¡Vanguardia tecnológica! Ciberseguridad debe ser estrategia de seguridad nacional
Así fue expuesto en el Congreso de Seguridad de la Información, evento orientado a crear estrategias y políticas para hacer frente a los ataques cibernéticos. Fotos Franklin Domínguez.
VEA / Yonaski Moreno
La ciberseguridad debe ser considerada una estrategia de seguridad nacional, planteó el viceministro para el Desarrollo de Tecnologías de Información y Comunicación, Raúl Hernández, durante el Congreso de Seguridad de la Información (Consi) inaugurado este martes 14 de mayo en la Base Aérea Generalísimo Francisco de Miranda, La Carlota, estado Miranda.
Desde el Auditorio 17 de Abril, explicó que la seguridad de la información no solo compete al ámbito militar, sino también a todos los ciudadanos. «Empresas privadas, empresas públicas, entes del Estado, en tu casa, debemos velar por la seguridad de la información y cómo protegernos ante estos ataques. Para eso es precisamente este ciclo de ponencias donde vamos a articular con diferentes actores cómo serán las nuevas políticas y los resultados que vamos a tener», señaló en declaraciones a la prensa.
Hernández lideró la conferencia magistral titulada “Seguridad de la Información y la Inteligencia Artificial. Desafíos Globales y Estado del Arte”, en la que explicó que la ciberseguridad es el uso de cualquier tecnología o metodología práctica orientada a prevenir ataques virtuales o mitigar su impacto.
El viceministro expuso que cualquier acción o situación que ponga en riesgo la seguridad de los dispositivos y datos digitales debe ser considerada una amenaza cibernética. Entre las más frecuentes mencionó el secuestro de software, ataques de denegación de servicio y correos maliciosos.
En su intervención, reveló que la tasa de incidencia de ciberamenazas en el mundo se ubica en 75,13 %. Ante este panorama, alertó que no se están aplicando los procesos correspondientes «para que nuestros software sean seguros», por lo que exhortó a los especialistas nacionales e internacionales presentes a trabajar en conjunto para crear las mejores estrategias y políticas que permitan hacer frente a los ataques cibernéticos.
Hernández recordó que el encuentro es desarrollado como parte del cuarto vértice de la Gran Misión Ciencia, Tecnología, Innovación «Humberto Fernández Morán», relacionado a la transformación digital de Venezuela y es auspiciado por la Unión Internacional de Telecomunicaciones (UTI). Señaló que este tipo de experiencia contribuyen a la preparación de un Plan Nacional de Ciberseguridad.
Vulnerabilidades y cómo enfrentarlas
Muchos de los asistentes, entre ellos estudiantes universitarios, sacaron lápiz y papel para tomar apuntes durante la ponencia «Desarrollo de Software Seguros y Soberanos», en la que el coordinador de Seguridad de Información de la Unidad de Transformación Digital del Ministerio para Ciencia y Tecnología (Mincyt), Eudy Zerpa, planteó que la reutilización de códigos para el desarrollo de software se ha convertido en una práctica cada vez más frecuente y puede derivar en una vulnerabilidad que pone en riesgo la información.
«Hay un hecho bien peligroso. Fíjense, el título de esta presentación es Desarrollo de Software Seguros y Soberanos. El desarrollo de software es seguro a través de prácticas conocidas, pero que sea soberano tiene otros agregados, como por ejemplo, que el código esté en nuestros predios, en nuestros servidores, en nuestra nube, no que esté en otro país donde a ese código le aplican políticas y leyes que lo hacen susceptible de ser modificado o leído cuando yo lo estoy ejecutando como un proyecto nacional», explicó.
Indicó que otro aspecto negativo de este tipo de arquitectura basada en la orquestación de códigos de terceros, «es que deben configurarse los servidores web de una manera que permite que otros sitios se comuniquen directamente con mi servidor y lo hacen susceptible a los denominados ataques de inyección de código».
Para ejemplificar lo expuesto, Zerpa hizo referencia a la película Rogue One: una historia de Star Wars, en la que «un diseñador de la estrella de la muerte –que es el gran arma del imperio– descontento pone una vulnerabilidad en el sistema, de tal forma que tres películas después los héroes vuelan el reactor con una bomba térmica, basados en la vulnerabilidad (…) esto es el equivalente a lo que están haciendo los muchachos inocentemente, están actuando como el arquitecto de la estrella de la muerte, pero a la inversa, porque nosotros no somos el imperio».
De acuerdo al coordinador, estas vulnerabilidades pueden ser contrarrestadas a través de una serie de auditorias al trabajo que realizan los desarrolladores, a través de la DevSecOps (Desarrollo, Seguridad y Operaciones), que implica involucrar a los profesionales de seguridad en todo el desarrollo.
«La buena noticia es que es sencillo, resolverlo es sencillamente adoptar la tecnología DevSecOps», expuso. Agregó: “Debemos hacer una auditoria de todas las librerías que van a usar los desarrolladores, de tal forma que una vez que van a comenzar el desarrollo, tienen que tener una entrevista con seguridad y decirle ‘mira, estos son todos los ingredientes de mi sopa y ninguno está malo'».
Tras esa primera entrevista se pasa a la fase de programación y se construye el código, para luego, en la fase de prueba funcional del código realizar otro análisis de seguridad. «Con esta metodología inclusive se llega al extremo de hacer varios análisis en el día porque resulta que si se piden varias modificaciones del código, cada vez que cambiamos una coma del código y lo vamos a pasar a producción, debe ser revisado», precisó.
