Hace casi un cuarto de siglo, los especialistas de sistemas se quebraban la cabeza con el llamado “error del Y2K”, un problema de software que, con el cambio significativo de fecha, puso en evidencia un fallo en la configuración de las computadoras disponibles, que hasta el momento solo habían estado programadas para mostrar la fecha en series de doble dígito. Dicha situación representó uno de los problemas informáticos más sonados de la época, lo que nos lleva a la pregunta ¿cómo afrontarían esos profesionales algunas de las problemáticas actuales, como el phishing o el ransomware?
En una era dónde los principales ataques cibernéticos partían de inyección de virus o troyanos, resultaría totalmente inverosímil recibir un video generado con IA, con gran detalle de realismo, que tuviera como objetivo engañar para obtener una transferencia bancaria. Sin duda el ecosistema de amenazas ha cambiado: el volumen de ataques incrementó de manera crítica, tan solo en los últimos tres años las vulneraciones a contraseñas han pasado de 579 por segundo a 7,000 en el mismo lapso, según cifras del más reciente Informe de Defensa Digital de Microsoft.
Sin embargo, el riesgo digital no solo ha cambiado solo en cantidad y complejidad, con un ecosistema creciente de dispositivos conectados, la superficie de riesgo es cada vez más amplia. Para un encargado de TI habría sido inconcebible que el origen del robo de datos de la empresa fuera un foco inteligente o una cámara de seguridad. Tal evolución del riesgo digital debe implicar un salto de la misma magnitud para los equipos de defensa, donde la protección deja de ser una prioridad exclusiva de unos cuantos, para convertirse en un componente fundamental de la operación de cualquier empresa.
Dicha perspectiva es particularmente relevante para las compañías que desarrollamos soluciones y servicios tecnológicos, ya no se trata de valor agregado, sino de una obligación que tenemos de cara a la industria. Desde Microsoft vemos esta visión cobrar vida desde el concepto “Zero Trust”, un enfoque transversal que parte del principio asumir que las amenazas pueden estar presentes tanto dentro como fuera de la red. Tal noción está embebida no solo a nivel funcionalidades, sino que forma parte también del marco de desarrollo, buscando imprimir seguridad desde la programación, el propio ADN de la tecnología.
Con esto en mente, la seguridad integral es fundamental para proteger la información y garantizar la confianza de los usuarios, empezando desde el código fuente y basándonos en prácticas y principios clave. Una de estas prácticas es el ciclo de vida de desarrollo seguro, una metodología que incorpora la seguridad en cada fase del desarrollo de software. Esto incluye la definición de requisitos de seguridad, la implementación de controles de seguridad y la realización de pruebas rigurosas, asegurando que el software sea resistente a las amenazas desde su concepción.
Es decir, la seguridad debe ser una responsabilidad compartida y, como tal, también es importante garantizar que no sea un obstáculo en el día a día de los usuarios. Por eso es vital integrar la seguridad en el ciclo de vida de DevOps, conocido como DevSecOps; esta práctica promueve la colaboración entre equipos de desarrollo, operaciones y seguridad, permitiendo la detección y mitigación temprana de vulnerabilidades.
Al abordar la defensa digital como una constante, en lugar de aislarla como una preocupación de nicho, fomentamos una cultura homogénea de protección. Ya sea que hablemos desde el código protege los sistemas, hasta la infraestructura en que circulan los datos, o los mismos dispositivos en que los colaboradores realizan sus labores diarias, el fundamento de la seguridad parte de construir confianza. Y es justo eso lo que hacen los desarrolladores desde una etapa temprana, al adoptar prácticas de protección e higiene digital en la codificación, regirse por principios de diseño de seguridad, y mantener la colaboración y la transparencia con otras áreas a través de la visión de DevSecOps, avanzar un paso más cerca de una estrategia de protección robusta, confiable y continua.
El mundo cambia rápidamente, mucho más en lo que a ciberseguridad respecta. La historia nos ha mostrado que el riesgo y las preocupaciones que ahora nos aquejan, probablemente no existan o dejen de ser tan relevantes en cuestión ya no de años, sino de meses, o incluso días. Ante este panorama cambiante, establecer una cultura de seguridad se convierte en la mejor manera de estar preparados para el futuro: desde las pequeñas acciones de hacemos en la vida diaria, las reuniones y los recursos disponibles para concientizar en la importancia de la defensa digital, el compromiso de cuidarnos unos a otros, de colaborar y de seguir aprendiendo, es la mejor manera de mantenernos seguros.
-Marcelo Felman, Director de Ciberseguridad para Microsoft Latinoamérica.
