelectual que debe protegerse. Ahora vivimos en un mundo donde no podemos confiar inmediatamente en lo que vemos y oímos: todo debe ser verificado. La autenticidad es la clave para establecer la confianza en un mundo que, de otro modo, sería desconfiado.
– Ryan Sanders, Director Sénior de Marketing de Producto y Clientes en Keyfactor
La PKI deberá evolucionar junto con la criptografía post-cuántica, la IA y otras tecnologías.
La seguridad de las claves criptográficas fue un desafío principal en 2023, y seguirá siéndolo en 2024.
En retrospectiva, el mayor desafío del año pasado sigue siendo mantener las claves seguras. En 2023, hubo una serie de incidentes que involucraron claves robadas o comprometidas. Esos incidentes llevaron a la distribución de malware, acceso no autorizado a la red y la divulgación de decenas de miles de correos electrónicos gubernamentales sensibles. Veremos una tendencia continua de robo de claves y su uso con fines nefastos en el nuevo año.
– Chris Hickman, Director de Seguridad (CSO) en Keyfactor
La confianza cero será la principal prioridad de PKI para las organizaciones y los líderes de seguridad, pero implementarla correctamente no será fácil.
La confianza cero será una prioridad para muchas organizaciones en 2024. Sin embargo, el ámbito es tan amplio que estas organizaciones tendrán dificultades para definir los elementos más importantes de la confianza cero. Además, para componentes como contenedores y Kubernetes, existen tantas opciones diferentes para lograr el mismo objetivo que resulta difícil encontrar las mejores prácticas, y existe el riesgo de soluciones puntuales ad hoc que no son eficientes a largo plazo.
– Tomas Gustavsson, Director de PKI en Keyfactor
Las soluciones puntuales exacerbarán la proliferación de PKI.
La proliferación de PKI seguirá siendo un problema debido a la creciente necesidad de PKI, el conocimiento limitado y la falta de personal para soportar la PKI en las organizaciones, y las numerosas soluciones puntuales que están apareciendo en el mercado. Estas soluciones puntuales resuelven necesidades específicas a corto plazo, pero no abordan la eficiencia organizacional y carecen de la competencia para soportar una gobernanza a nivel de toda la organización para componentes de seguridad críticos.
– Tomas Gustavsson, Director de PKI en Keyfactor
La brecha de talento en TI y seguridad persistirá en 2024.
La brecha de talento sigue ampliándose, y 2024 mostrará la verdadera presión sobre las organizaciones al no mantener al personal de seguridad de TI actualizado en sus habilidades.
Con la oferta actual de acuerdos de trabajo más flexibles, los trabajadores cualificados pueden trabajar para prácticamente cualquier empresa del planeta, lo que crea un enorme problema para las organizaciones fuera de las principales áreas metropolitanas y para aquellas que simplemente no pueden pagar los salarios que estos profesionales exigen.
Añádase a esto nuevas preocupaciones sobre aspectos como la migración a criptografía cuántica y la IA/ML, y las organizaciones requerirán más personal para mantenerse seguras. Pero el mercado laboral simplemente no está disponible para cubrir esta necesidad.
– Chris Hickman, Director de Seguridad (CSO) en Keyfactor
