Las identidades no humanas: el eslabón más débil de la ciberseguridad moderna

Sean bienvenidos una vez más a Código Seguro, mis estimados lectores de cada viernes. Dediquemos en el día de hoy, un espacio en la columna para hablarles acerca del fascinante mundo de la Inteligencia Artificial (IA) y los riesgos que trae consigo en torno a la ciberseguridad. Por un momento pensemos que estamos llamando nuestro banco para solucionar un problema con una transferencia. Al otro lado de la línea, una voz amable y sorprendentemente eficiente responde a todas tus preguntas, resuelve tu incidencia en minutos y, con una precisión envidiable, hasta te ofrece un producto financiero que se adapta perfectamente a tu perfil. Cuelgas el teléfono satisfecho, con la sensación de haber sido atendido por un empleado excepcional.

abandonada.

Si un ciberdelincuente logra robar las credenciales de acceso de este "empleado fantasma", obtendrá algo mucho más valioso que una contraseña humana: tendrá un cómplice automático, incansable y que no levanta sospechas dentro de la red. Esta entidad secuestrada puede ser utilizada para desviar fondos de forma silenciosa, robar gigantescas bases de datos de clientes o incluso sabotear infraestructuras críticas, todo a una escala y una velocidad que un humano jamás podría alcanzar. Se imaginan que peligro pueden representar todo esto y sin ser extremadamente crítico siempre hay que analizar su costo y el beneficio que pueden representar antes de implantarlas.

Y como siempre les digo, la amenaza, por lo tanto, no es la IA en sí misma, sino nuestra alarmante falta de preparación para gestionar la vasta y creciente "población digital" que estamos creando hoy día. Es comparable a construir una metrópolis de la noche a la mañana, llenándola con millones de nuevos habitantes invisibles, cada uno con la llave de una oficina importante, una caja fuerte o un archivo confidencial, pero sin un registro central que sepa cuántos son exactamente, sin un cuerpo de policía que los vigile y, lo más preocupante, sin que nadie se pregunte periódicamente si siguen necesitando todas esas llaves. Los departamentos de Tecnología de la Información tradicionales, acostumbrados a gestionar identidades humanas, no están equipados para el reto que supone monitorizar, auditar y gobernar miles de identidades máquina que interactúan entre sí a velocidades de nanosegundos.

El futuro de la ciberseguridad ha dado un giro copernicano. Ya no se trata solo de proteger a las personas de los hackers, sino de aprender a gobernar y proteger un complejo sistema donde la mayoría de los usuarios activos pueden no ser humanos. La tarea urgente para empresas y gobiernos es desarrollar nuevos marcos de seguridad que traten a estas identidades no humanas con la misma seriedad que a las humanas: inventariarlas, aplicar el principio de mínimo privilegio (dándoles solo el acceso estrictamente necesario), monitorizar su comportamiento en busca de anomalías y establecer protocolos para "jubilarlas" cuando dejen de ser útiles.

Al darles una identidad, les hemos concedido un lugar en nuestro mundo. Nuestra responsabilidad colectiva ahora es asegurarnos de que, al hacerlo, no les estemos entregando también las llaves de nuestro reino más preciado sin un candado lo suficientemente fuerte y una alarma que suene a tiempo. La próxima gran brecha de seguridad podría no venir de una persona, sino de una cuenta de máquina a la que simplemente nos olvidamos de vigilar. Por hoy nos despedimos hasta la próxima semana.

Tomado de Cubadebate