Identidad RSA desenmascarada

INGO SCHUBERT
Bienvenido a RSA Identity Unmasked. Las contraseñas han sido el eslabón más débil de la seguridad durante décadas. Sin embargo, siguen siendo la base de la autenticación de usuarios, la protección de sistemas y el establecimiento de la confianza en las organizaciones. Este modelo ya no es sostenible. Los atacantes no necesitan entrar, entran.
Y a medida que evolucionan el phishing, el robo de credenciales y los ataques impulsados por la inteligencia artificial, resulta imposible ignorar las limitaciones de la seguridad basada en contraseñas. El cambio a la autenticación sin contraseña no es solo una mejora de la experiencia del usuario.
Se trata de un cambio fundamental en la forma en que las organizaciones establecen y refuerzan la confianza. En este episodio, analizamos qué significa realmente la ausencia de contraseñas, cómo tecnologías como las claves de paso y la autenticación resistente al phishing están elevando el estándar y qué deben hacer las organizaciones para que la transición sea un éxito.
Soy Ingo Schubert, y hoy me acompañan en el estudio Paul Mulvihill, de nuestro equipo de ingeniería, y Rob Hugh, Director de Seguridad de la Información de RSA, y Alex Sumerer, Director de Autenticación de Swissbit.
Paul, Rob y Alex, gracias por acompañarnos.
Durante décadas, las contraseñas han sido el eslabón más débil de la seguridad. ¿Estamos llegando por fin al punto en que las organizaciones pueden dejarlas atrás? Paul.

PAUL MULVIHILL
Creo que vamos en la buena dirección. Cada vez tenemos más tecnología que no las necesita necesariamente, pero hay muchos sistemas que siguen necesitándolas debido a su legado.

INGO SCHUBERT
Rob, ¿qué opinas de esto?

ROB HUGHES
Creo que tenemos una mezcla de gente: algunos se han metido de lleno y no tienen contraseña y utilizan claves de acceso, mientras que otros no saben muy bien qué hacer. Puede que no hayan tenido un incidente de identidad importante recientemente, y sus programas son muy reactivos, por lo que no están seguros de cómo proceder. Puede resultarles un poco desalentador.

INGO SCHUBERT
¿Esa es también tu experiencia, Alex?

ALEX VERANO
Yo diría que si nos fijamos en el número de incidentes, están creciendo de forma significativa, y las empresas están preocupadas. Las primeras implantaciones de sistemas sin contraseña están teniendo bastante éxito. Se trata más bien de integrarlos y gestionar la complejidad y el legado. Pero hay un gran avance hacia la racionalización de las soluciones sin contraseña en varias organizaciones.

INGO SCHUBERT
Las contraseñas existen desde hace décadas. Y sabemos desde hace al menos 10 o 15 años que son una mala idea, ¿verdad? Está bastante claro, y lo estaba desde el principio. Pero, ¿por qué han persistido las contraseñas durante tanto tiempo a pesar de esos defectos obvios? Yo diría que es porque son un factor común. Todo el mundo puede recordar algo. No es necesariamente lo mejor, pero las contraseñas existen desde hace tanto tiempo que casi todos los sistemas admiten un nombre de usuario y una contraseña. Así que si quieres un nivel básico de seguridad, ahí lo tienes. Pero ahora hay muchas formas mejores y más seguras de autenticar a alguien. Para mí, es el legado: tantos sistemas han cambiado tan rápidamente, y las contraseñas siguen siendo el factor común.

INGO SCHUBERT
Alex, ¿qué opinas de esto?

ALEX VERANO
Las contraseñas, por supuesto, son fáciles de usar e implantar para las organizaciones. Para el usuario final, también son bastante comunes. Con una contraseña, nunca tendrás problemas para iniciar sesión, siempre que la recuerdes. Pero los problemas vienen con la seguridad. No ser resistente al phishing es una preocupación importante, especialmente con todos los ataques que se están produciendo. No hay forma de mantener un esquema basado en contraseñas. Sin embargo, las contraseñas están muy extendidas porque son fáciles de implantar y de utilizar para los usuarios.

INGO SCHUBERT
Alex, has mencionado que el phishing es, por supuesto, una amenaza para las contraseñas. ¿Existen otros riesgos que las contraseñas sigan presentando hoy en día si se siguen utilizando? Rob, tal vez.

ROB HUGHES
Sí, creo que hay muchos riesgos. Hace un par de años, cuando Snowflake no exigía MFA en las cuentas y la gente lo consideraba opcional, muchos utilizaban sólo un nombre de usuario y una contraseña para proteger su almacenamiento. Esto dio lugar a una serie de robos de cuentas. Esto demuestra la facilidad con la que, si sólo tienes un nombre de usuario y una contraseña, alguien puede entrar y hacerse con los datos. También muestra lo cerca que estamos de ese límite: si utilizamos contraseñas y no activamos la AMF, nos estamos preparando para la apropiación de una cuenta. Es sólo cuestión de tiempo, porque la gente suele reutilizar las contraseñas. Ese es otro problema con las contraseñas: es imposible que alguien recuerde 50 contraseñas diferentes, así que la mayoría de la gente usa la misma para muchas cosas. Tan pronto como una de ellas se ve comprometida, toda una serie de otras cosas pueden verse comprometidas, a menos que se disponga de MFA o se opte por la ausencia de contraseñas. Entonces no tienes que preocuparte. Incluso como profesionales de la seguridad, al menos desde mi experiencia, la seguridad es difícil. Yo reutilizo algunas contraseñas, aunque con ligeras variaciones. No para las sensibles, por supuesto, pero sí, ciertamente es un problema.

INGO SCHUBERT
Alex, cuando se habla de "sin contraseña", ¿a qué tecnologías se refieren?

ALEX VERANO
Hay varios esquemas disponibles y ampliamente utilizados en la industria. Yo empezaría por la contraseña de un solo uso (OTP). Existe desde hace décadas. La idea es tener una contraseña dinámica: cada vez que te conectas a tu sitio web, tienes una contraseña diferente, y tienes un generador para generarla. El esquema OTP tiene ventajas: sigue siendo fácil de usar. Necesitas definir una configuración para ello, pero entonces básicamente puedes iniciar sesión fácilmente. Sin embargo, no es totalmente resistente al phishing, porque puede ser interceptado y un atacante puede llevar a cabo un ataque man-in-the-middle. También existen sistemas basados en PKI. PKI significa criptografía de clave pública. Tienes una clave privada en tu autenticador e inicias sesión en un sistema de servicios. Tiene una gran ventaja porque la criptografía de clave pública es muy segura, es resistente al phishing y hay una firma criptográfica sólida detrás del proceso. La desventaja es la complejidad del manejo de los certificados, que deben mantenerse en un entorno PKI. El tercer esquema es bastante nuevo, pero está evolucionando cada vez más. Está definido por la Alianza FIDO y se conoce como autenticación FIDO. FIDO significa Identidad rápida en línea. Es una norma que ya se aplica en varias plataformas. Se basa en la criptografía de clave pública, es muy fuerte y resistente al phishing, y lo mejor es que es fácil de mantener. No hay que gestionar certificados como en un sistema basado en PKI. Más o menos, estos son los estándares de la industria utilizados para la autenticación sin contraseña.

INGO SCHUBERT
Gracias, sí. Lo siento, Rob, adelante.

ROB HUGHES
En cuanto a lo que dice Alex sobre las contraseñas FIDO, sin duda es lo primero que tenemos en mente cuando pensamos en la ausencia de contraseñas. Pero también tenemos mecanismos como los códigos QR, en los que puedes utilizar algo que tienes, como tu teléfono, y algo que eres, como la biometría que proporciona el teléfono. Disponer de estas tecnologías y tenerlas al alcance de todos nos ha facilitado mucho el avance hacia la ausencia de contraseñas. Cuando hablamos de contraseñas, hablamos de algo que conoces. Para reducir el poder de ese factor, puedes utilizar un PIN, pero con los PIN puedes encontrarte con algunos de los mismos problemas. Muchos de los mecanismos más seguros se basan en algo que tienes y en algo que eres, con elementos biométricos incorporados.

INGO SCHUBERT
Así que necesitas un dispositivo para autenticarte, ya sea un teléfono móvil o un dispositivo físico como una memoria USB, ¿correcto?

ROB HUGHES
Sí, sin duda algo como las claves iShield o los tokens RSA, cosas que pueden ser el 'algo que tienes'. A veces se puede tener una combinación de ellos por redundancia o flexibilidad. Si alguien pierde su teléfono, ¿qué hace? Si tiene a mano su token iShield, puede utilizarlo y conectar su nuevo teléfono más rápidamente. Así que hay que tener en cuenta algunos aspectos relacionados con la conexión y desconexión cuando se utilizan estos dispositivos.

INGO SCHUBERT
Autenticación resistente al phishing: ¿cómo cambia esto el modelo de seguridad? ¿Paul?

PAUL MULVIHILL
Si incorporas algo resistente al phishing, será más difícil que alguien obtenga esos datos de ti. No pueden simplemente hacer que hagas clic en un enlace o sacarte la información por la fuerza, porque parte de ella se almacena contigo, pero no se basa en el conocimiento. Con una clave de acceso o un método sin contraseña con código QR, es algo que tú tienes, y no puedes dárselo a nadie. Con una contraseña o una OTP, se la puedes leer a alguien. Pero con una clave de acceso, el nivel de seguridad sube mucho, porque no puedes dársela a otra persona. No puedes llamarme y hacer que te registre con mi clave a través de tu máquina, porque el objeto físico no está contigo. Elimina ese elemento de que alguien pueda compartir su parte del proceso de autenticación, ya sea intencionadamente o no. Como técnico, nunca se dice que algo es absolutamente imposible, pero el nivel de seguridad aumenta porque no puedo iniciar sesión contigo o con otra persona, lo haga a sabiendas o no.

INGO SCHUBERT
Alex o Rob, ¿algo que añadir?

ROB HUGHES
Sí. Si se exigen claves de acceso, entonces tienes la obligación de utilizar seguridad reforzada, lo que te impide compartirla, como ha dicho Paul. Pero los atacantes pueden buscar vías alternativas: ¿qué ocurre si la contraseña no funciona? ¿Existen otros mecanismos? Sigo pensando que, sea cual sea tu mecanismo sin contraseña, va a ser mejor que las contraseñas. Veo las claves de acceso como una mejora. Si podemos imponerlas en algunos casos, te dan las ventajas de la matemática del cifrado detrás del proceso. Eso no es algo que se pueda compartir fácilmente; tiene que estar bloqueado en algo que se tenga. Pero volvemos al mecanismo alternativo si una contraseña no funciona. Es un buen punto. Es importante entender que hay más de un método con cierta resistencia al phishing. Sin duda, las claves de acceso ocupan un lugar destacado, en parte debido a la vinculación con el dominio en el que te registraste originalmente. Pero otros métodos también son fuertes en el sentido de que no puedes simplemente suplantarlos y reutilizarlos más tarde. Dependiendo del caso de uso, una clave de acceso puede funcionar u otro método puede ser mejor. Es importante poder elegir.

INGO SCHUBERT
Ahora, ampliando el ámbito más allá de lo puramente técnico, muchas organizaciones quieren una autenticación sin contraseña, ¿verdad?

Para ser sincero, no he hablado con nadie que diga "no, no quiero eso", ¿verdad? Definitivamente existe la necesidad y la voluntad de hacerlo. Pero la adopción puede ser lenta.
¿Cuáles son los mayores obstáculos? Rob, tal vez.

ROB HUGHES
He hablado con personas de seguridad con las que hacía tiempo que no hablaba y les he preguntado: '¿Ya no tenéis contraseña?'. Algunos dijeron que no. Cuando les he preguntado por qué no, creo que en parte se debe al FUD: miedo, incertidumbre y duda. No saben muy bien cómo empezar y no están seguros de tener las herramientas. La realidad es que si tienes MFA en la mayoría de los sitios, a menudo es sólo cuestión de cambiar tus mecanismos de autenticación. Depende de si se dispone de todas las capacidades. Si ya tienes capacidades de autenticación fuerte y AMF, es cuestión de ajustarlas pieza por pieza. Pero la gente no sabe por dónde empezar. A menos que se trate de una emergencia, se enfrentarán a la apropiación de cuentas aquí y allá, siempre y cuando no se apropien de toda la organización. Se enfrentarán al dolor de las contraseñas porque es lo que conocen y está arraigado en su cultura. Es bueno cuestionarlo y preguntarse: ¿qué le impide prescindir de las contraseñas? En muchos casos, la gente tiene todos los elementos necesarios. Sólo tienen que empezar a utilizarlos, pero no saben por dónde empezar.

INGO SCHUBERT
¿Alguien? ¿Alex?

ALEX VERANO
Una de las principales preocupaciones que observo es la complejidad de los sistemas back-end. Hay que tener en cuenta varios sistemas y aplicaciones, sobre todo en las grandes organizaciones. Se ejecutan en diferentes tipos de sistemas back-end, y racionalizar la gestión de identidades y accesos en todas las partes de una empresa es un reto. No basta con decir: 'Pásate a un sistema basado en FIDO'. Se necesita una ruta de migración. Lo que observo es que está ocurriendo: la migración se está haciendo, pero lleva mucho tiempo. Durante el proceso de migración, se cambia parte por parte hacia un esquema resistente al phishing. Yo diría que vemos mucho movimiento, y lo veo en un sentido muy positivo. La presión también está ahí para hacer un cambio, porque los incidentes de seguridad están ocurriendo y el riesgo de que una empresa no pueda operar debido a incidentes de seguridad es una gran preocupación. Año tras año, veo grandes movimientos en el mercado, y creo que en un par de años la autenticación sin contraseña será prácticamente la norma en todas las empresas.

INGO SCHUBERT
Has insinuado que algunas aplicaciones pueden trasladarse, otras quizá no. Así que esos sistemas heredados, ¿cómo complican la transición, Paul?

PAUL MULVIHILL
Todo depende de cómo se comuniquen esos sistemas con tu plataforma de autenticación. Siempre que hablo con los clientes, les digo que lo que se puede hacer depende del protocolo. Mi ejemplo es RADIUS. Como las contraseñas, existe desde hace muchos años. Hace lo que dice en la lata y funciona hasta cierto punto, pero tiene sus límites. Si tienes un sistema heredado que no se ha codificado, modificado o actualizado en muchos años, ¿está siquiera en un lenguaje que alguien siga manteniendo? ¿Cómo puede adoptar algo como una clave de acceso, FIDO, cambios de protocolo, inicio de sesión único, o todos los demás métodos que le ayudan a entrar en un estado sin contraseña? Puedes introducir tu nueva tecnología -claves de acceso, claves FIDO y códigos QR de inicio de sesión-, pero es posible que el sistema no entienda esa tecnología. Sencillamente, no puede manejarla. Así que puede tener una sección de su patrimonio en la que el uso sin contraseña funcione para 60% o 70% de los sistemas, mientras que los 30% o 40% restantes de los sistemas heredados ocupen 80% del trabajo. Para que todo el patrimonio sea compatible con la ausencia de contraseñas, es posible que haya que sustituirlos o encontrar algo que pueda habilitarlos o protegerlos sin contraseñas.

