AWS Summit 2022: “Confianza cero”, la estrategia de Estados Unidos para combatir ciberataques

Los ciberataques a gobiernos encabezaron titulares en todo el mundo durante estos últimos dos años. Con Perú y Costa Rica como últimas víctimas, la seguridad de la información pasó a ser una preocupación presidencial en todo el mundo. Y el tema no escapó a la agenda del AWS Summit este año, una de las convenciones de computación en la nube más grandes del mundo.

Allí habló Chris DeRusha, el jefe de ciberseguridad de los Estados Unidos, encargado de cuidarle la espalda a Joe Biden, y aseguró que una de las claves para defenderse de los cibercriminales es la “confianza cero”: no confiar absolutamente en nadie, ni siquiera en los propios funcionarios.

"Una de las cosas de las que estamos orgullosos en nuestro departamento es que tenemos una política de confianza cero, en gran parte porque la construimos junto con la industria", dijo DeRusha en conversación con el Jefe de Seguridad Informática (CISO, por su sigla en inglés) de AWS, CJ Moses. 

La expresión (en inglés, “zero trust”) alude a una forma de trabajo en la que se asume que los usuarios tienen que ser autorizados y validados de manera constante: incluso los propios funcionarios de un gobierno o los empleados de una empresa son considerados potenciales atacantes.

Esto tiene múltiples explicaciones, pero principalmente es porque las personas pueden cometer errores, como cliquear en un mail que contenga phishing. Aunque uno de los casos que más preocupa a las organizaciones estatales son los empleados que ceden credenciales de manera activa a ciberdelincuentes.

Esta estrategia es consecuente con el problema que enfrentan varias empresas, víctimas de ciberataques este último año. Uno de los grupos de cibercriminales más resonantes de este año, Lapsus$: la banda no tiene su propio ransomware, es decir, su software para robar y encriptar información (para luego pedir un rescate en dinero), sino que trabaja por ingeniería social.

Según ellos mismos publican en sus foros, buscan empleados que cedan credenciales internas de los gobiernos y las empresas. Así lograron vulnerar a gigantes como Nvidia y Samsung en el mundo y Mercado Libre y Globant en Argentina.

En este sentido, los expertos en el panel dieron a entender que la estrategia es relativamente nueva. Por esto, DeRusha explicó que a nivel estatal hacen capacitaciones constantes, pero que dar el paso a la confianza cero es algo que lleva tiempo: "No tenemos todavía el plan completo, esto es apenas el principio. Actuamos como gobierno federal y hacemos lo que tenemos que hacer para llegar a ese primer nivel básico de madurez en todos los servicios y dependencias” del Estado, aseguró.

“Hacemos muchos workshops (capacitaciones) para implementar esta política de ‘confianza cero’ y son las que más asistentes tienen”, agregó.

DeRusha, quien también tiene el cargo de Director Nacional de Ciberseguridad, reconoció que uno de los desafíos más grandes tiene que ver con la unificación de criterios de trabajo entre las diferentes agencias de los Estados Unidos.

“La clave es determinar cuáles son los problemas comunes que tienen las agencias y pensar nuevas formas de resolver los problemas. Es un desafío grande, no vamos a tener una política de confianza cero en todas las dependencias en dos años, pero vamos a hacer un progreso significativo”, explicó.

La orden ejecutiva de Biden

En mayo de 2021, el presidente de Estados Unidos, Joe Biden, firmó una orden ejecutiva para fortalecer la ciberseguridad tras el ataque a Colonial Pipeline, la mayor red de oleoductos en el país. A partir de esta medida, su administración llamó a tener estándares de seguridad más estrictos para evitar los problemas derivados de aquel hackeo, que dejó al país con problemas de abastecimiento.

En este sentido, DeRusha aseguró que todas las dependencias del Estado están volcadas a políticas de confianza cero para cumplir con esta orden ejecutiva y calificó a este cambio de mentalidad como el primer paso a evitar ciberataques.

“Algo que aprendimos hablando con agentes experimentados de divisiones como la NSA y otras es que cuando tienen un nivel sólido de madurez en todas las áreas de capacitación los incidentes bajan considerablemente. A fin de cuentas, eso es lo que estamos tratando de hacer: hacer esto mejor, porque los riesgos de ataques nunca van a desaparecer. Creo que en unos años podemos hacer un progreso significativo”, cerró.

Estados Unidos fue uno de los países más afectados por el ciberdelito estos últimos años, con casos como el del oleoducto Colonial Pipeline en marzo de 2021, con 70 GB de información robados de los servidores de la empresa energética, o el del frigorífico JBS en mayo del año pasado, que fue afectado por un ransomware.

Estas discusiones tuvieron lugar en la AWS Summit 2022, una convención anual que realiza Amazon Web Services, la división de computación en la nube de Amazon, en Washington.

Allí expertos y miembros de distintas industrias y dependencias públicas que trabajan con los servicios de AWS se reúnen para participar en discusiones y presentar las novedades del área de los productos y servicios atados al cloud computing.

Desde Washington DC.