Calma chicha

Siempre es bueno saber qué ocurre en el ámbito de la Ciberseguridad, aunque no estemos a finales de año y no proliferen los artículos adivinatorios para el nuevo año. Quizá ahora sea el momento de centrarnos en lo que sí está pasando y preguntarnos si es por aquí por dónde queremos o debemos ir. En esta ocasión, vamos a ver cómo les va a las pertinaces modas de toda “ciberseguridad relevante”.

Aunque no se esté de acuerdo, aunque no apetezca, siempre es necesario y conveniente estar al día de lo que ocurre alrededor de uno, de sus cosas y de sus intereses. Por ello, es conveniente preguntarnos sobre cómo van las cosas, las cosas reales, las de verdad, en este mundillo que llamamos de la ciberseguridad.

Nada más empezar se nos plantearía una dicotomía: 1) nos dirigimos a los incidentes que están ocurriendo (ransomware1, phishing, insiders, criptofraudes, marketing dirigido clandestino, monitorizaciones no autorizadas de todo tipo, etc.), o 2) nos dirigimos hacia los “temas estrella” que de boca en boca van y nadie concreta (Inteligencias Artificiales, todo lo Quantum, PosQuantum, las Arquitecturas Zero Trust, las Identidades soberanas, etc.).

La primera de ellas es la típica opción de los informes anuales de boyantes entidades que tienen su lucrativo negocio en esto de la ciber-cosa. Sin embargo, esta opción es la más difícil ya que una característica de este ámbito en el que nos movemos es que, precisamente, no se sepa lo que realmente está pasando. No quiero insinuar que haya “una mano negra” que oculte “la verdad”, sino que, por naturaleza, casi todas las ciber-actividades deben hacerse, se hacen o al menos se intentan, en el más absoluto secreto (cibercrimen, espionaje, extorsión, transaccionalidad opaca, etc.).

En lo que va de este año 2024, hay ejemplos del uso de Deepfakes traídos de la mano de la nunca bien controlada Inteligencia Artificial Generativa, y con los cuales ya no podemos creer ni lo que vemos, ni lo que oímos; ¡Menos mal que nos quedan tres sentidos más!, aunque todavía ellos poco tienen que decir (todavía) en el mundo digital.

A la orden del día está lo que se denomina el Phishing avanzado2, y que reúne a los mecanismos que desmontan cualquier autenticación posible frente y para los seres humanos. Las campañas de phishing actuales se dan sobre cualquier canal posible (SMS, mensajería instantánea, web, pantallas de Login, etc.) y son cada vez más sofisticadas. Cada uno de ellos utiliza métodos y tentaciones muy personalizadas para engañar, con toda seguridad, a sus víctimas.

Por último, también están progresando mucho los ataques de Ingeniería Social en -y gracias a-, las redes sociales. Estas últimas representan un caldo de cultivo óptimo para la explotación, por parte de cualquiera, de la naturaleza y muchas debilidades humanas. No existiendo un mecanismo efectivo de identificación digital de las personas o agentes que operan en Internet, cualquier agente bien financiado puede crear y utilizar perfiles falsos, hacerse pasar por otros para engañar a la gente -y a algunas empresas-, y obtener acceso a datos confidenciales de todo tipo, y con ello terminar suplantando a la víctima en la gestión/transferencia de su patrimonio.

La segunda posibilidad de las dos que mencionamos, la de indagar en lo que todos estén hablando en los foros y mentideros varios, es algo más fácil. Para ello contamos con su inherente necesidad de publicidad y difusión de esos “contenidos”. Otra de las ventajas que tiene esta opción es que hay medios de difusión digitales y/o analógicos, cuya única razón de ser es contar, a quien quiera escucharles, “lo last” de cualquier cosa, y en cualquier momento. Que sea cierto o no, eso es harina de otro costal.

MODAS VIGENTES

En este ámbito lo que dominan son las modas vigentes, de las que todavía hoy hay que seguir resaltando 1) la Inteligencia Artificial como el pretendido gran hacedor de futuros y sinónimo de calidad imbatible, 2) todo lo que tenga que ver con lo Quantum (hardware, computación y criptografía) y 3) todo aquello que tenga que ver con las Normativas que afectan a lo digital.