INGO SCHUBERT
Creo que eso nos lleva a uno de mis temas favoritos: hay que saber lo que hay y entenderlo. Sí, quieres ir sin contraseña; ese es el objetivo final. Pero, ¿dónde estamos hoy? Hay que analizar todos esos sistemas, priorizarlos según su uso, riesgo y otros factores, y luego crear un plan para pasar de A a B. Saber de dónde partimos también se aplica a la plantilla. Rob mencionó los códigos QR, y con la ausencia de contraseña hay múltiples opciones. Si tus empleados se sienten cómodos con la tecnología y ofreces varios métodos, saber con qué están satisfechos significa que puedes tener un buen plan. Si los empleados están satisfechos con los teléfonos, puede utilizar claves de acceso en los teléfonos. Los que quieran algo físico pueden tener una llave USB física. Tienes opciones porque has hecho el trabajo de concienciación sobre el punto de partida. Entonces, suponiendo que una empresa haya implantado el uso de contraseñas, ¿eso es todo o sigue habiendo riesgos? Rob, tal vez.


ROB HUGHES
Aunque disponga de un sistema sin contraseña, debe preguntarse si realmente puede considerarse 100% sin contraseña. Si utiliza Entra Microsoft, por ejemplo, es obligatorio tener una contraseña conectada a su ID de usuario. ¿Es posible utilizar Entra ID sin contraseña? Si todo lo demás es sin contraseña, quizá diga que sí. La realidad es que suele haber espacios - silos de identidad - en las grandes organizaciones, a menudo debido al legado. Algunos lugares son más difíciles de cambiar y más difíciles de introducir nuevas metodologías. En realidad, se trata de gestionarlos y de gestionar el riesgo. Yo apostaría primero por el volumen: haz que todos tus usuarios se sientan cómodos con el uso sin contraseña y, a continuación, expulsa las partes sin contraseña con el tiempo y extiende el uso sin contraseña a esos sistemas. Puede llevar tiempo, pero si se implanta la cultura de la ausencia de contraseñas, será más fácil poner de relieve las carencias e insistir en ellas.

PAUL MULVIHILL
Una de las cosas que hay que tener en cuenta cuando no se utilizan contraseñas es que muchos flujos de trabajo cambian. Si antes necesitabas una contraseña para inscribirte en algo, o una autenticación basada en el conocimiento para acceder al servicio de asistencia, ya no la necesitas. Entonces, ¿qué significa la ausencia de contraseña para las operaciones de TI y el servicio de asistencia? ¿Cómo se controla a alguien? ¿Cómo se ayuda a alguien? Se entra en el ámbito de la verificación de la identidad para la incorporación, como el uso de un pasaporte o permiso de conducir para el primer día. La recuperación de cuentas podría adoptar un enfoque similar. Si no se utiliza uno de estos métodos, el problema se vuelve importante. Hay que encontrar la manera de incorporar a alguien de forma segura. Podrías enviarle una clave de acceso de algún tipo, pero entonces alguien tendría que registrársela de forma segura, a menos que bloquees exactamente lo que alguien puede usar o controles cómo entra. Puede que tengas que decir que el proceso de inscripción requiere la presencia física en un lugar, y luego utilizar señales como parte de la autenticación para acotar las cosas. Cambia mucho la dinámica en comparación con decir: 'Te he enviado una carta o un correo electrónico con una contraseña; cámbiala cuando te conectes por primera vez'. Nada de eso existe si empiezas sin contraseña. Se trata de comprobar lo que tienes, analizar los riesgos y tomar decisiones. ¿Qué aspecto tienen esos flujos de trabajo para los distintos tipos de usuarios? Es muy probable que no haya un único flujo de trabajo que se adapte a todo el mundo. Dependiendo de tu función y del canal que utilices, puede haber distintas formas de conseguirlo.

INGO SHCUBERT
Rob, ¿qué opinas del servicio de asistencia?

ROB HUGHES
Cuando llegas a un punto en el que los usuarios no utilizan contraseñas, algunas cosas se convierten en tu nueva realidad como CISO que analiza tu programa de seguridad. Los atacantes, si no pueden apoderarse de las cuentas de los usuarios con contraseñas, buscarán otras formas. Una de ellas es la ingeniería social del servicio de asistencia. Otra es el proceso de incorporación o el registro de dispositivos. Tienes que asegurarte de que tienes una cadena sólida en todos esos eventos, y asegurarte de que impulsas la ausencia de contraseñas en todos ellos. Como ha dicho Paul, se pueden conseguir mecanismos sin contraseña para la incorporación, pero hay que pensar en cómo hacerlo. Es fácil pensar en la incorporación cuando se está acostumbrado a tener una contraseña en el mecanismo. Si recibes un portátil nuevo por correo, te va a pedir que inicies sesión, ¿cómo lo haces la primera vez? Llevar una contraseña de extremo a extremo es realmente importante.

INGO SCHUBERT
Nosotros, en RSA, tuvimos la alegría de experimentar el inicio de sesión sin contraseña durante un tiempo, y usted formó parte del equipo responsable de la función en RSA.
Entonces, ¿cómo pueden las organizaciones introducir el uso de contraseñas sin alterar la productividad de los usuarios?

ROB HUGHES
Bueno, creo que depende de si se cumplen los requisitos previos. En general, si se dispone de MFA, es un punto de partida. Si tienes la flexibilidad de los tokens de software y hardware, eso puede ayudar. Si sus usuarios tienen teléfonos inteligentes con capacidad biométrica, como Face ID u otros mecanismos biométricos, eso también puede ayudar. Tienes que preguntarte si tienes suficientes de esos requisitos previos, y luego empezar. Al ser una empresa de identidad, tuvimos nuestro mecanismo de inicio de sesión único y empujamos sin contraseña allí primero. Yo lo veo de varias maneras. En primer lugar, pones a disposición de los usuarios la opción sin contraseña: aquí tienes esto; puedes hacer esto; no necesitas contraseña. Luego se hace por defecto, de modo que la primera solicitud no sea una contraseña. Una vez que tengas suficientes datos y puedas ver si hay casos problemáticos, lo conviertes en un requisito y dices que no se necesita contraseña. Si alguien intenta utilizar una contraseña con determinados mecanismos, simplemente no funcionará. A continuación, puede pasar del SSO a la VPN, al inicio de sesión en el escritorio o incluso a la conexión inalámbrica, y tratar de conseguir la ausencia de contraseña en todo su espacio de usuario antes de centrarse en los silos de identidad. Si se hace de forma metódica, se recogen los comentarios de los usuarios y se prepara al servicio de asistencia para los posibles problemas y soluciones, puede hacerse sin grandes trastornos. También establecimos un grupo de prueba de voluntarios que querían probarlo primero, y les pasamos las nuevas tecnologías a ellos primero. Conseguimos hacerlo sin grandes trastornos. La clave es hacerlo metódicamente: no llegar de la noche a la mañana, encenderlo todo y esperar lo mejor. Hágalo pieza a pieza y aprenda sobre la marcha. Puede que descubras una deuda técnica oculta o que no todo el mundo tiene la versión correcta del teléfono para ejecutar la última aplicación que vas a necesitar. Hay pequeños problemas de este tipo, pero creo que en gran medida se puede hacer sin mucho impacto en el usuario.

INGO SCHUBERT
Sin restarle importancia, parece una implantación normal: se hace por fases, se tienen conejillos de indias -y yo me alegré de ser uno de ellos-, se prueban las cosas primero, se amplía el grupo y, finalmente, se extiende a todo el mundo. Es un planteamiento sensato, y obviamente se aplica también a la implantación sin contraseña. Es bueno oír que no hay nada revolucionario ni radicalmente diferente. Debería ser un enfoque familiar para el personal informático de todo el mundo.

ROB HUGHES
Por supuesto. Se trata de seguir las buenas prácticas de gestión del cambio. Mientras puedas hacerlo, no debería suponer ningún reto de otro mundo.

INGO SCHUBERT
Alex, ¿algo que añadir sobre el tema?

ALEX VERANO
Yo lo diría así: los hackers siempre buscan el eslabón débil, y hay tres superficies de ataque. Una es el protocolo, otra la plataforma y otra el proceso. Cuando se trata de esquemas sin contraseña, tomemos FIDO como ejemplo. FIDO tiene un diseño muy bueno. El protocolo es seguro, con una comprobación mutua de autenticidad en ambos extremos, desde el host hasta el servidor. En ese caso, el hacker no se fijará en el protocolo, sino en la plataforma. ¿Hay algún punto débil en la plataforma? Se puede implementar FIDO en varias plataformas: un teléfono móvil, un PC de sobremesa o algo como una llave iShield, una llave de seguridad FIDO basada en un chip de tarjeta inteligente. Dependiendo de la implementación en la plataforma, existen diferentes posibilidades de ataque. Con un chip de tarjeta inteligente, probablemente será lo más difícil de atacar. Ofrece una resistencia muy fuerte al phishing; ni siquiera las pruebas de penetración funcionarían en un laboratorio. Con un PC de sobremesa, depende de si está implementado utilizando un TPM o alguna otra tecnología basada en la confianza, o si se trata de una implementación débil. Si el atacante no puede atacar el esquema o la plataforma, se fijará en el proceso. Si el proceso es débil, incluso un dispositivo como éste puede verse comprometido. Por ejemplo, si el dispositivo está vinculado a un PIN y hay que desbloquear la clave con ese PIN, si el PIN se comparte y un atacante tiene la clave, puede utilizarla. Por tanto, es muy importante asegurar el proceso, y esto también implica al servicio de asistencia y a todo el proceso de implantación de la empresa. Si todas esas superficies están cubiertas por medidas de seguridad, estás a salvo. Pero no basta con decir: 'Utilizamos esquemas sin contraseña como FIDO, así que estamos seguros'. Hay que tener en cuenta el proceso, la plataforma y el protocolo.

INGO SCHUBERT
¿Suponen las contraseñas o la autenticación en general una gran vulnerabilidad teniendo en cuenta GenAI y la IA generativa? Rob, ¿cuál es tu opinión al respecto?

ROB HUGHES
Lo hacen, pero quizás no de la forma que la gente piensa. No creo que GenAI pueda predecir contraseñas mejor que los scripts y sistemas que ya existen. Se trata más bien de ingeniería social: amplifica esas capacidades. El audio, el vídeo y los mensajes de correo electrónico bien pensados o los intentos de spear-phishing reciben un impulso. Esto es importante si los atacantes están buscando credenciales básicas o incluso tratando de engañar a la gente para que entregue credenciales de tipo MFA. Ahí es donde veo el mayor impacto. Una vez que alguien tiene esas credenciales, la IA también puede facilitar la búsqueda de lugares en los que podrían ser utilizadas, porque puede buscar mucha información a la vez y proporcionar información rápida.

INGO SCHUBERT
Así que definitivamente hay un aumento del riesgo con el uso de herramientas de IA. ¿Algo que añadir, Paul?

PAUL MULVIHILL
No, creo que Rob lo ha cubierto. Hace la vida de una persona más fácil en el lado de la ingeniería social. La IA puede reunir más datos más fácilmente. En un mundo basado en contraseñas, puede que no sea capaz de decirle a un atacante la respuesta directamente, pero probablemente pueda darle más información más rápidamente para ayudarle a averiguar la respuesta.

INGO SCHUBERT
Entonces, ¿cómo ayuda la ausencia de contraseñas a las organizaciones a adaptarse a las amenazas automatizadas en general?

PAUL MULVIHILL
Los ataques automatizados, como los ataques de diccionario, son ejemplos clásicos. Si tienes un esquema sin contraseña, ese tipo de ataque ya no se aplica. Depende de lo que he mencionado antes: cómo se implementa el proceso, cómo de fuerte es el protocolo y cómo de fuerte es la plataforma. Si el proceso, el protocolo y la plataforma son sólidos, las posibilidades de ataques automatizados son casi nulas. Por ejemplo, con las claves de seguridad FIDO basadas en hardware, incluso en la era de la IA, no se conoce ni un solo incidente en una empresa que las utilice. Depende de las circunstancias y de la implementación -en cuanto a proceso, protocolo y plataforma-, pero yo diría que los ataques automatizados no tienen ninguna posibilidad si se hace bien.

ROB HUGHES
Sí, tal vez pueda añadir algo a eso también. Con ataques automatizados, y si tienes contraseñas en su lugar, hay un par de cosas a considerar desde el lado del atacante también. Hay todo tipo de herramientas por ahí, el uso de la IA y cosas para tratar de entrar y obtener la identidad de alguien. Pero con la ausencia de contraseñas, cualquiera de esos conjuntos de herramientas que se basan en contraseñas y han sido diseñados para mostrar una solicitud de contraseña, comienza a no tener sentido para el usuario. Así que al ir sin contraseña, se llega a un punto en el que ... si usted no tiene claves de acceso en su lugar, el usuario recibe una solicitud de contraseña y dicen, eso es extraño. Puede que ni siquiera sepan cuál es su contraseña en este momento. Así que es como un tipo adicional de resistencia al phishing, incluso si todavía no tienes claves en todas partes, la parte cultural de la misma. Así que si piensas en los ataques automatizados, es simplemente más difícil para ellos hacer esos ataques automatizados contra una base de usuarios sin contraseñas. Y, por supuesto, sin contraseña que requiere algo, la autenticación fuerte, por lo que algún tipo de MFA, que por sí solo, como tener MFA en todas partes, incluso si todavía hay una contraseña, que todavía le ayuda contra los ataques automatizados, ¿verdad? Y por supuesto, sin contraseña, que viene como un hecho, todo el asunto MFA.

INGO SCHUBERT
Así que, si está hablando con una organización que quiere iniciar hoy su andadura sin contraseñas, ¿qué consejo le daría?
Yo aconsejaría adoptar un enfoque gradual. Empezar con algo aplicable en un departamento o en un grupo determinado de la empresa. Haga un proyecto piloto, amplíelo y, una vez que lleve un tiempo en marcha, extiéndalo. A menudo veo proyectos de este tipo. Hacemos un proyecto piloto, lo ampliamos y luego estudiamos juntos cómo extenderlo a las distintas entidades de la organización. Esto funciona bastante bien, y recibimos comentarios muy positivos de estas implantaciones en las empresas.

