Las fallas en el mercado de la tecnología están provocando discusiones en el gobierno sobre si el Reino Unido necesitará en última instancia legislar para obligar a los proveedores de TI a proteger sus productos.
Los asesores políticos creen que la legislación puede ser la única ruta para persuadir a los proveedores de software y hardware de que vale la pena desarrollar productos que sean resistentes a los ataques cibernéticos.
Esto podría hacer que el Reino Unido siga a los EE.UU., que propone responsabilizar legalmente a los proveedores de software si entregan productos y servicios inseguros como parte de su Estrategia Nacional de Ciberseguridad.
El problema lo ha estado ejerciendo Ollie Whitehouse, director de tecnología del Centro Nacional de Seguridad Cibernética (NCSC), que forma parte de la agencia de inteligencia de señales GCHQ.
Dijo en una conferencia en Birmingham esta semana que el mercado no está logrando incentivar a los proveedores de tecnología para que gasten tiempo, dinero y esfuerzo en garantizar que su software esté libre de vulnerabilidades de seguridad.
Whitehouse describió el desafío como “un problema de mercado” para producir el nivel de tecnología ciberrresiliente que queremos y necesitamos, y agregó: “Tenemos que preguntarnos, ¿por qué esto no se está implementando en la práctica?”
La razón no es la falta de capacidad técnica. Los proveedores de software saben cómo crear tecnología ciberresiliente. Tomemos como ejemplo el proyecto de investigación CHERI, que ha demostrado que es posible contener los ciberataques en compartimentos aislados de la memoria de la computadora para evitar su propagación a través de las redes informáticas. También ha hecho posible tomar código plagado de errores y hacerlo funcionar de forma segura.
Pero incluso sin programas avanzados como estos, Whitehouse argumentó que los proveedores no logran entender bien los conceptos básicos. El número de nuevas vulnerabilidades de seguridad registradas entre 2022 y 2023 aumentó a más de 40.000, un aumento del 14%. “Y esos son los que conocemos… que estaban siendo divulgados responsablemente”, dijo.
“Sabemos que hay varios adversarios que están acumulando vulnerabilidades. Y esto es crecimiento compuesto”, dijo en la conferencia. “Del mismo modo, la eficacia de seguridad de las soluciones no se materializa en la práctica, ya sea la solución de forma aislada o en operaciones. Tenemos afirmaciones que no se corresponden con la realidad”, afirmó.
El mercado de software y productos de seguridad está impulsado por el valor y el costo, lo que Whitehouse llama “el enemigo de la ciberseguridad”. Incluso los directores en las salas de juntas sienten “fatiga cibernética”, prefiriendo programas de tres años a inversiones a largo plazo.
“Necesitamos preguntarnos cuáles son los incentivos cuando tenemos un riesgo altamente técnico, cada vez más complejo, en constante evolución y, lo que es más importante, costoso”, dijo en la conferencia de seguridad Cyber UK.
“Sabemos que hay varios adversarios que están acumulando vulnerabilidades. De manera similar, la eficacia de las soluciones en materia de seguridad no se materializa en la práctica. Tenemos afirmaciones que no se ajustan a la realidad”
Ollie Whitehouse, NCSC
Hoy en día se utilizan productos de seguridad que contienen clases de vulnerabilidades de seguridad que se conocen desde hace décadas. Parte del problema es que los inversores compraron empresas de tecnología y continuaron vendiendo tecnología de hace 15 años sin invertir para actualizarla.
Hay soluciones a corto plazo, como el programa de ciberdefensa activa del NCSC, que, entre otros servicios, proporciona datos sobre sitios web maliciosos a proveedores de servicios de Internet, proveedores de servicios gestionados, compañías telefónicas y empresas de servicios financieros, permitiéndoles bloquear automáticamente enlaces maliciosos. .
Los investigadores dicen que también se están realizando trabajos académicos para desarrollar formas de medir qué tan seguro es el software. Esto permitiría en el futuro que los usuarios de software comprendieran mejor los riesgos que corren.
El objetivo a largo plazo, sugirió Whitehouse, es cambiar la dinámica del mercado de valores. Esto significa ser transparente sobre el costo del software, medir su efectividad y medir la deuda técnica (el costo futuro de no corregir errores) y registrarlo en el balance.
Luego, dijo, debería haber multas por negligencia si las empresas de software venden software inseguro. Eso significaría un cambio radical en el sistema actual, que permite a las empresas de software eximirse de responsabilidad por los daños causados por los ciberatacantes que explotan las vulnerabilidades de su software.
Ideas similares ya se están proponiendo en Estados Unidos. La Estrategia Nacional de Ciberseguridad de la administración Biden, publicada en marzo de 2024, prevé un futuro en el que los proveedores y editores de software tendrán que rendir cuentas si lanzan productos con importantes vulnerabilidades de seguridad.
“Demasiados proveedores ignoran las mejores prácticas para el desarrollo seguro, envían productos con configuraciones predeterminadas inseguras o vulnerabilidades conocidas e integran software de terceros de procedencia desconocida o no investigada”, afirma el documento de estrategia.
“Los fabricantes de software pueden aprovechar su posición en el mercado para eximirse completamente de responsabilidad por contrato, reduciendo aún más su incentivo para seguir principios de seguridad por diseño o realizar pruebas previas al lanzamiento”, dice.
La estrategia estadounidense exige un cambio en la responsabilidad de las organizaciones que no toman precauciones razonables para proteger su software, reconociendo al mismo tiempo que ni siquiera los programas de seguridad de software más avanzados pueden prevenir las vulnerabilidades.
Según el plan, el Congreso de Estados Unidos trabajará con el sector privado para desarrollar legislación que cree responsabilidad por productos y servicios de software. Su objetivo será impedir que los proveedores de software utilicen su poder de mercado para hacer cumplir contratos que los excluyan de responsabilidad por un diseño de software deficiente. También significará que las empresas de software tendrán que mostrar más diligencia debida cuando se utilice software en aplicaciones de alto riesgo.
Los asesores de seguridad coinciden en que el gobierno del Reino Unido no tiene la fuerza financiera para persuadir a los proveedores de TI para que acepten contratos que los expongan a responsabilidad por fallas de seguridad.
Y la investigación académica muestra que, si bien las empresas y los individuos están dispuestos a pagar más por software más seguro, existe un límite en cuanto a cuánto más pagarán.
Todo esto significa que si se quiere arreglar el mercado de la manera que propone Whitehouse, el Reino Unido probablemente tendrá que seguir la ruta estadounidense de introducir legislación para responsabilizar financieramente a los proveedores de TI si no prestan suficiente atención a la seguridad de sus productos.
No será rápido. Probablemente falta al menos una década para que se produzca ese cambio y es probable que suscite una seria oposición por parte de los proveedores de software, pero la dirección a seguir parece haber sido fijada.