Aun dejando el papelón de la denominada Inteligencia Artificial para otras columnas, sí conviene resaltar aquí que durante estos meses no ha sido la protagonista la Inteligencia Artificial como tal, sino los esfuerzos en hardware que se están haciendo a consecuencia de ella. Es por todos conocido la elevación en un 262% de los ingresos y de un 628% de los beneficios de Nvidia (valoración 140 billones de dólares3) gracias al lanzamiento de sus potentes microprocesadores diseñados directamente para atender a la fiebre de la Inteligencia Artificial.

Sin embargo, y precisamente frente a este tipo de noticias, no conviene olvidar que “El Dorado Digital”, a cuya búsqueda se han lanzado los EE.UU. y la UE con la esperanza de recuperar soberanías tecnológicas perdidas frente a Asia, es una estrategia que sale muy muy cara; sin duda, el control de los circuitos integrados ha entrado en una nueva dimensión. En 2024, Europa y EE.UU. vienen liberando 81.000 millones de dólares en nuevos subsidios a sus fábricas de chips, que se suman a los 380.000 millones ya sufragados en el bienio 2022-23 en todo el mundo.

A este trono aspiran aliados de Occidente como Japón, Reino Unido, Corea del Sur, Canadá y Australia, así como los nuevos mercados emergentes asiáticos en Taiwán, Vietnam o la India, o incluso los latinoamericanos en México o Brasil, o los africanos como los de Marruecos y Sudáfrica, y, como es lógico, el de la propia China. En lo referente a nuestro país, en este escenario ni se cuenta con él, ni se le espera; no damos la talla económica para participar en esa (¿ilusoria?) carrera.

EXPECTATIVAS CUÁNTICAS ARTIFICIALMENTE ALTAS

Centrémonos de nuevo en seguirle la pista a lo que se dice en el ámbito Quantum para el gran público. Saber lo que se le dice al gran público es importante, ya que todo este tinglado consiste en mantener artificialmente altas sus expectativas, y así seguir justificando la ingente cantidad de fondos y recursos colectivos que se están yendo por sumideros no siempre claros, en aras de lo cuántico.

En el mundo de la Computación Cuántica encontramos noticias cómo la del BBVA4, que informa de que ha finalizado una prueba piloto consistente en distribuir por la nube de Amazon (AWS5) la ejecución simulada de algoritmos cuánticos. Sus promotores se vanaglorian de ser uno de los primeros ejemplos de su tipo en el sector financiero, lo cual no es necesariamente un mérito. Si leemos con algo de detalle lo que han escrito, descubrimos que se trata de aplicar un software de terceros (concretamente, Qiskit6 de IBM) sobre “múltiples servidores de computación clásica situados en la nube de AWS”, llegándose a una arquitectura equivalente de tan solo 38 qbits; magnitud y proyecto que bien podría corresponder al de un buen TFG7 de algún Grado Universitario público.

Siguiendo a la jaculatoria8 habitual de que “la computación cuántica es una tecnología emergente”, los autores reconocen que “el hardware actual es muy susceptible al ruido” por lo que ellos han optado por realizar sus simulaciones en un modelo y un entorno “libre de ruido”, a la espera de que llegue el día de un hardware cuántico que será más fault-tolerant, es decir, esperar todavía varias décadas, y eso si es que llega a ser así. Vamos, que el planteamiento del BBVA ante el problema de la Computación Cuántica es de los facilones: Supongamos que el problema está resuelto...

QUE EL PÚBLICO CREA QUE SE SIGUE AVANZANDO

Lo importante en este tema de la Computación Cuántica es que el público crea que se sigue avanzando y que ya casi estamos en ello, aunque todavía falta bastante más tiempo de lo declarado. No sé durante cuánto tiempo más serán capaces los apóstoles de lo cuántico de ocultar al gran público lo que a algunos nos parece, como mínimo, un exceso de interesado optimismo tecnológico bien aderezado de complejidad científica, cosa que siempre mantiene alejados a neófitos y curiosos.