ROB HUGHES
Creo que el consejo de Alex es estupendo. Todo se reduce a planificarlo, hacerlo y decidir por dónde quieres empezar. Hazlo metódicamente. No se trata de un conjunto de tecnologías tan exótico que cambie la forma de desplegarlo. Utiliza muchas tecnologías con las que los usuarios ya se sienten cómodos: Face ID en los smartphones, huellas dactilares en los portátiles y tener un teléfono cerca para usar la cámara y leer un código QR. Estas cosas ya no son esotéricas.

PAUL MULVIHILL
Muy sencillo. No hay mucho más que pueda añadir a lo que han dicho Alex y Rob. Tener opciones y paso a paso. Siempre habrá alguien que se oponga, pero si tienes opciones y sabes de dónde partes, entonces... Usted ha hecho probablemente 90% del trabajo preliminar por adelantado para poner un buen plan en su lugar.

INGO SCHUBERT
Cierto. Y si puedo añadir algo, es mi vieja manía: averigua lo que tienes y dónde estás hoy. Haz un mapa de tu entorno de seguridad y de tu entorno de aplicaciones. Averigüe qué aplicaciones existen, cuáles dependen de una contraseña y de cuáles no puede deshacerse a corto plazo. Habrá muchas que pueda mover. Priorízalas, implántalas y obtén resultados rápidos, de modo que puedas justificar el presupuesto que obtendrás para el proyecto ante la alta dirección.
La autenticación sin contraseña representa un avance significativo, pero no es una bala de plata. Eliminar las contraseñas reduce el riesgo, pero la seguridad de una identidad sólida sigue dependiendo del contexto, el control y la confianza continua. Si hay algo que extraer del debate de hoy, es esto. La ausencia de contraseñas eleva el nivel, pero es la estrategia de identidad general que la rodea la que determina el grado de seguridad real.
Gracias por acompañarnos en este episodio de RSA Identity Unmasked. Si el debate le ha parecido valioso, suscríbase a futuros episodios en los que seguiremos explorando los problemas que afectan a la seguridad de la identidad. Y para más información y recursos, visite rsa.com. Alex, Rob, Paul, muchas gracias.

PAUL MULVIHILL, ROB HUGHES, ALEX SUMMERER
Muchas gracias. Gracias por recibirnos.

INGO SCHUBERT
Bienvenidos de nuevo a RSA Identity Unmasked. Hoy hablamos de uno de los sectores más interesantes y de mayor riesgo de la seguridad de la identidad: la sanidad. Hoy me acompañan de nuevo Paul y John, y vamos a ver los retos, los casos de uso y las mejores prácticas. Comencemos. ¿Por qué la sanidad es un entorno tan especial para la seguridad de la identidad?

JON NICHOLAS
Empezaré yo si quieres, Paul. ¿Quieres empezar?

PAUL MULVIHILL
¡Por supuesto!

JON NICHOLAS
Creo que una de las cosas de las que siempre hablamos en la sanidad y uno de los primeros temas que surgen es la pila técnica que tienen y, lo que es más importante, la infraestructura heredada. Es una de las mayores áreas que hay que proteger desde el punto de vista de la identidad, porque puede que no tengan acceso a los servicios modernos de MFA. Así que la tecnología propietaria heredada es un gran reto dentro de alguien como la asistencia sanitaria, el NHS ha sido un ejemplo muy destacado en el Reino Unido.

PAUL MULVIHILL
A menudo, el Servicio Nacional de Salud (NHS, por sus siglas en inglés) está formado por muchas organizaciones más pequeñas, lo que no significa que haya un gran fondo para apoyar la infraestructura informática, sino que cada pequeño consorcio tiene sus propias responsabilidades y, por lo tanto, no pueden conseguir lo último y lo mejor porque no tienen presupuesto para ello. Si se tratara de una gran cosa, posiblemente, pero el mundo no funciona así, por desgracia, hasta cierto punto. Así que están los desafíos de cómo cada uno de ellos asegurarse de que tienen lo último y lo mejor cuando no pueden porque tienen sistemas heredados, tienen que lidiar con la migración o el mantenimiento, sólo añade desafíos adicionales de cómo llegar a un sistema moderno.

INGO SCHUBERT
Cierto. Y creo que, bueno, por supuesto, es diferente en Alemania, por ejemplo. No es tan diferente, creo, en este contexto, ¿verdad? Ya sabes, diferentes organizaciones, un montón de aplicaciones heredadas. Así que creo que es, Para ser justos, es probable encontrar que en toda Europa o tal vez incluso en todo el mundo en muchos lugares, ¿verdad?

PAUL MULVIHILL
Y hablamos del sistema heredado, si tienes algo que funciona y las tasas de error de la misma, por lo que si usted está tratando con la salud de alguien, usted tiene un sistema que las pruebas de algo, que funciona. No vas a decidir cambiarlo porque tenga dos años. Vas a destinar esa financiación a algo que es un área nueva. Así que sí, puede ser un legado, no significa que sea viejo y anticuado y pasado de moda. Sólo significa que funciona. Hay cosas más importantes que mirar.

INGO SCHUBERT
No toques un sistema en funcionamiento. Entonces, ¿qué hace que el acceso, el control y la autenticación sean tan difíciles en este entorno?

PAUL MULVIHILL
Yo diría que se trata de una mezcla de varias organizaciones. Si todos operan de forma independiente, pero hay trabajadores que saltan de un organismo a otro porque cubren una zona más amplia, ¿cómo se establece un sistema fácil de usar que permita, por ejemplo, que yo trabaje en un sitio un día, en otro, en otro organismo, en otro, en otro? ¿Hay un sistema central que lo gestione todo? Posiblemente no. ¿Voy a volver a algún sitio o voy a hacerlo un día al año en otro sitio? El número de sistemas que intentas gestionar y proteger desde el punto de vista de la identidad aumenta exponencialmente su complejidad. Estoy en 50 sitios, ¿son 50 sistemas? ¿Son 5, es uno? Si se extiende a todo el país, se añaden capas de complejidad por diversas razones.

JON NICHOLAS
Sí, y creo que es ese recuento de usuarios. Es la cuenta de usuario que a veces es tan difícil de contrarrestar porque tienes médicos que están allí haciendo los servicios médicos de primera línea que pueden ser, por supuesto, muy buenos en lo que hacen, pero no son expertos en ciberseguridad. Hay todo un equipo de apoyo al Servicio Nacional de Salud, por ejemplo, que se ocupa de la logística, la planificación y la administración. Ahora, algunos de ellos podrían ser capaces de utilizar, ya sabes, autenticar un, como un autenticador móvil, pero otros tal vez en la sala o, ya sabes, en entornos más seguros, pero sabemos que no se puede utilizar eso. Usted tiene que tener algo más, ya sabes, un token físico para
hacer su autenticación. Así que no sólo tienes una fuerza de trabajo gigante, tienes múltiples casos de uso en términos de cómo pueden autenticarse. Y luego, ya sabes, mencionaste el móvil, pero algunas personas puede que ni siquiera tengan un móvil que quieran usar. Así que de inmediato, tienes tres, cuatro, cinco casos de uso diferentes sólo para conseguir cinco personas en un sistema.

INGO SCHUBERT
Los médicos, el personal temporal, los turnos rotativos complican enormemente las cosas. Así que lo que acabas de decir. Así que eso es desde mi perspectiva de gestión de identidades, puedo ver por qué esto tiene un poco de un desafío en comparación con un lugar organizado, ya sabes, la fuerza de trabajo de la empresa, sí, donde se trabaja de nueve a cinco. Sí, es posible que tenga diferentes zonas horarias, sí, pero esto, básicamente, pone en marcha todo el camino hasta 11, esencialmente.

PAUL MULVIHILL
Sí, puede haber una gran empresa que tenga, digamos, 50 o 100 departamentos diferentes, mientras que en el sector sanitario puede haber un gran organismo que sea el sector de la atención sanitaria, pero dentro de él puede haber 50 o 100 empresas separadas que tienen cada una su especialidad y tienen que ser autónomas en su forma de trabajar, pero siguen colaborando con otras entidades dentro de ese mismo espacio. Y si hay algún problema con una de ellas, ¿qué consecuencias tiene?

INGO SCHUBERT
Así que en términos de, por supuesto, ya sabes, tenemos este dramático programa de televisión como usted sabe todo tiene que ir rápido sí, pero eso es una cosa sí que no estamos ralentizando las cosas creo que eso es que es parte del reto aquí, pero no es sólo como este hey usted sabe alguien se apresura en la sala de er y las cosas tienen que moverse rápido es también porque usted sabe mano de obra limitada que tienen que ser muy eficientes que también significa que sí que usted sabe la seguridad no puede ralentizar las cosas a causa de eso así que ¿cuáles serían los retos y como, ya sabes, las formas de lograr que?

JON NICHOLAS
Sólo en que los enormes desafíos, que no querría, si hablamos de ello desde un punto de vista de la gobernanza, de un privilegio mínimo punto de vista, usted quiere ir, a la derecha, necesitamos a todos en sólo los privilegios para hacer su papel, por ejemplo. Pero entonces el reto es, ya sabes, vas, bien, vamos a hacer este cambio, y les quitas algunos permisos por error tal vez. Y ahora no pueden operar esa pieza crítica de maquinaria o equipo en la sala que va a ayudar a salvar la vida de alguien. Así que la precisión de la toma de decisiones para hacer cumplir una solución IGA, por ejemplo, tiene que ser absolutamente de hierro fundido. Así que la capacidad de hacer cambios en ese punto es, probablemente, pasar por capas y capas de toma de decisiones, por lo que se vuelve lento. Porque lo último que queremos hacer es ir, bien, vamos a implementar este flujo de trabajo y ahora alguien no puede salvar una vida para ir al ejemplo más extremo o administrar algo de la farmacia.

INGO SCHUBERT
Pero al mismo tiempo, especialmente con la gobernanza de la identidad, por supuesto, existe, ya sabes, la solución rápida en este caso, que por supuesto no lo es, simplemente dar a todos más derechos de acceso, básicamente, más derechos que normalmente harían. ¿Es un enfoque válido? ¿Es un buen compromiso? No, solemnemente lo es, supongo, ¿verdad?

PAUL MULVIHILL
Sí, porque si una persona es hackeada, una cuenta se ve comprometida, y tienen demasiados permisos, ¿qué pasa? Puedes entrar y el conserje que se le dio todo porque son un miembro del personal en un hospital puede ir y entrar en el sistema de farmacia y obtener acceso a la medicación o el cambio de los registros del paciente Podrían tener complicaciones desconocidas por la línea para ellos. Sí, claro. Pero entonces usted tiene, como Jon estaba diciendo, de la, hay tantas ramificaciones potenciales de hacer un cambio en la aplicación de una política o la aplicación de un camino mínimo de permisos, que es casi una parálisis de riesgo. Podría implementar esta política que elimina los permisos para X, Y y Z. Si no has estado absolutamente seguro, ¿has hecho el análisis de, bien, esto afecta a 50 personas, esas 50 personas han accedido a este recurso? Si una de ellas lo ha hecho, tienes que seguir revisándolo. ¿Necesita esa persona permisos especiales? Si ninguna de ellas lo ha hecho, y lo has supervisado durante el tiempo suficiente, vale, entonces sí, podrías imponerlo, bueno, lo quitaremos. Pero existe el temor de que, si quito algo, se produzca una situación que nunca se puede prever en la atención sanitaria. Usted puede tratar de adivinar alrededor de mucho, pero nunca se puede planificar para una emergencia que ocurre cuando se necesita algo. He eliminado este permiso. Ahora que un escenario ha surgido ahora que esta enfermera o este médico o alguien tenía que ser capaz de hacer algo y de repente no pueden.

INGO SCHUBERT
No es sólo operar maquinaria. También podría ser como acceder a los datos en algún lugar, ¿verdad? Nosotros los registros de salud, por ejemplo. Así que entiendo el punto de que en una empresa normal, esto podría ser, podría ser malo si alguien tiene muy pocos derechos. No pueden hacer su trabajo, pero, ya sabes, hacen una solicitud, se aprueba. Ya sabes, es como, sí, es malo. Puede ser que sea un par de horas de retraso, tal vez al día siguiente, pero, ya sabes, no está en el mundo, mientras que en un entorno sanitario, esto en realidad, literalmente, puede significar un gran problema. Y, ya sabes, puede que no se haga al minuto, pero, ya sabes, esto realmente podría significar que alguien no recibe la atención que necesitan cuando lo necesitan.
PAUL MULVIHILL
Si se trata de una empresa y alguien consigue acceder a los datos, puede que alguien pida algo con una tarjeta de crédito que luego puede tener fullback con las tarjetas de crédito para arreglarlo o que se cancele un pedido. Quiero decir, algunos de estos son efectos bastante, no muy graves, pero si es en la sanidad, alguien cambia tu historial médico. Alguien comparte detalles que no deberían ser compartidos. Hay mucho más ramificaciones allí en lo que podría suceder. O que se filtre información que podría tener efectos a largo plazo sobre ti. Como dijiste, podría ser que algún medicamento del que dependes sea suspendido. ¿Estás cerca del final de tu prescripción con esa medicación y en realidad, ellos eliminan los detalles cuando tienes que pasar por toda la revalidación de lo que realmente, sí, lo necesito, ralentizándolo aún más, retrasándolo, lo que tiene más efectos en cadena. Es uno de esos sectores donde, lo que puede parecer un pequeño cambio en la empresa y el sector privado en la asistencia sanitaria, los problemas y las ramificaciones son como 10, 20, 30 veces potencialmente.

JON NICHOLAS
Sí, y en ese tipo de números, cuando nos fijamos en, ya sabes, una violación de datos en este tipo de escenario, como los registros médicos son muy valiosos cuando se negocian en la web oscura, más que los datos de tarjetas de crédito, por ejemplo, y una de las áreas que pueden ser utilizados sería como el fraude de seguros, que puede llevar enorme, ya sabes, monetaria, ya sabes, la compensación, supongo, si alguien está poniendo esa solicitud, que conocen su historial médico, entonces pueden hacer que el seguro hacia adelante en su nombre, y, ya sabes, eso es increíblemente lucrativo. Así que aquí es donde, ya sabes, los atacantes quieren entrar. Ellos, con suerte, dice, no quieren, ya sabes, arriesgar la vida de nadie, pero la recompensa financiera de tener estos registros médicos y luego tomarlos para obtener ganancias financieras es lo que van a buscar.

