Algo va mal en el panorama general de la ciberseguridad empresarial. En conjunto, las organizaciones dedican cada vez más dinero a frustrar a los ciberdelincuentes. En 2018, el gasto internacional en ciberseguridad podría alcanzar los 96.000 millones de dólares, según Gartner, lo que supone un aumento del 8% respecto a 2017.
El número de filtraciones de datos también se está disparando. En 2017, se produjeron en Estados Unidos más de 1.579 filtraciones divulgadas públicamente, según la organización sin ánimo de lucro Identity Theft Resource Center. Esto supone un aumento del 44,7% respecto a las 1.091 violaciones contra objetivos empresariales en 2016. El coste que infligen estos ciberataques también está aumentando. Según la investigación de 2018 del Ponemon Institute, el coste total medio de una violación de datos en todo el mundo es de 3,86 millones de dólares, un 6,4 % más que el año anterior.
Las causas del aumento simultáneo del gasto en ciberseguridad de las empresas y de las violaciones de datos son múltiples, pero una razón fundamental es la siguiente: Los equipos de ciberseguridad de muchas empresas tienen dificultades para seguir el ritmo del clima de riesgo actual. En pocas palabras, los ciberdelincuentes en su conjunto están superando la capacidad de las empresas para frustrarlos. Con frecuencia, muchos líderes empresariales están intensificando las iniciativas empresariales digitales al tiempo que exigen que los profesionales de la ciberseguridad sigan el ritmo. Además, a medida que madura la adopción del Internet de las Cosas (IoT ), un número creciente de profesionales de la ciberseguridad deben preocuparse ahora de gestionar las identidades de miles de nuevos puntos finales de red. Es más, muchos de estos dispositivos de IoT están diseñados para tener una larga vida útil. No es raro que los equipos industriales y los dispositivos médicos se utilicen durante una década o más. Cuando esos dispositivos se distribuyen con la funcionalidad IoT , eso significa que aunque hoy sean razonablemente seguros, podrían no serlo en 2028. Además, muchos dispositivos de IoT tienen una potencia de cálculo limitada, lo que dificulta su actualización criptográfica sin una planificación previa suficiente. No es de extrañar que el estudio 2018 Cost of a Data Breach del Ponemon Institute descubriera que las organizaciones con un amplio uso de dispositivos IoT tendían a sufrir brechas más dañinas (con un coste de 5 dólares más por registro comprometido) que aquellas que no dependen de dispositivos IoT . Para una filtración a pequeña escala que implique un número limitado de archivos, la diferencia puede ser mínima. Pero en el caso de una filtración con miles o millones de archivos perdidos, la diferencia puede resultar costosa rápidamente. Por otro lado, las empresas que recurren ampliamente a la automatización de la seguridad sufren muchos menos daños que las que no lo hacen. Según el estudio de Ponemon, el coste medio para una organización del primer bando es de 2,88 millones de dólares. Para las que no lo están, el daño medio fue de 4,43 millones de dólares.
Para complicar aún más las cosas, la potencia de la criptografía establecida tiende a disminuir con el tiempo. Esto se debe a varias razones. Los investigadores de seguridad pueden descubrir fallos criptográficos en sistemas que se creían robustos. E incluso cuando los investigadores descubren un punto débil en un algoritmo de cifrado estándar, la transición a un algoritmo actualizado puede demorarse. Fíjese en lo que ocurrió con el algoritmo Secure Hash Algorithm 1 (SHA-1), que se rompió en 2005. Casi una década después, el algoritmo seguía utilizándose con frecuencia. En la primera mitad de 2014, nueve de cada diez certificados SSL en Internet seguían utilizando SHA-1. La fecha de caducidad definitiva del algoritmo era el 1 de enero de 2017.
Es cierto que para que un adversario descifrara SHA-1 en 2005 era necesario que dispusiera de muchos recursos. Pero los costes financieros y el tiempo necesarios para hacerlo disminuyeron constantemente con los años. En 2010, el investigador de seguridad alemán Thomas Roth descifró 14 hashes cifrados con SHA1 en menos de una hora alquilando potencia de cálculo a AWS. ¿El coste? $2.10.
En los próximos años, otros algoritmos de cifrado correrán la misma suerte. El posible auge de la computación cuántica no hará sino agravar el problema. En 2016, investigadores del MIT y de la Universidad de Innsbruck estuvieron a punto de descifrar el cifrado RSA. Gartner predice que, para 2022, los ordenadores cuánticos podrán descifrar RSA casi en tiempo real. A medida que los algoritmos criptográficos de uso común queden obsoletos, los profesionales de la seguridad tendrán que ser rápidos a la hora de eliminar dichos certificados, claves y almacenes de confianza, a la vez que instalan rápidamente alternativas resistentes a la tecnología cuántica. (Para más información sobre el tema, consulte el libro electrónico gratuito titulado Crypto-Agile PKI for the Future.
Las estimaciones sobre cuándo estará lista la computación cuántica para el prime-time varían. Pero tanto si eso ocurre dentro de cinco años, como espera IBM, como si es dentro de dos décadas, el momento de planificar la criptoagilidad, junto con la automatización de la seguridad, es ahora.