Pero si el caso de la Computación Cuántica puede terminar siendo un ejemplo histórico de un exceso de optimismo interesado, en el caso de los algoritmos criptográficos poscuánticos9 (PQs) la situación es todavía más radical ya que, en este particular, su jaculatoria comodín sería “¡La computación cuántica está aquí, ad portas! Y van a ser capaces de descifrar cualquier cosa que cifremos con los algoritmos que hoy conocemos”.

A pesar de los reiterados lamentos de las Fuerzas de Seguridad europeas 10 (y de las no europeas también), sobre no poder “meter mano” en las comunicaciones digitales (bien) cifradas extremo-aextremo (E2E 11), algunos quieren seguir alimentando ante el gran público la amenaza de que “grabando ahora lo que está cifrado, pronto todo podrá ser descifrado por nuestros peores enemigos”12. El caso es que la administración norteamericana parece creer realmente esta posibilidad, y en 2022 propuso un plan para que todo tipo de organizaciones empezase la “migración”13 hacia lo que algunos denominan los quantum-cryptography-resistant algorithms, para así mitigar esta amenaza. Oportunamente, la NSA se lanza a dar sus soluciones14, e invitan a todo el mundo a utilizarlas en exclusiva y dejar los viejos algoritmos en la papelera.

Ya comentamos, en una entrega anterior de esta misma sección, sobre la conveniencia o no de hacer esa migración de golpe, o pasar por un amplio periodo de tiempo en el que se hiciese un uso mixto de todos los algoritmos disponibles (nuevos y viejos), que nos proteja de la inherente juventud de los algoritmos poscuánticos propuestos. Por ello, no volveremos sobre ese tema aquí y ahora.

La tercera moda a considerar es la de la reacción normativa de las diferentes administraciones. El pasado 11 de abril de 2024, la Comisión Europea, con la firma de Thierry Breton, Comisario europeo de Mercado Interior, publicó una Recomendación15 “sobre una hoja de ruta para llevar a cabo de manera coordinada la transición hacia una criptografía postcuántica”.

Ya en el tercer y cuarto “considerandos” nos encontramos la asunción comunitaria de la jaculatoria de la inminente Amenaza Cuántica: “(3) El potencial de desarrollo en el futuro de ordenadores cuánticos capaces de descifrar los sistemas de cifrado actuales hace necesario que Europa busque salvaguardias más sólidas...” y “(4) La Comisión, consciente de la amenaza potencial que supone la computación cuántica para la actual criptografía de clave pública...”

Lo curioso es que después de tan formal documento, todo se queda en una simple recomendación de la Comisión en la que “anima” a los Estados miembros a “elaborar una estrategia global”, para la adopción de la criptografía postcuántica (sin indicar cuál sería) a fin de garantizar una transición coordinada y sincronizada entre los distintos Estados miembros y sus sectores públicos.

Esa estrategia global debería definir objetivos, hitos y plazos claros que den lugar a la definición de la consabida “hoja de ruta conjunta” para, más adelante, realizar de manera coordinada una transición unificada hacia una criptografía postcuántica.

Reconoce la Recomendación de la Comisión Europea que habría que confeccionar una lista de acciones a llevar a cabo los Estados miembros, incluyendo 1) “el examen de los algoritmos de criptografía postcuántica”, y 2) un “calendario claro” para las diferentes fases e hitos que deban alcanzarse; teniendo todo ello en cuenta las posibles interdependencias, así como no dejar fuera a ninguna de las posibles partes interesadas que siempre deben participar.

Lo primero, parece insinuar esta Recomendación, es que la Unión Europea, por sí sola, afrontará el estudio, análisis y caracterización de posibles algoritmos poscuánticos, y que luego propondrá los que va a utilizar y en qué modo. En realidad, lo más probable es que la UE no haga nada de eso, y se limite a transcribir a sus normas y obligaciones administrativas lo que, previamente, haya avanzado y acordado el NIST norteamericano, siempre a la sombra de lo que sepa/ dicte la NSA.

Aquí hay que tener en cuenta, una vez más, que todo esto se hace porque se sienten (y se postulan como) amenazados los mecanismos digitales del hacer dinero, y el Mercado Global está por encima de cualquier soberanía y está mayoritariamente dirigido por el que más beneficios obtiene en él; los Estados Unidos de Norte América y demás soberanías satélite (Europa entre ellas).