INGO SCHUBERT
Quiero decir, que la información sería perfecta de un atacante para tener como un ataque de pesca submarina en alguien. Si usted sabe ya los detalles médicos, sí, eso es sólo elevar el nivel de confianza, lo que te hace más sospechoso a ese tipo de ataques, ¿verdad? O simplemente, ya sabes, no sé, chantaje o así. Sí, hay tantas cosas que podrías hacer con esos registros, ¿verdad? Así que, sí, puedo ver eso. Así que volviendo a, ya sabes, la práctica, ya sabes, lo que sucede en realidad en, por ejemplo, un hospital? ¿Cuál es el flujo de trabajo típico de autenticación que alguien tiene que pasar?

JON NICHOLAS
No sé si serían típicos.

INGO SCHUBERT
Bueno, vale.

JON NICHOLAS
Hemos hablado de los sistemas, pero ¿qué deberían hacer? Tal vez la pregunta, pero ya sabes, siempre debe haber, siempre debe haber que MFA paso con, ya sabes, proceso adicional en el back-end, ya sabes, puedes aprovechar el acceso condicional cuando estamos hablando desde un punto de vista IAM, puedes aprovechar, voy a decir, puedes aprovechar la IA para entender si ese usuario es el usuario adecuado en el momento adecuado y hacer que se haga de forma dinámica en lugar de tener administradores tratando de improvisar políticas de acceso condicional basadas en una base de usuarios tan vasta y una pila de tecnología tan vasta, así que sí, utiliza las herramientas a tu favor y ten siempre a alguien haciendo un paso adelante cuando estén realmente en registros críticos.

INGO SCHUBERT
Así que una cosa que he notado en esta industria, creo que lo más cercano que veo es tal vez la fabricación en la planta de fabricación es dispositivos compartidos. Eso parecía ser yo no diría que la norma, pero como desproporcionadamente alta cantidad de dispositivos compartidos. ¿Cómo lidiamos con eso?

PAUL MULVIHILL
Bueno, sí, tienes una plantilla con turnos de, digamos, 8 horas, no vas a tener cada día a una persona en un puesto que tenga su propio dispositivo, así que vas a tener uno compartido por al menos 3 personas y en casos probablemente compartidos por 5, 6, 7 porque podría ser un terminal en una estación de enfermeras, ese tipo de cosas. ¿La mejor manera de protegerlo? Quiero decir, vas a poner algún tipo de credenciales en nombre de usuario y contraseña. Quiero decir, he estado en y ver a la gente con los pequeños tokens OTP, tokens de hardware, porque son difíciles de matar. Son bastante resistentes. ¿Pero es suficiente? Porque es una contraseña de un solo uso. Tienes que tener a alguien en un ordenador, iniciar sesión, usarlo. Pero están probadas y comprobadas. La gente sabe cómo usarlos y tienes un montón de gente en esta industria que podría caminar por el suelo con cualquiera de nosotros hablando sobre el cuerpo y cómo funciona su área del cuerpo darles una clave FIDO y pedirles que acostumbrarse a usar eso o móvil con empuje para aprobar la biometría es sólo un área completamente diferente para ellos pensar en eso es una especie de que Es una especie de que parte de su zona de confort y su conocimiento técnico está aquí. Pero entonces estamos tratando de decir, bueno, para utilizar eso. tienes que añadirle todos estos otros elementos.
 
INGO SCHUBERT
Además, creo que, de nuevo, no es tan diferente de otras áreas en otras industrias donde, por ejemplo, un teléfono móvil, no se puede llevar a todas partes. Hay lugares donde no está permitido llevar smartphones o dispositivos inteligentes en absoluto, y punto, ya sea por razones de privacidad, porque tengo cámaras o, no sé, como, ya sabes, no se te permite tener una conexión Wi -Fi en algún lugar porque molesta a otra maquinaria. Así que, sí, necesitas opciones, sí. Además, como, ya sabes, el generador OTP, puedes mojarlo en desinfectante, si quieres.

PAUL MULVIHILL
Sí, el otro día estuve hablando con un cliente que tenía exactamente ese tipo de situación, bueno, no es médica, pero es una situación en la que no hay teléfonos móviles. El entorno físico es de seguridad de bloqueo -wise. Así que sí, tienen el token de hardware con los códigos de acceso de una sola vez o van a mirar como las llaves Fido. Algunas de las nuevas, como la RSA iShield, incorporan el FIDO sin contacto y elementos similares. Así que mientras que en el pasado podía ser nombre de usuario y contraseña de una sola vez o utilizarlos en el código de acceso. Usted podría en el reino, está bien, ir a un ordenador, utilice el nombre, toque en él, poner el pin, y ya está.

INGO SCHUBERT
Ya está.

PAUL MULVIHILL
Aceleramos los procesos. Y hay otras áreas que están avanzando también, donde puede ser aún más simple en el futuro. Quiero decir, algunos elementos de FIDO y Passkey, que pueden retener, tipo de, empiezan a aprender un poco de lo que son, así que usted puede asociar con una persona. Así que con el tiempo, sólo tienes que acercarte con una llave FIDO, ponerla en la máquina.

INGO SCHUBERT
Por supuesto, si usted tiene este toque NFC, es menos problemas de usabilidad. No tienes que leer algo y tocar algo de nuevo donde puede salir mal que usted lee la derecha los números equivocados o tienes los números correctos y toque en mal. Así que se han eliminado esas cosas.

PAUL MULVIHILL
Y si tienes a alguien con problemas de visión, leer eso en una pequeña pantalla que gira, puede no ser fácil. Así que de nuevo, es NFC.
INGO SCHUBERT
Ya lo veo.

PAUL MULVIHILL
Cualquier persona de cualquier sector puede beneficiarse de ese elemento.

JON NICHOLAS
Probablemente uno de los sectores más críticos sea el equilibrio entre seguridad y comodidad, porque no queremos ralentizar el flujo de autenticación y acceso de la gente que tiene prisa por hacer algo importante.

INGO SCHUBERT
Así que tener múltiples métodos de autenticación es entonces importante, no sólo para un usuario, puede haber usuarios que tienen múltiples métodos, sino porque todos son diferentes tipos de roles por ahí, como se entiende, ¿no? Así que no es como si hubiera un tipo que se adapte a todos.

PAUL MULVIHILL
Sí.

JON NICHOLAS
Por supuesto que no. Desde luego, en una organización de ese tamaño.

PAUL MULVIHILL
Como has dicho sobre las distintas funciones, tienes que volver a la parte de gobernanza para asegurarte de que cada persona que desempeña su función ha definido correctamente lo que puede hacer. Una enfermera y el hospital tendrán un conjunto de cosas que deben ser capaces de hacer, un médico, otro portero o alguien en la recepción. Y probablemente ni siquiera podría enumerar la cantidad de funciones diferentes que hay y todas tienen requisitos y derechos de acceso diferentes. Así que tienes que asegurarte de que puedes mapear eso y decir, vale, esta persona tiene ese rol y asegurarte de que el proceso de gobernanza y los sistemas de ciclo de vida establecidos dicen, vale, este es tu rol, esto es lo que puedes tener y luego mapearlo de nuevo a un método adecuado para que puedas hacer tu trabajo sin pasar 20 minutos al día haciendo el paso de MFA, tal vez una o dos veces al día y luego tal vez aprovechar el lado de la IA de las cosas y algunos análisis de comportamiento para decir, vale, he entrado, Estoy en el ordenador que siempre estoy, estoy accediendo al recurso que siempre estoy accediendo, hazlo una vez, y estoy dentro, continúa.

INGO SCHUBERT
Siguiendo con la gobernanza, la gobernanza de la identidad, ¿por qué es tan importante en el entorno sanitario la unión de las palancas?

JON NICHOLAS
Creo que cuando nos fijamos en, de nuevo, he mencionado la escala mucho, pero se ve, y Paul lo ha mencionado, la gente puede moverse entre los fideicomisos, pero dentro de un fideicomiso, así, que se han movido entre los roles, probablemente con regularidad. Así que la escala de su proceso JML, quiero decir, decenas, cientos de miles de cambios por día. Así que estar encima de eso desde un punto de vista automatizado va a ser crítico. Y no sólo tenerlo automatizado, sino también tener la línea de tiempo correcta, ya sabes, vas a cambiar de rol en tres días, ¿verdad? Eso está en el sistema. En tres días cambias del rol A al rol B, se hace automáticamente en el back end. Y sabes el rol al que vas, o el sistema sabe el rol al que vas y sabe los permisos que necesitas, no es un caso en el que yo tenga que hablar con tu jefe y decirle ‘oye, Ingo se va a unir a tu equipo la semana que viene, ¿qué debería poder hacer?’ Debería ser un caso en el que Ingo se ha unido al equipo y puede hacer todo lo que necesita hacer desde el primer día.

INGO SCHUBERT
Y eso también significa que el rol A ya no está conmigo entonces si cambio de confianza por supuesto ¿sí?

JON NICHOLAS
Sí, sí.

INGO SCHUBERT
Así que esta acumulación de derechos o de tiempo, que creo que todos hemos visto en nuestras carreras en un momento dado es

JON NICHOLAS
La expansión de la identidad, si lo prefiere.

INGO SCHUBERT
Sí, sí.

PAUL MULVIHILL
Para añadir a lo que Jon estaba diciendo, si usted está saltando alrededor de diferentes sitios y diferentes fideicomisos y diferentes roles, esa cuenta que se creó para usted para el sitio A, si no estás de vuelta por tres, cuatro, cinco semanas o incluso durante dos o tres días, con el lado del ciclo de vida y el tipo de elemento de palancas de la misma, puede desactivar al instante esa cuenta. Así que no tienes el escenario de cuenta huérfana donde esta cuenta existe, tiene un nivel de permisos. Simplemente está ahí sin ser utilizada, lo que significa que es otro vector de ataque. Así que alguien no puede entrar y luego entrar en los reinos de hacer como ataques de ransomware en fideicomisos y todo ese tipo de cosas. Usted acaba, que bloquear porque no estás aquí de nuevo. Si vuelves en dos días, en dos días el sistema se vuelve a encender de nuevo.

INGO SCHUBERT
Bien.

PAUL MULVIHILL
Hasta ese momento, no es una opción. Está desactivada. No se puede utilizar.

INGO SCHUBERT
Y la visibilidad que viene con eso, quiero decir, obviamente el sistema entonces sabe, ya sabes, qué funciones tienes, qué funciones tendrás, las funciones que tenías. Creo que, y corrígeme si me equivoco, pero ya sabes, si te auditan, que parece ser terriblemente útil que la información y que la visibilidad.

PAUL MULVIHILL
Tendrías un historial completo de quién podía hacer qué y en qué momento. Así que si algo sucediera desde una perspectiva de auditoría, ¿se adhieren a estos criterios de auditoría? Sí, aquí está la prueba. Si tienes una especie de plataforma central de gobierno, todo está ahí. Así que puedes saber, sí, estamos bien, no hay problema. Y en la eventualidad de que, bueno, en el caso, esperemos que raro, de que algo ocurra, podrías utilizar el mismo conjunto de datos para decir, ¿quién tenía acceso a estas cosas en ese momento? Dependiendo de lo que el registro adicional se puede tirar en el ecosistema y entonces usted puede decir, a la derecha, bueno, estas cuentas tal vez hizo algo, pero usted podría decir, a la derecha, bueno, ¿quién tenía acceso a ella? ¿Quién podría haber hecho algo?.

INGO SCHUBERT
Eso ayuda en las investigaciones. Si las cosas suceden, quiero decir, como un buen ingeniero de seguridad, siempre se asume que las cosas van a suceder, que eventualmente serán violadas. Esto te ayuda también a, ya sabes, durante el proceso de limpieza, para ver lo que sucede, que se vio afectado.

PAUL MULVIHILL
Siempre asumes que algo, siempre asumes que es posible violarlo. Así que pones en tantos pasos y controles y equilibrios como puedas para minimizar el impacto de la misma, a menos que usted va a tomar ese equipo, desenchúfelo, en caso de que en el cemento y dejarlo caer en la zanja Areana o algo así, no va a suceder. Así que pones tanto en es que si o cuando algo sucede, es el menor impacto posible a la forma en que las cosas van.

JON NICHOLAS
Sí, creo que para añadir algo más a eso, miras los datos que obtienes de un enfoque de gobernanza, no se trata sólo de si podemos proporcionar información a los auditores. Creo que también se trata de si podemos entender lo que tenemos actualmente. Así que la madurez del proceso, hablo mucho sobre el proceso en estas sesiones, pero usted sabe, usted va, usted mira a un equipo, usted mira a sus derechos de rol. Espera, nadie en ese equipo ha utilizado este derecho durante seis meses, un año, el período de tiempo que definas, y el sistema debería decir que no se ha utilizado. Consideremos la posibilidad de suprimir ese derecho, porque puede que haya una buena razón para que ya no lo utilicen. Tal vez hay un sistema paralelo que están utilizando para hacer esa parte de la carga de trabajo. Así que tienes que en el nuevo sistema, quitar de la antigua. Pero necesitas esa inteligencia automatizada que realmente te ayude a descubrir esa información, porque de lo contrario estarás haciendo auditorías manuales completas y no sabré qué has usado en el sistema en los últimos seis meses, pero el sistema sabrá cómo lo has usado. Así que utiliza esa inteligencia para decir, bien, vamos a tomar decisiones informadas sobre el trabajo hacia la confianza cero o el menor privilegio.

INGO SCHUBERT
Sí, aquí es donde me viene a la mente el privilegio.

PAUL MULVIHILL
Entonces usted consigue el otro lado de, como usted ha dicho, usted puede comenzar a ver donde este privilegio de permiso en particular que no estaban usando. Bueno, en realidad, 80 % del equipo han estado haciendo esto, pero no es parte de su función oficial. ¿Tenemos que añadir que en lo que entonces podemos asegurarnos de que todo el equipo puede hacerlo porque tienen que ser capaces de hacerlo en lugar de 8 de cada 10, de forma individual diciendo, sí, ¿puedo tener acceso al sistema B, por favor, porque lo necesito para hacer X.

INGO SCHUBERT
Gestión por excepción, esencialmente, sí. Limpiarlo, sí.

PAUL MULVIHILL
Vamos a ir, bueno, en realidad, ¿sabes qué, 80 % de ellos lo están utilizando. Hagámoslo oficialmente parte de la función para que podamos adherirnos a las auditorías y el cumplimiento y que las clases para ir, a la derecha, sí, este equipo necesita esto. Es parte de su papel hecho. Alguien más se une, alguien más se va, apagamos ese acceso porque es parte de la función que tienen, o se lo damos a la nueva persona que está haciendo así, sólo para mantener todo en línea y la visibilidad de esto es lo que estas personas pueden hacer.

INGO SCHUBERT
¿Qué le dirías a un CIO, a un CIO sanitario, por dónde debería empezar? Porque hay muchas cosas por las que podrían empezar, pero ¿qué les diría para hacer una pequeña lista de prioridades?

JON NICHOLAS
Creo que les animaría, y ya lo están haciendo, pero la verdadera razón es centrarse en la resistencia al phishing. Creo que ahí es donde yo empezaría, porque una gran parte de la atención sanitaria depende del correo electrónico como principal método de comunicación. Y sabemos que es un vector de ataque realmente vulnerable para la pesca. Y no sólo eso, sino que los que están consumiendo esos sistemas están trabajando en entornos de alta presión. Ya sabes, se están conectando, necesitan hacer algo rápido, llegan correos electrónicos, se las han arreglado para golpear en el momento adecuado, sí, correr a través de él en estado de pánico. No en estado de pánico, pero sólo en un flujo normal y sin darse cuenta, ya sabes, liberar sus credenciales y datos a ese sitio de phishing. Así que tomando la autenticación de resistencia de phishing en eso, vamos a los que usted sabe desde el principio es sobre todo porque se trata de un tipo de comunicaciones de correo electrónico tan fuertemente centrado tipo de sector que es sin duda donde me gustaría ver.
 
PAUL MULVIHILL
Yo probablemente estaría de acuerdo en que empezar con ese tipo de resistencia al phishing parte de la cosa lo siguiente sería una especie de la visibilidad de lo que puede hacer su fuerza de trabajo por lo que tal vez un poco detrás, pero en paralelo el vamos a asegurar la puerta de entrada tipo de cosa asegúrese de que la resistencia al phishing enfoques y que están en juego, pero luego conseguir una especie de algún tipo de herramienta de visibilidad de gobierno en ejecución para decir, bien, que existe, lo que las cuentas existen, lo que pueden hacer, no hacer cambios, pero, literalmente, sólo recoger toda esa información juntos para empezar a ver en realidad la cantidad de una situación que tenemos con las cuentas y los permisos. qué se usa, qué no, quién puede hacer qué, quién no puede hacer qué. Porque entonces, una vez que tienes los datos, puedes empezar a decir, bien, estos son los cambios que puedo mirar de hacer que no tienen ningún efecto para empezar porque nadie los está usando. Pero también, ¿qué cambios tengo que hacer para que un equipo pueda hacer su trabajo de manera más eficiente en el futuro?.

INGO SCHUBERT
Gracias, chicos. Ha sido un buen análisis de la seguridad de la identidad en los sistemas sanitarios. Si te gustan este tipo de debates, suscríbete para que te avisemos cuando publiquemos un nuevo episodio. Esto fue RSA Identity Unmasked. Nos vemos el mes que viene.

INGO SCHUBERT: Bienvenidos a RSA Identity Unmasked. Hoy hablamos de un tema que a menudo se pasa por alto, la seguridad del help desk. Hoy me acompañan John y Paul, y hablamos de casos reales, los riesgos y los controles que ayudan a mitigar esos riesgos.

¿Por qué el servicio de asistencia se está convirtiendo en un objetivo? Empieza por esto.

JON NICHOLAS: Sí, estoy feliz de saltar en, ir. Creo que cuando ves el papel de un servicio de asistencia para empezar, lo inicial es que quieren ayudar a la gente. Así que cualquiera que llame al servicio de asistencia se aprovechará de esa buena naturaleza del administrador del servicio de asistencia para decir, oye, ¿puedes ayudarme con algo? Así que está bien cuando eres un empleado de una empresa, realmente necesito ayuda. Pero cuando usted es el actor amenaza llamando, pueden orar en eso y decir, a la derecha, esta persona está dispuesta a ayudarme. Y eso es realmente exagerado si también hay un proceso deficiente dentro de esa organización, porque el administrador del servicio de ayuda ya no está limitado por el proceso para decir, sólo puedo hacer X, Y, Z. Podrían ir más allá de esos límites y decir, voy a tratar de ayudarle a hacer ABC también. Ese es un riesgo real para el servicio de asistencia, que se aprovechan cuando no hay un proceso fuerte.

PAUL MULVIHILL: A esto hay que añadir que en algunos servicios de asistencia, sus KPI son, tengo que cerrar, alguien llama, tengo que cerrar el ticket, tengo que solucionarlo. Y estas son todas las cosas que si usted está hasta ninguna mercancía, voy a jugar en él. Quieres cerrar un ticket, he llamado, has creado uno, haré lo que pueda para que me des la información que quiero y superar los procesos que puedan o no estar en marcha.

INGO SHUBERT: Sí, creo que si alguna vez has trabajado en el servicio de asistencia - lo hice brevemente me refiero a sus estadísticas, cuántos tickets están abiertos, ya sabes el tiempo medio de cierre de un ticket y todo esto y, a veces está en un gran monitor, así que, creo que crea como un ambiente de alto estrés que es perfecto para los ataques de ingeniería social. Vale, sí, sí. ¿Ha cambiado eso recientemente? ¿Qué ha cambiado para que ahora sea la principal ruta de ataque?

PAUL MULVIHILL: Probablemente ha sido un ataque para una ruta durante un tiempo, pero obviamente lo hemos tenido en las noticias mucho más últimamente. Tuvimos cooperativa de Mark Spencer, JLR, Jaguar, Land Rover los últimos 12 meses. Todos ellos fueron golpeados en parte porque las mesas de ayuda fueron atacadas. Alguien se las arregló para convencer a alguien para que le diera las credenciales de una cuenta, entró, y luego se puso a hacer nada bueno, pero más o menos.

JON NICHOLAS: Sí, y me pregunto qué papel desempeña aquí la externalización de TI, porque ya no son solo los empleados de la organización A los que confían en terceros, y siempre hablamos de terceros como riesgo previo en el sector, así que ¿cuánto influye eso? y, además, puede que la rotación de personal en el servicio de asistencia técnica sea bastante breve, así que para que conozcan el proceso, sean conscientes de su responsabilidad y de cómo puede afectar a la empresa a la que prestan servicio. Tal vez haya un tipo limitado de conocimiento en ese lado también.

INGO SHUBERT: Vale. Sí. Eso y, por supuesto, si no conocen la cultura de la empresa, sí, se las ven y se las desean.

PAUL MULVIHILL: Bueno, si tienes, como has dicho, un servicio de asistencia subcontratado, puede que conozcas el procedimiento, pero no conoces a la gente. Bien. Así que, ¿qué puedes hacer para decir, vale, te estoy llamando? Nunca nos hemos visto antes. Nunca hemos estado en una oficina antes.

INGO SHUBERT: ¿Cómo sería eso, como, para un ataque real, ¿cómo podría suceder? Quiero decir, como, ¿cuál es un ataque típico en este caso? ¿Qué intenta conseguir el atacante? ¿Y cómo lo hace con él?

PAUL MULVIHILL: Podría ser, creo, desde tratar de restablecer una cuenta hasta conseguir ayuda para entrar en una red VPN. Quiero decir, estamos viviendo en un mundo donde hay una gran cantidad de medios de comunicación social en torno a lo que hace la gente. Tengo amigos que básicamente publican su vida en ellas por varias razones. Algunas tienen sentido, otras no. Así que si quieres averiguar sobre alguien, probablemente podrías empezar a rastrear fuentes y reunir un montón de información. Así que estás llamando a un servicio de asistencia y puede que hayas averiguado dónde nació alguien o el nombre de una mascota, todo esto, aquello y lo otro, para que luego puedas decir, bien, bueno, necesito conseguir un restablecimiento de contraseña. ¿Cuáles son los pasos hoy para saber, cuáles son los pasos hoy para que sepas quién soy, quién digo? Probablemente preguntas de seguridad.

INGO SCHUBERT: Correcto. Así que es básicamente una combinación de algunos, potencialmente algunos conocimientos previos que el atacante tiene, ya sea de las redes sociales. Sé que podría ser como un ataque diferente tal vez o datos que compraron y un corredor de datos, ilegal o no. Y luego con como combinado con el, ya sabes, este entorno de alta presión que donde hablamos al principio, sí, que parece ser un objetivo muy agradable y jugoso para los atacantes, ¿verdad?

JON NICHOLAS: Sí, además de eso, hablamos mucho de investigar a la persona a la que se quiere imitar, pero creo que con las herramientas actuales de las que disponemos, podemos preguntarnos: ¿qué utiliza la empresa X en su infraestructura informática? ¿Cómo es su pila tecnológica? Así, cuando tengas una conversación con el servicio de asistencia, puedes ser más creíble. No se trata de si puedo acceder a la VPN. Es como, oh, la VPN de Palo Alto no me funciona. ¿Puedes ayudarme con eso? Así que al instante, van, esto es más familiar.

INGO SHUBERT: Iba a decir, en este caso, suena como, Ya sabes, tú como el atacante, suena más familiar, lo que significa que eres uno de nosotros, sí, así que puedo confiar más en ti con un servicio de asistencia subcontratado, sí, eres uno de ellos casi porque al final, ya sabes, no eres parte de la empresa.

PAUL MULVIHILL: Vi un, se trataba de uno de los tipo de las convenciones no hace mucho tiempo, y había una persona que fue pagado para hackear empresas a través de la mesa de ayuda. y el video lo tenía acceso a los sistemas de mesa de ayuda dentro de unos 30 segundos, porque, básicamente, llamó por teléfono, se las arregló para falsificar el número de teléfono para que pareciera que era de la empresa, por lo que al instante las personas de mesa de ayuda va a pensar, "Oh, son internos". Y luego los convencieron, haciéndoles preguntas sobre - fingiendo ser el usuario o tener información de lo que eran los sistemas VPN, lo que eran, para conseguir que les ayudaran a acceder a un sitio web, que en realidad luego les dio acceso de puerta trasera en el ordenador en el que estaba la persona.

INGO SCHUBERT: Así que esto es básicamente confiar en la evidencia para la autenticación. Es más como, ya sabes, una sensación agradable y cálida y difusa que el atacante genera. ¿Es eso, quiero decir, lo que se debe hacer en su lugar? Quiero decir, como, ya sabes, ¿qué podrían ayudar a esto de manera diferente? Quiero decir, es, no suena como si fuera un problema nuevo, ¿verdad? Quiero decir, esta ayuda escritorios existen desde hace décadas, ¿verdad?

PAUL MULVIHILL: Bueno, sí, quiero decir, creo que hemos llegado a un punto en el que, quiero decir, cuando se trata de seguridad informática, somos la parte más débil de toda la ecuación. Si confías en algo que sabemos, probablemente puedas averiguarlo. Tienes que llegar a hacer algo donde hacer una autenticación con alguien con algo que tienen, que no se puede obtener de alguna otra fuente o no se puede aprender? Así que estás como haciendo algún tipo de MFA step-up, algo a lo largo de ese tipo de líneas, decir, bien, está bien, usted tiene un sistema, usted está pidiendo ayuda, probarlo. Pero no haciéndote una pregunta, porque eso puede ser.

INGO SCHUBERT: Bueno, iba a decir que la más popular son esas preguntas de seguridad como, sí, el apellido de soltera de la abuela y todo esto. ¿Cuántas de ellas son siempre las mismas?

Exactamente. Tenemos el mismo conjunto de 10 preguntas, elige tres de ellas. Es como, bueno, ¿sabes qué? Probablemente puedo encontrar esa lista e ir y averiguar cuál es la respuesta para todo el mundo.

INGO SCHUBERT: Correcto. Así que volviendo al tema general, como en general en la seguridad de la identidad es como, sí, necesitas pruebas y pruebas sólidas. Creo que mencionaste MFA. Aquí es donde entra la AMF.

PAUL MULVIHILL: Sí. Es decir, si estás en una empresa y tienes la MFA instalada, úsala a tu favor. Si John tiene la MFA configurada y llama al servicio de ayuda, úsala para demostrar que eres quien dices ser. Obviamente, no todos los MFAs son iguales, pero es mejor que nada de confiar en un, voy a investigar John y averiguar dónde nació o una soltera, soltera de la madre, esto, aquello y lo otro, y yo respondo a la pregunta. Si se trataba de un entonces un paso de usted tiene una configuración de AMF, probarlo.

INGO SCHUBERT: Entonces, ¿cómo funcionaría eso ahora? Con RSA ID Plus en este caso, porque, quiero decir, ¿qué tendría que hacer el servicio de asistencia? ¿Qué tendría que hacer el usuario final? Porque decir que haces MFA, es como, sí, eso es una cosa. Pero, ¿cómo funciona paso a paso? ¿Qué tendría que hacer un usuario?

PAUL MULVIHILL: En el caso del ID Plus, la llamada se produce entre dos personas. La persona del servicio de asistencia encuentra al usuario en el sistema y activa una sesión de verificación. El usuario final que llama conoce la URL, o se le ha enseñado la URL a la que tiene que ir y entonces dentro del punto final, es un, vale, haz un MFA. La empresa va a decidir si es FIDA, si es empujado a aprobar, biométrica, cualquiera que sea el método que elijan es aceptable. Y cuando lo consigan, obtendrán un código de verificación. Devolverlo a la persona del servicio de asistencia. Pero eso, eso es puramente un número de verificación de identidad. No es un número de autenticación. No pueden ver nada con él.

INGO SCHUBERT: Correcto. Así que no tienen que dar su actual OTP o algo así.

PAUL MULVIHILL: Hacen la OTP si están haciendo OTP. Hacen el push aprobado, la biometría de Fido. Hacen todo eso sin compartir ninguna información en ese momento. Obtienen un resultado. Dan el resultado a la persona del servicio de asistencia, que de nuevo es sólo para verificar. No es ningún tipo de autenticación. Y entonces el
La persona del servicio de asistencia dice, bien, deme este número, uno, dos, tres, cuatro, cinco, póngalo, el sistema dice, sí, esperaba que este fuera quien dice ser.