En resumen, no hay grandes novedades en la primera (casi) mitad de este 2024, en lo que a la Ciberseguridad se refiere; lo que hay ya estaba, y sólo sigue estando. Esto es una especie de “calma chicha”16 que tan eficazmente erosiona y suele acabar con los nervios de los que la viven y observan. Es el desgaste emocional que provoca cualquier espera, sobre todo si ésta es larga.

Al hablar de la ciberseguridad actual, no puedo hacer otra cosa que recordar, lo que en su momento dijo el escritor mejicano Arturo Ortega Morán17: “Hablar de calma chicha es hablar de la quietud. Pero no de esa que cura la fatiga, no de esa que abre espacios a la meditación, no de la que es remanso en la turbulencia de la vida. Hablar de calma chicha es hablar de la otra quietud, la que desespera, en la que no hay negro ni blanco, ni frío ni calor, ni bien ni mal... la que sabe a muerte”.18

“...los navegantes más experimentados no ocultaban su preocupación por otro peligro más implacable: la calma chicha. Su presencia lo detiene todo, el viento y las olas desaparecen para dar paso a un mar inmóvil, como una viscosidad quieta que fuerza al navío a un pairo implacable y condena a la tripulación a la desesperación de un tiempo suspendido”19.


1 Ver https://arstechnica.com/security/2024/04/missouri-county-declares-state-of-emergency-amidsuspected-ransomware-attack/, https://www.bleepingcomputer.com/news/security/hosting-firmsvmware-esxi-servers-hit-by-new-sexi-ransomware/
2 Ver https://therecord.media/att-confirms-data-leak-73-million-people, https://www.darkreading.com/cyberattacks-data-breaches/attackers-use-google-ad-feature-to-target-slack-notion-users
3 Ver https://cincodias.elpais.com/companias/2024-05-22/nvidia-maravilla-al-elevar-un-262-losingresos-y-un-628-los-beneficios-por-la-inteligencia-artificial.html
4 Ver https://www.bbva.com/es/innovacion/bbva-prueba-con-exito-la-simulacion-cuantica-distribuidaen-la-nube/
5 Ver https://en.wikipedia.org/wiki/Amazon_Web_Services
6 Ver https://en.wikipedia.org/wiki/Qiskit
7 Ver https://www.educaweb.com/contenidos/educativos/estudios-universitarios/como-elaborar-trabajofin-grado-tfg/
8 Ver https://es.wikipedia.org/wiki/Jaculatoria
9 Ver https://en.wikipedia.org/wiki/Post-quantum_cryptography
10 Ver https://www.xataka.com/privacidad/a-policia-europea-no-le-importa-nuestra-privacidad-pideabiertamente-acabar-cifrado-extremo-a-extremo
11 Ver https://en.wikipedia.org/wiki/End-to-end_encryption
12 Ver https://en.wikipedia.org/wiki/Harvest_now,_decrypt_later
13 Ver https://www.cisa.gov/news-events/alerts/2022/08/24/preparing-critical-infrastructure-postquantum-cryptography, https://csrc.nist.gov/News/2022/pqc-candidates-to-be-standardized-andround-4
14 Ver https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/3148990/nsa-releases-future-quantum-resistant-qr-algorithmrequirements-for-national-se/
15 Ver https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=OJ:L_202401101
16 “Calma chicha” es un término que se utiliza para describir una situación de total quietud, especialmente en el mar, tras una tempestad o antes de una tormenta. Esta expresión denotaba una sensación angustiosa de suspensión o inquietud. También conocida como “calma muerta” en inglés (dead calm)
17 Ver https://es.wikipedia.org/wiki/Arturo_Ortega_Morán
18 Ver https://cvc.cervantes.es/el_rinconete/anteriores/diciembre_04/28122004_01.htm
19 Ver https://www.eldiario.es/comunitat-valenciana/tiempos-malditos-calma-chicha_132_3867128.html

Your browser is out-of-date!

Update your browser to view this website correctly.Update my browser now

×