INGO SCHUBERT: Bienvenidos a RSA Identity Unmasked, el Vodcast en el que analizamos las fuerzas que configuran el futuro de la seguridad de la identidad. Soy su anfitrión, Ingo Schubert, y hoy nos sumergimos en el tema que está generando mucho calor en toda la industria, la computación cuántica. Hoy me acompaña David Lello, de Burning Tree. Entremos directamente en materia. Hoy, computación cuántica, bombo, amenaza, oportunidad, o las tres cosas a la vez. En realidad estamos retomando un debate que comenzó en Bletchley Park en septiembre del año pasado con David Lilo de Burning Tree y yo mismo, Ingo Schubert. Así que vamos a entrar directamente en ella. David, bienvenido a este episodio.

DAVID LELLO: Gracias

INGO SCHUBERT: Creo que desde el punto de vista de la audiencia, ¿podría describir en un par de palabras qué es la computación cuántica para que, una vez que haya terminado, nos encontremos en un nivel experto?

DAVID LELLO: Bueno, voy a empezar con la forma básica de ver el ordenador cuántico porque creo que si empezamos a entrar en la física teórica creo que podríamos perder a algunas personas.

INGO SCHUBERT: Sip

DAVID LELLO: Así que um con los ordenadores cuánticos los ordenadores cuánticos funcionan de una manera diferente a los ordenadores tradicionales. le estás diciendo al ordenador que haga. Con un ordenador cuántico, lo hace de manera diferente. Lo que está utilizando es la mecánica cuántica, y por lo tanto, en un mundo multidimensional de la mecánica cuántica, mira los datos y ve los datos. No lee los datos de la misma manera y, como resultado, puede plantear hipótesis y ver múltiples construcciones al mismo tiempo. Es algo así como cuando lees un libro, un ordenador tradicional lo leerá de principio a fin, con un ordenador cuántico, leerá el libro y verá los datos. Y por eso, el ordenador cuántico es capaz de procesar la información mucho más rápido. Y a la hora de resolver problemas, es como si resolviera todos los problemas al mismo tiempo en lugar de ver un problema intentando resolverlo en serie.

INGO SCHUBERT: Sí, por lo que los algoritmos son muy diferentes, por supuesto. Sí, creo que es probablemente por eso que muchos, y me estoy contando allí también, ya sabes, lucha, por supuesto, con como, ¿cómo realmente programar esa cosa. Creo que a partir de un fondo tradicional de TI, Creo que lo que me ayuda a veces la comprensión, como, ya sabes, esto es realmente una bestia diferente, es que, ya sabes, un ordenador tradicional, como cada bit, sí. Si tienes N bits, puedes almacenar N cantidad de datos. Es cero, uno, ¿sí? Con cuántica, es dos a la potencia de N, sí, que es como, de inmediato, como, si su viejo instante patadas en, es como, sí, eso es mucho más, sí, en la misma cantidad de qubits en este caso, ¿verdad? Así que, por lo tanto, el almacenamiento y el procesamiento es sólo en el nivel diferente, ¿verdad? Así que creo que vamos a dejarlo ahí porque de lo contrario estaríamos aquí durante días, ¿verdad? Sólo explicando lo básico.

Así pues, el siguiente tema que me gustaría explorar es ¿cuál es el estado actual de la computación cuántica? ¿Dónde estamos ahora mismo? Porque creo que esto probablemente, y si la gente que nos está viendo nos ha visto en Bletchley Park, tenemos algunas opiniones diferentes sobre dónde estamos, dónde estaremos. Así que empecemos contigo. ¿Cuál es el estado actual de la computación cuántica?

DAVID LELLO: Creo que la computación cuántica está aún en una fase temprana. Hay una serie de ordenadores cuánticos y se puede contratar tiempo en los ordenadores cuánticos para ver los datos. Pero creo que la forma en que se han desarrollado los ordenadores cuánticos plantea una serie de problemas. Algunos ordenadores cuánticos requieren mucho control en términos de cosas como la temperatura. Un ordenador cuántico funciona a cero absoluto, es decir, a menos 270 grados centígrados, lo que es realmente frío. Se necesitan grandes instalaciones, grandes equipos y mucha energía. De lo contrario, se pierde la cohesión y la estabilidad de la plataforma.

Los primeros ordenadores cuánticos se quemaban constantemente por este motivo. Es un problema que hay que resolver. El otro problema es que, como el ordenador cuántico mira todos los datos al mismo tiempo, crea mucho ruido. Si tuviéramos que tomar algo como la Biblia y leer la Biblia al instante, en lugar de ir a través de ella de principio a fin, se crearía una narrativa en su mente que sería incomprensible. Y tratar de digerir, comprender y destilar el mensaje se hace muy difícil.

El ruido del sistema ha creado muchos problemas. Hemos visto algunos buenos resultados en Oxford, donde han reducido el índice de error y el ruido del sistema de forma significativa. Pero probablemente el problema más importante en este momento es la cantidad de qubits que se pueden enredar a la vez, porque se empieza a perder la cohesión de esos qubits cuando se superan los 100 qubits más o menos. Así que la cantidad de qubits que se pueden entrelazar a la vez para procesar la información es limitada. Y eso significa que la potencia de procesamiento y la capacidad de la máquina son limitadas.

Así que aún no es lo que llamaríamos computación cuántica criptográficamente relevante, lo cual es un gran problema, pero está en una fase en la que se ha demostrado. Funciona. Hace lo que los científicos dicen que hace. Sólo se trata de pasar al siguiente nivel e invertir más. Cada pocos meses se producen nuevos avances o se invierte mucho en ellos, y estamos empezando a ver progresos.

INGO SCHUBERT: Sí, por lo que el, y eso es cierto. Y creo que si se comparan los ordenadores cuánticos, si nos fijamos en las imágenes de ellos, ¿verdad? De hace cinco años en comparación con los de hoy, yo todavía los llamaría parcialmente un experimento físico, pero era mucho más físico hace cinco años, ¿verdad? Si nos fijamos en la configuración física de esas cosas, ¿verdad?

Sin embargo, si bien es cierto que, ya sabes, llegar a ser como, sí, usted lanza un problema con ellos y pueden resolverlo mucho más rápido que los ordenadores tradicionales. Y parte de eso es lo que usted dijo es la cohesión. Sí, la cohesión básica es, ya sabes, si sólo se puede mantener el sistema estable durante un cierto tiempo. Y eso se suele medir como máximo en segundos, sí, o en milisegundos, dependiendo de qué chip en todo esto. Y eso es una buena cantidad lejos de ser útil en muchos casos. Ahora, hay algunos casos de uso donde tiene sentido. Piensa en ello como un coprocesador cuántico. Pero el problema que tengo con eso es que en muchos de los casos de uso, es cuestionable si se podría resolver el problema también con un par de GPUs de Nvidia, ¿verdad?

Por lo tanto, una de las cosas que veo que todavía se hace constantemente, hay un montón de bombo en este espacio de la computación cuántica también. Creo que se solapa un poco con el bombo de la IA también. También se puede argumentar, ya sabes, si eso es un bombo, es real. Pero el punto es que hay mucho bombo, mucho dinero flotando alrededor. Creo que parte de ese dinero ahora está buscando una estrategia de salida. Y la computación cuántica parece ser atractiva, ¿verdad? Así que están bombeando un montón de cosas allí y hay empresas por ahí que fundamentalmente mirar esto están sobrevalorados y también sobredimensionado en términos de lo que prometen lo que hacen y esto es en realidad va a través del espectro aquí derecho. En Bletchley Park tuve el chip sauce google como un ejemplo donde google en realidad tenía un comunicado de prensa acerca de este nuevo chip donde tenían gran corrección de errores todo esto y la afirmación de que fue recogido por también la prensa popular fue este chip puede hacer en cinco minutos lo que un ordenador tradicional puede hacer en 10 a la a la potencia de 35 años, lo que es extraordinario porque el universo tiene sólo 10 a la potencia de 25 años, así que si lo lees es como si no, no puede hacerlo, era como si esta cosa pudiera funcionar durante cinco minutos y es como si millones de millones de veces no fueran capaces de hacerlo, entonces sería así. Y si nos fijamos en algunos otros comunicados de prensa de diferentes empresas, grandes y pequeñas, hay un poco de una tendencia a exagerar lo que logran.

Y creo que, por desgracia, esto ahoga algunos de los avances reales que la computación cuántica realmente ha hecho en un par de años, ¿verdad? Y creo que lo que, y aquí es donde llegamos, hace que esta amenaza de la computación cuántica parezca mucho más real en términos de que está a la vuelta de la esquina de lo que realmente es. Pero antes de entrar en, ya sabes, por qué el mundo se acabará, si la computación cuántica aparece de repente, ¿cuáles serían los beneficios de un ordenador cuántico que tienes en mente? ¿Qué podría hacer mucho mejor que cualquier otra cosa?

DAVID LELLO: Voy a responder a eso reaccionando también a lo que has dicho sobre el ordenador cuántico en términos de dónde se encuentra en este momento. Y aunque estoy de acuerdo en que hay problemas con el ordenador cuántico, creo que estamos mucho más cerca de alcanzar la estabilidad en un ordenador cuántico de lo que se sugiere. Creo que si miro hacia atrás, creo que una de las mejores maneras de mirar hacia el futuro es mirar a la historia. Y cuando yo era joven y trabajaba en un banco, había un mainframe y era un mainframe IBM de la vieja escuela. El mainframe ocupaba una habitación. Era una habitación grande. No era una habitación pequeña. Era bastante grande. Y llenaba la habitación. Había válvulas en este ordenador central. Tenia tres tanques de enfriamiento de agua. Había piscinas subterráneas en el sótano de este banco. Esta cosa era enorme. Y sólo unos pocos años antes de eso, habían reemplazado el sistema de tarjetas perforadas de ese mainframe.

Cuando sacaron el viejo ordenador central, para lo que necesitaron carretillas elevadoras y maquinaria muy pesada, tuvieron que cortar algunas puertas porque no cabía físicamente el ordenador central. Y lo sustituyeron por un bastidor y un ordenador central que era exponencialmente más grande que lo que había antes. Hemos visto una aceleración masiva en los avances de los ordenadores en los últimos años. Y si retrocedemos sólo 30 años, ya sabes, si vas 40 años, es simplemente, es masiva, la cantidad de cambio que vemos que está sucediendo.

Sí.

DAVID LELLO: Y lo que hemos visto ahora con los ordenadores cuánticos, sí, hay indicadores tempranos y la ciencia, casi se siente un poco como ese viejo ordenador central en el sótano con los tres tanques porque se necesitan los sistemas de refrigeración, se necesita el equipo grande, se necesita todo el tipo de cosas que van con él. Hay que invertir mucho dinero. Hay que invertir mucho. Y estos problemas se resolverán. Y puede que se resuelvan antes de lo que pensamos. Y los avances que hemos visto mes a mes sugieren que estamos cada vez más cerca de la cohesión. Y por eso creo que puede estar un poco más cerca.

Y si lo hace, creo que será muy emocionante, porque lo que el ordenador cuántico puede hacer es procesar datos mucho más rápido, y no tan rápido como algunos afirman, pero como puede procesar esos datos mucho más rápido, significa que puede estudiar y resolver problemas que antes no podían resolverse.

En física teórica existe el concepto del gato de Schrodinger. ¿Está vivo o muerto? ¿Está descompuesto? ¿Qué es? ¿Cuál es el estado del gato? Bueno, el ordenador cuántico sería capaz de mirar y ver al gato en todas las posibilidades y, por tanto, sería capaz de resolver problemas importantes que no hemos sido capaces de resolver.

INGO SCHUBERT: Sí, y creo que en términos de medicina, ya sabes, plegamiento de proteínas o algo así, los ordenadores cuánticos tendrían ventaja sobre los ordenadores tradicionales, seguro, ¿verdad? Y hay otras cosas donde, ya sabes, simplemente todo con una cantidad masiva de datos que necesitan ser procesados, ya sabes, el pronóstico del tiempo sería una cosa, como, ya sabes, cualquier cosa, datos geológicos, hay un poco de casos de uso que se beneficiarían de la computación.

Ahora, volviendo a como esto es antes de su punto tan pronto como usted podría pensar que es como yo no lo creo, porque no es una línea recta donde va esto sucedió en el pasado con los transistores que sucede de nuevo por lo que podría no ser es como la lotería sólo porque usted ganó la última vez no significa que usted no gana la próxima vez que se inicia a partir de cero cada vez y sobre todo con la cohesión, si hablas de, vale, un par de cientos de qubits, quizás un par de miles, para ser un ordenador cuántico universal que, por ejemplo, pueda ejecutar el Algoritmo de Shor, lo que sería una amenaza para la criptografía. Estás hablando de un par de cientos de miles de qubits, ¿verdad? Y en el camino hacia eso, podríamos chocar contra un muro en alguna parte, ¿verdad? No hay garantía de que vayamos a resolver esos problemas. Podríamos, y de hecho, sí, seguro, podría haberlas, pero no hay garantía. Y al mismo tiempo, un ordenador cuántico tiene que sobrevivir comercialmente en un entorno en el que hemos visto cantidades masivas de aumento en la potencia de cálculo en todo el mundo, gracias a las GPU esencialmente, ¿verdad? Gracias a la IA. Bueno, antes era toda la locura de Bitcoin, ahora es la IA. Así que sin tener avances como los avances fundamentales en el diseño de chips. Quiero decir, sí, se hacen más pequeños con esto. Aumentamos masivamente la potencia de cálculo, tanto que básicamente el factor limitante es ahora la energía, ¿verdad? Así que la energía eléctrica.

Y en ese entorno, un ordenador cuántico tiene que sobrevivir. Ahora, usted puede hacer el argumento de que, hey, especialmente para aquellos, ya sabes, descifrar claves, ya sabes, algunos gobiernos lo harán, bien. Sí, eso está bien. Tienen suficiente dinero. Realmente no se preocupan por eso. Bueno, tal vez debería importarles. Son nuestros impuestos, pero asumamos que no les importa.

Existen casos prácticos de uso de la computación cuántica en el camino hacia un ordenador cuántico universal plenamente operativo. Creo que eso es indiscutible. No digo que no sea así. Y hay buenos casos de uso para eso. Como he dicho, como, ya sabes, el plegamiento de proteínas, por ejemplo, en la investigación farmacéutica, ¿verdad?

Pero hablemos de las amenazas, ¿vale? Y no estoy hablando de consumo de energía, todo eso porque tenemos que hoy en día con las unidades tradicionales, ¿verdad? Quiero decir, las amenazas en particular a la seguridad informática y luego es la seguridad, ¿no? Porque hay algunos, ya sabes, he mencionado algoritmo de Shor, así que tal vez deberíamos, ya sabes, explicar brevemente, ya sabes, lo que esto es y cómo afecta a la seguridad.

DAVID LELLO: Si, entonces um con el ordenador cuántico porque puede procesar esa información y los datos mucho más rápido um es capaz de usar el algoritmo de Shaw para hacer ingeniería inversa um claves criptográficas um y por lo tanto um cuando tengamos un ordenador criptográfico, cuántico relevante, sería capaz de romper esas claves en segundos, minutos.

Sí.

DAVID LELLO: Y, por tanto, la mayor parte de los datos que consumimos, utilizamos y a los que accedemos serían vulnerables a los ataques.

INGO SCHUBERT: Sí. Y el argumento de Schor, como he mencionado antes, ya sabes, hoy en día no hay un ordenador cuántico que pueda ejecutar esto porque se necesitan cientos de miles de qubits en cohesión y funcionando durante algún tiempo. Así que sí, es un par de segundos, pero incluso un par de segundos son un problema hoy en día para algún ordenador cuántico. Así que en realidad esencialmente rompería o invalidaría en cierto sentido, el algoritmo RSA, sí, por lo que una clave pública privada, usando RSA, pero también usando Diffie-Hellman y usando curvas elípticas, ECC. Así que básicamente todos los que son populares y que se han utilizado durante el último par de décadas serían esencialmente rotos, ¿verdad? Se romperían con un ordenador cuántico. Por supuesto, los ordenadores tradicionales seguirían luchando como siempre, así que no es una amenaza.

Y sí, así que si esto se rompe, quiero decir, esos algoritmos se utilizan en todas partes, ¿no? Así que estos son, ya sabes, tu TLS tradicional, una comunicación de servidor web, de un cliente a un servidor web, VPNs, firmas de correo electrónico, cifrado de archivos que se envían alrededor y todo esto, ya sabes, todos ellos a menudo se basan en RSA, ECC, y o Diffie-Hellman, ¿verdad? Así que, quiero decir, eso sería, en realidad se podría llamar catastrófico.

DAVID LELLO: Lo sería, absolutamente. Sería completamente catastrófico. Creo que hay, cuanto más miro en él y los casos de uso más que en realidad, más sistemas fallarán. Es un problema global. Como la autenticación y la autenticación en el sistema financiero. Incluso cosas como Bitcoin se ven comprometidas. Usan encriptación de curva elíptica y se vería comprometida. Entonces tienes un colapso completo del sistema financiero como consecuencia de ese compromiso.

Así que, sí, puede ser absolutamente catastrófico. Creo que podemos ver grandes problemas en los típicos casos de uso generalizado, pero también en problemas más pequeños y menos públicos en los que la gente no siempre piensa, así que cuando empezamos a hablar de IoT y OT y empezamos a pensar en dispositivos médicos y equipos médicos, la capacidad de ponerlos en peligro. Usted sabe, usted toma una persona que lleva una bomba de insulina.

Si puedo comprometer la encriptación de esa bomba de insulina, puedo matar a alguien.

Sí.

DAVID LELLO: Eso es, ya sabes, de repente, la criminalidad detrás de estas cosas puede llegar a ser exponencialmente más significativa. Y empezamos a ver cosas como Minority Report y Terminator tipo de casos de uso de las cosas que suceden.

INGO SCHUBERT: Ahora sí. Esto se acaba de poner interesante ahora, sí.

De acuerdo, pero volviendo a la disponibilidad de los ordenadores cuánticos, eso no ocurrirá de la noche a la mañana porque no será de un día para otro. Supongamos que alguien, sí, finalmente consigue un ordenador cuántico con, ya sabes, 200.000 cubits donde puede ejecutar el algoritmo de Shor, por ejemplo. Normalmente es alrededor de un millón. Hay algunas investigaciones que dicen que sólo necesitas alrededor de un par de 100k qubits. No es como si de repente todo el mundo tuviera un ordenador cuántico. Sólo un par de gobiernos y centros de investigación tienen acceso a la computación cuántica. No es que todos los ciberdelincuentes tengan acceso a ella.

Pero la amenaza es real. Creo que se parece un poco al problema del año 2000. Lo veíamos venir desde hace tiempo, pero hicimos cosas para mitigarlo y resultó ser una hamburguesa de nada.

DAVID LELLO: Pero sólo porque hicimos algo.

INGO SCHUBERT: Exactamente. Sólo porque hicimos algo, ¿verdad? Así que si no hubiéramos hecho nada, que probablemente habría sido un gran problema y hemos hecho algo y resultó estar bien, ¿verdad? Y creo que probablemente será similar en este caso aquí porque hay cosas que se pueden hacer, lo que nos lleva al siguiente trabajo.

Sí, por lo que podría estar en desacuerdo cuánto tiempo vamos a tener, ¿verdad? Así que sólo como tirar esto por ahí, había un informe de MITRE, por lo que como un gobierno - financiado por el instituto de investigación en los EE.UU. un informe reciente a principios de año y ponen este algoritmo de Shor en algún lugar como principios de 2040 probablemente más 2050 alrededor así que no es como si tuvieran un incentivo para empujar a la derecha por lo que era un informe sólido allí, pero incluso si usted dice como esto es mucho antes, es poco probable que sea antes de 2030. Creo que es muy poco probable, a menos que ocurra algún milagro. Entonces, ¿qué puedes hacer hoy para prepararte para este apocalipsis cuántico?

DAVID LELLO: Creo que definitivamente va a ser mucho más rápido que 2050. Creo que, ya sabes, odio tratar de predecir porque es una cosa imposible. Ya sabes, cuando uno trata de predecir el futuro, inevitablemente fallas porque no tenemos una mente sobrenatural.

INGO SCHUBERT: Bueno, reunámonos en 2055. A la misma hora, sí, para que podamos hablar de esto. Si todavía estoy en el interior.

Por supuesto. Hagámoslo. A la misma hora, en el mismo lugar. Hagámoslo. Muy bien, pero si es antes, creo que vamos a ver cómo podemos celebrar ese evento porque creo que con cualquier avance en la tecnología, un gran avance sucede, y sucede en un momento en el tiempo. Puede ocurrir la semana que viene. Puede ocurrir dentro de 10 años. No lo sabemos. Pero va a ocurrir, de eso estoy seguro, porque la ciencia está ahí. Es creíble. Es real. Usted sabe, un campo de girasoles es capaz de mantener la cohesión en este momento. La estabilidad está ahí a temperatura ambiente, en un campo, con todas las cosas que están sucediendo a su alrededor. Animales corriendo por debajo y la contaminación y todo lo demás. Un campo de girasoles puede tener cohesión.

INGO SCHUBERT: Así es.

DAVID LELLO: ¿Por qué lo hacen tantos científicos?

INGO SHCUBERT: Sí, pero tienen un par de millones de años para evolucionar, ¿verdad? Ese es mi punto. Estoy de acuerdo con eso, pero tienen un poco de ventaja, ¿verdad?

DAVID LELLO: Volviendo a la cuestión es, creo que uno de los problemas que tenemos, y nos metimos un poco en Bletchley Park, es que lo que tenemos en este momento en términos de práctica y lo que llamaríamos buenas prácticas en torno a la gestión de claves criptográficas, creo que muchas empresas han fracasado. Así que cuando se trata de eventos, hace unos años, tuvimos la vulnerabilidad SSL, y todo el mundo se apresuró a sustituir las claves. Y eso significó que las organizaciones se volvieron mucho más ágiles en términos de cómo rotaban sus claves TLS, lo cual es fantástico. Eso resuelve una buena parte del problema. Si tienes agilidad en tus claves TLS, significa que puedes cambiarlas. Puede que tengas que hacer algunas pruebas por el camino para asegurarte de que todo funciona.

Pero las organizaciones pueden empezar a pensar ahora en su autoridad de certificación y en cómo emiten sus claves y cómo sustituyen sus claves a nivel de TLS. Y eso está bien. El problema que nos encontramos es cuando entramos en una organización es 20 a 30, tal vez incluso 40% de claves no se gestionan de esta manera. Muy a menudo una gran cantidad de hardware ha incrustado claves en ella dentro de una pieza de infraestructura de hardware y algunas de estas piezas de hardware puede vivir alrededor de 20 años y la capacidad de cambiar las claves dentro de ese hardware significa cambiar el hardware.

También tenemos un montón de malas prácticas en la codificación, especialmente en los días de las construcciones monolíticas donde las aplicaciones tienen claves incrustadas dentro de las propias aplicaciones. Y cuando empezamos a pensar en no sólo han sucedido.

INGO SCHUBERT: Creo que ese es mi punto. Eso fue una mala práctica, independientemente de la computación cuántica o no.

DAVID LELLO: Lo es. Y cuando empezamos a pensar en esta idea del Día Q, que en el efecto 2000 fue fácil porque teníamos una fecha. No tenemos una fecha con el Día Q.

INGO SCHUBERT: Muy buena observación.

DAVID LELLO: Pero cuando finalmente llegue, y puede que llegue mañana, o puede que llegue dentro de 10 años, o si estás en lo cierto dentro de mucho más tiempo, entonces nos encontramos en una situación en la que una buena parte de la organización y sus claves no son fácilmente reemplazables, y vamos a entrar en pánico. Vamos a tener un problema masivo, masivo a medida que los datos se vean comprometidos.

Pero también, el otro problema que tenemos es algo que me preguntan mucho y es la amenaza de ‘recolectar ahora y descifrar después’. Y hemos visto el robo de datos cifrados durante años, quiero decir, en este país con David Cameron, dijo que todos nuestros datos han sido robados por China, pero no importa. Están encriptados. Así que volviendo unos años atrás, ese tipo de afirmación es cierto en este momento, dadas las tecnologías que tenemos en el tiempo con un ordenador cuántico, que se convierte en un problema. Y sí, por supuesto, los datos envejecen.

INGO SCHUBERT: Pero algunos de esos datos seguirán siendo relevantes. No todos, pero sí algunos. Así que creo que es lo mismo. Al igual, se quedaron por ahí que como, sí, ya sabes, si se pone, si se descifra como en cinco años, como, a quién le importa, ¿verdad? O en 10 años, sí. Así que usted puede hacer un argumento que muchos de los datos de identidad para la autenticación, si eso se, ya sabes, descifrado en cinco o 10 años, como, que realmente no importa mucho porque es obsoleto para entonces. Pero hay muchos datos estratégicos donde, sí, esto podría perjudicarte durante décadas, ¿verdad? Y ni siquiera tiene que ser un estado. Usted podría ser sólo una corporación normal, empresa normal.

Exactamente.

INGO SCHUBERT: ¿Y cuál es el caso?

DAVID LELLO: Quiero decir, ya sabes, la cantidad de organizaciones en las que entro donde hay sistemas heredados. De hecho, estuve en una organización no hace mucho tiempo donde había una aplicación. La trataban como una caja negra, y la trataban como una caja negra porque el código fuente se había perdido. La persona que lo escribió, hace tiempo que se fue, no lo toques. Si se cae, la respuesta es enciéndelo o apágalo, enciéndelo de nuevo y reza porque es lo único que puedes hacer. No hay nada que puedas hacer. Y este sistema controlaba todos los accesos en sus tiendas, todos los accesos en sus tiendas. Y si se ve comprometida, si se derriba, se derriba la organización.

INGO SCHUBERT: Punto único de fallo.

DAVID LELLO: Punto único de fallo. La cantidad de organizaciones a las que acudimos en las que existe ese punto único de fallo es extraordinaria. Las organizaciones tienen que empezar a pensar en cómo modernizar su infraestructura de gestión de identidades y accesos. Cuando empezamos a pensar en la gestión de identidades y accesos, la gestión de identidades y accesos es la ruta hacia todo. Lo hemos visto con los últimos ataques de ransomware que se han producido en Alemania, así como aquí en el Reino Unido, Italia y otros lugares. Estos ataques de ransomware tienen como objetivo los sistemas de control de acceso. Se dirigen a la autenticación porque es un objetivo fácil y blando, tanto si se trata de un directorio activo como de un sistema como el que he descrito, la capacidad de comprometer el acceso hace caer la organización, detiene la comunicación, detiene la capacidad de acceder. Modernizar la gestión de acceso a la identidad en este contexto va a ser una de las grandes prioridades.

INGO SCHUBERT: Sí, sí. Es difícil argumentar en contra de eso porque, ya sabes, porque eso tiene sentido, no importa cómo se mire, ¿verdad? Creo que cuando volvemos a la gestión básica de claves de cifrado criptográfico, muchos clientes no saben lo que tienen, ¿verdad? No tienen una buena visión de dónde cifran, dónde están las claves, dónde firman digitalmente. No tienen esta visión de conjunto. Creo que eso es parte del problema, ¿verdad? Porque no puedes arreglar lo que no sabes que existe. Muchos de los clientes lucharon simplemente con la higiene cibernética básica. Eso es lo que veo en una base constante, por desgracia, ¿verdad? Justo esta mañana en una llamada sobre un cliente que está ejecutando un software RSA de 20 años de antigüedad, 20 años de antigüedad, ¿verdad?

DAVID LELLO: Wow.

INGO SCHUBERT: Así que, en realidad, llamaron a nuestro soporte por algo, y el soporte no podía responder, y es como, sí, claro, ya sabes, probablemente el personal de apoyo que estaba respondiendo a la llamada telefónica probablemente estaba en el jardín de infancia cuando ese software salió, ¿verdad? Por lo tanto, mi punto es que mientras no hagamos esta higiene cibernética básica y la visibilidad, en primer lugar, no se puede llegar a este estado cuántico listo, sí, donde usted está listo para el día Q. Eso no es posible.

Mi opinión es que no puedes preocuparte por la computación cuántica hasta que arregles eso, ¿verdad? Porque si no sabes qué software estás ejecutando, si no lo mantienes actualizado, por supuesto dependes de que los vendedores arreglen esto, como si estuvieras implementando criptografía post-cuántica, por ejemplo, ¿verdad?

Pero si el software sale con la nueva versión, con todas estas cosas bonitas de la computación cuántica y no lo instalas, hace que uno no exista, ¿verdad? Y llegando a eso, incluso si lo haces, si tus políticas y procedimientos en torno a, por ejemplo, como la gestión de datos, si no son correctos, ¿de qué estamos hablando aquí? Así que si el atacante puede simplemente llamar a su servicio de asistencia y pedir la entrada, no necesitan un ordenador cuántico para hacer eso, ¿verdad? No lo necesitan hoy. No lo necesitaron ayer. No lo necesitan mañana. Simplemente llaman a tu servicio de asistencia si tus políticas no son correctas y obtienen acceso.

Así que hay muchas cosas que pueden salir mal, salieron mal y saldrán mal, que no tienen nada que ver con los ordenadores cuánticos. Y mi temor es que la gente esté mirando esta cosa cuántica, este Q-Day, y se distraiga con este bonito y brillante juguete, ¿verdad? Mientras que tienen tantos deberes que hacer, que probablemente no se han hecho durante décadas, ¿verdad? Y, por supuesto, se puede argumentar que, hey, ya sabes, tienes que hacer eso, tener visibilidad, ya sabes, tener parches en su lugar, arreglar tus procedimientos. Si se necesita esta amenaza de la computación cuántica para que un cliente haga eso, que así sea, ¿verdad? Podría ser feliz.

Pero una parte de mí dice, no, porque ¿qué pasa si nos encontramos con un obstáculo con la computación cuántica? Y como, por un par de años, no hay ninguna ventaja real o avances y luego te vas como ah eso es como usted sabe 2060s como voy a estar voy a estar mucho tiempo fuera de la fuerza de trabajo por lo que no tiene que preocuparse por eso y que es el enfoque equivocado, porque usted debe fijar que no importa qué.

Voy a dejar caer algo de conocimiento sobre usted sí algunos algunos nombres cayendo sí filósofo alemán Emmanuel Kant sí ahora no corte ese editor sí eso es k eso es k. Eso es K -A -N -T, ¿verdad? Así que le llamo Emmanuel a partir de ahora, sí.

Así que filósofo alemán, siglo 18, y muchas cosas inteligentes que dijo. Pero una de las cosas que creo que es una de las más inteligentes es que haces lo correcto porque es lo correcto, ¿verdad? No porque te haga ganar puntos con alguna deidad o algo así. Lo haces porque es lo correcto.

Y tener una buena visión general de dónde encriptas, cómo encriptas sobre políticas, procedimientos y parches y todo esto, eso es lo que hay que hacer, independientemente de si la computación cuántica está a 10 años, 20, 30 años. No importa. Tienes que hacerlo. Ahora, deberías haber estado haciendo eso durante los últimos 20 años. Eso es esencialmente un punto. Creo que aquí es donde estamos de acuerdo. Sí, absolutamente. Creo que discrepamos en la motivación, porque tenemos opiniones diferentes sobre dónde está y dónde estará la computación cuántica. Pero absolutamente, si hay un cliente que dice que necesito estar preparado para la cuántica, el esfuerzo no es en vano.

DAVID LELLO: No, en absoluto. Creo también, Ingo, una de las cosas que es una realidad que siempre estoy siendo desafiado porque pasamos mucho tiempo con los consejos de administración de las grandes empresas hablando con los directores financieros y similares y una empresa existe con el fin de suministrar un producto o un servicio y si está en el sector privado para obtener un beneficio a menos que, por supuesto, es la caridad, pero no vamos a preocuparnos por eso por lo que la idea de realmente gastar dinero sólo porque es lo que hay que hacer, donde me da un rendimiento negativo se convierte en difícil y desafiante para la gente financiera para darse cuenta realmente. Invertir en algo porque es lo correcto se convierte en una discusión filosófica. No creo que sea necesariamente el enfoque correcto.

INGO SCHUBERT: Bueno, sí, absolutamente.

DAVID LELLO: Aunque estoy de acuerdo contigo, absolutamente 100%, ya sabes, desde una perspectiva de fe de, ya sabes, lo que creo, siempre querría hacer lo correcto. Pero la realidad es que las empresas no existen para eso. No existen para hacer lo correcto. A veces son un poco inmorales.

INGOSCHUBERT: ¿En serio? Es la primera vez que oigo eso. Permítanme tomar nota de eso.

DAVID LELLO: Creo que lo que haces es verlo de una manera diferente y creo que una de las realidades que vemos y que resuenan y la gente entiende es medir y reconocer y darse cuenta de cuál es mi exposición al riesgo asociado con un entorno determinado y tenemos que vincularlo a algo que sea tangible, tenemos que volver siempre a cómo construir un caso para el cambio en este mundo, sí, y ¿qué aspecto tiene el cambio? Sabes, uno de los retos que nos planteamos, porque cuando empezamos a ayudar a las organizaciones a responder a este problema, es que en realidad no hay un marco que se ocupe de la preparación cuántica. No existe.

Así que fuimos y escribimos una. Escribimos una norma para decir, aquí hay un enfoque para mirar a la cuántica. Tomamos varias normas diferentes del NIST y las buenas prácticas, ISF y varias cosas diferentes para poder llegar a un modelo y un marco para que podamos empezar a verlo. Pero lo que eso hace es que nos permite empezar a mirar y decir, bueno, cuando se toma un sistema como ese sistema de identidad que gestiona todo el acceso que es un entorno de caja negra, ¿cuál es mi exposición al riesgo de tener una máquina como esa? Y voy a tomar cuántica fuera de él por completo. ¿Cuál es mi riesgo? ¿Realmente entiendo mi riesgo? Si eso se cae, ¿qué le pasa a mi entorno? Y si puedo apreciar ese riesgo, tengo que hacer algo al respecto.

INGO SCHUBERT: Oh, y esto es, quiero decir, al final, esto es la gestión adecuada del riesgo, que veo que falta en muchas corporaciones u organizaciones en general, ¿verdad? Y eso es lo que realmente hay que hacer y debería haberse hecho durante años y debería hacerse hoy, independientemente de la computación cuántica o no. Ese es mi punto.

Claro que no lo hacen porque es lo correcto, ¿no? Es un argumento financiero difícil de sostener. Estoy completamente de acuerdo contigo en eso. Pero hay todas las otras amenazas por las que deberían estar haciendo esto, ¿verdad? Y de nuevo, si usted necesita para vender este concepto de ver todo esto y averiguarlo y tener una gestión adecuada de los riesgos debido a la computación cuántica, ser mi conjetura, ¿verdad? Creo que es absolutamente el camino correcto. Si esa es la palanca que necesitas para conseguir la firma, oh, sí, absolutamente hazlo. Porque al final, incluso si la computación cuántica está todavía a 30 años vista, todavía te beneficias hoy. Porque tener esa preparación te ayuda a estar seguro hoy también. No estás malgastando el dinero. Sí, así que creo que eso es perfectamente lo que hay que hacer. Y hay algunas recomendaciones y algunos marcos de la europea, así por ejemplo, en realidad dicen que en 2026, que para ser franco usted debe tener ya si quieres ser DORA compatible. Quizás vuelvas a ver las mismas cosas porque no ves que algunos lo estén haciendo. Así que visibilidad y gestión de riesgos para 2026 y luego una preparación cuántica de alguna forma para 2030 para alto riesgo y 2035 para riesgo bajo y medio, ¿no? Así que parece estar muy lejos, pero, ya sabes, ya, como, a finales de 2025, cuando grabamos esto, la liberación es 2026.

Así que es como, sí, esto es como sólo un puñado de años de distancia. Y si usted está volviendo al principio de nuestra conversación, si nos fijamos en el efecto 2000 problema, sí, si usted comenzó en 1999, usted está probablemente bien, como un poco tarde para esto, ¿verdad? Así que tienes que estar preparado ahora, absolutamente, cierto.

DAVID LELLO: Creo, creo que una de las cosas que usted trajo a colación allí, que creo que es un punto fascinante en términos de psicología humana, es la normativa, la normativa europea y cosas como Dora. Los reglamentos sólo entran realmente en vigor porque las empresas son negligentes en hacer lo correcto.

INGO SCHUBERT: Sí, absolutamente.

DAVID LELLO: Y como no están haciendo lo correcto, los legisladores dicen que vamos a tener un problema importante en el país a menos que lo examinemos. Así que las leyes entran en juego cuando hay que hacer algo. En el Reino Unido, el NCSC ha puesto en marcha directrices sobre el quantum. Y tenemos DORA en Europa. Y lamentablemente debido a Brexit -

INGO SCHUBERT: Usted trajo tup no lo hice.

DAVID LELLO: Estamos empezando a examinar nuestro proyecto de ley de resiliencia. Así que el proyecto de ley de resiliencia se ha publicado para comentarios públicos. Así que la primera edición se ha publicado y los comentarios están ocurriendo. Y así tendremos una lectura en el Parlamento en algún momento pronto. Esperemos ponernos al día con el resto del mundo en este tema en particular.

INGO SCHUBERT: Bueno, excepto Estados Unidos. EE.UU. parece ser como, ya sabes, este lugar salvaje en el mapa, sí. Sí, realmente lo es. Sí, es como, y veo que hablando también con colegas de EE.UU., sí, es como, sí, realmente no tenemos eso, ¿verdad? Pero en todas partes del mundo, parece ser como, la resistencia, la gestión de riesgos parece ser un poco más maduro en términos de reglamentos y la pérdida, sí, que es-

DAVID LELLO: Tienes que tenerlo.

INGO SCHUBERT: Tienes que tenerlo, ¿verdad? Y cuando usted lee a través de ellos, y usted tiene probablemente tanto y probablemente más que yo, algunas de esas cosas como es cegadoramente obvio, tener una adecuada gestión de riesgos. Es como, usted debe saber, si esa cosa se cae, que acaba de conocer las consecuencias, ¿verdad? Por supuesto que deberías porque tu negocio está haciendo dinero y hay algo que le impide hacerlo. Deberías saber por qué y cómo solucionarlo. Y sin embargo, no lo hacen hasta que se ven obligados por la ley que es lo que es triste en algunos en cierto sentido la derecha

DAVID LELLO: Tristemente, la naturaleza humana entra en juego. Sin embargo, lucho con ello porque no son cosas difíciles, ya sabes, considerar el riesgo y la gestión del riesgo no es difícil.

INGO SCHUBERT: No, pero llevan su tiempo.

DAVID LELLO: Y lleva tiempo, pero hay tantas tecnologías diferentes que pueden ayudar a simplificar el proceso. Ya sabes, los ordenadores están diseñados para automatizar el proceso. La razón por la que tenemos ordenadores es porque tenemos procesos manuales que requieren ejércitos de personas para hacer algo. Con los ordenadores, podemos automatizar todo ese proceso. Y con los sistemas modernos, podemos automatizar aún más. Usted sabe, usted toma cosas como la gestión de la vulnerabilidad. Si tienes un entorno modernizado y tienes un escáner de vulnerabilidad desplegado, tienes una visibilidad relativamente buena en términos de cuál es tu riesgo tecnológico.

INGO SCHUBERT: Sí. Lo mismo para nosotros. Gobierno de la identidad. Al final, no es ciencia de cohetes. Sí, claro. Vas a conectar todos los sistemas diferentes, tal vez crear algunas reglas y todo esto. Pero entonces usted tiene que la visibilidad y usted tiene la vista de usted como, ya sabes, en términos de segregación de funciones, el cumplimiento y usted tiene eso. Y sí, es trabajo. Sí, es la inversión en términos de dinero y tiempo, por supuesto, pero usted consigue algo de él.

Sí.

INGO SCHUBERT: Correcto. Además, creo que la gente no se da cuenta de que la gestión de riesgos probable también te da algo a cambio, porque descubres cosas que quizás no deberías invertir tanto dinero en esta seguridad o estás haciendo que esta cosa resista porque no tiene un impacto tan grande, mientras que en la otra deberías invertir más, porque si eso falla, pasan cosas malas. Creo que eso también, y por supuesto no te das cuenta, porque si no haces una gestión de riesgos adecuada no tienes esa visibilidad, así que ¿cómo tomar esa decisión? Así que la gente es, básicamente, las organizaciones están perjudicando a sí mismos por no hacer esto, ¿verdad?

DAVID LELLO: Y la gobernanza de la identidad tiene mucho que ver con permitirlo y ayudar. Sí. Ya sabes, cuando hablo con muchas organizaciones sobre la identidad, la identidad no es una de esas cosas de seguridad que haces porque, ya sabes, es una póliza de seguro. La identidad es un facilitador. Es un verdadero habilitador de negocios para ayudar a las organizaciones a ser más eficientes y más eficaces en términos de cómo la gente tiene acceso. Pero lo fundamental es tener el acceso adecuado en el momento y el lugar adecuados, y contar con modelos de gobernanza que realmente lo dirijan. Así que cuando empezamos a examinar los controles de ITGC y los sistemas financieros, y empezamos a ver cómo debe crearse el acceso en los derechos, la segregación de funciones y los mandatos que conlleva. Estas cosas no son nada nuevo. Llevan décadas figurando en la Ley de Sociedades Anónimas y en el Reglamento Financiero.

INGO SHUBERT: Por supuesto.

DAVID LELLO: Y la capacidad de poder controlar eso con un buen sistema de gobierno de identidad ya existe. Y con una solución modernizada, en realidad resulta bastante fácil. No es tan difícil como la gente piensa que es.

INGO SCHUBERT: Míranos. Hablando de la gobernanza de la seguridad de la identidad y empezamos con la cuántica. Es como, vamos a, sí, pero ese es el punto. Creo que esto es algo donde también es como un abridor de puertas con algunas discusiones en los clientes o como en las organizaciones en general, donde como, sí, está bien. Hablar de la amenaza cuántica y, ya sabes, pero al final terminas en discusiones, que no son realmente sobre cuántica, sino sobre otras cosas. Que, sí, usted puede fijar ahora, usted debe fijar ahora, independientemente de lo que suceda en el futuro.

DAVID LELLO: Es el concepto básico de higiene.

INGO SCHUBERT: Es el concepto básico de higiene, exactamente. Es una forma perfecta de terminar. David, gracias. Era, podríamos hablar durante horas, realmente, cada vez que nos encontramos. Así que, muchas gracias. Y creo que la amenaza cuántica puede parecer distante.

Puede ser, puede no ser. Pero esperemos que durante esta conversación, nuestros televidentes y oyentes tengan la idea de que, sabes qué, independientemente de si debes hacer cosas hoy para estar preparado para el quantum. Esto no duele en absoluto.

Lo que obtienes de ella te beneficia hoy frente a las amenazas que existen hoy, ¿no? No tienes que esperar 20 años para darte cuenta de los beneficios. De hecho, te das cuenta de ellos hoy.

Así concluye el debate de hoy sobre la informática cuántica y su impacto en la seguridad de la identidad. El futuro cuántico es ciencia ficción y las organizaciones deben comprender dónde residen los verdaderos riesgos y oportunidades. Si desea obtener más información sobre la resiliencia de la identidad y las tecnologías que preparan a las organizaciones para el futuro, visite RSA.com. Si desea recibir por correo electrónico más episodios de RSA Identity Unmasked, no olvide suscribirse. Gracias por acompañarnos y hasta la próxima.