Español 
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
Desinformación, dudas sobre MFA e inteligencia artificial: todo lo que vimos en RSAC 2023
La última de las transmisiones en vivo terminó y en San Francisco, otra Conferencia RSA llegó y se fue. Este año, asistimos a sesiones sobre el impacto de la IA, la continua difusión de información errónea, los fallos y el futuro de la autenticación multifactor, la seguridad de las estaciones de carga de vehículos eléctricos y mucho más. Aquí hay un resumen de todo lo que vimos en RSAC 2023.
Entre los asistentes que ocuparon los titulares en RSAC esta semana se encontraba Yoel Roth, exjefe de Confianza y Seguridad de Twitter. Se unió a algunos otros expertos en ciberseguridad para discutir cómo la industria podría ayudar a frenar la propagación de desinformación e información errónea en línea. Como escribe Kim Key, la sesión, titulada La desinformación es el nuevo malware, dejó de ser una discusión sobre si la industria podía hacerlo y giró hacia quién debería hacerlo.
Catherine Gellis, abogada y defensora de políticas, señaló que si se mira el tema desde una perspectiva legal, la Primera Enmienda de la Constitución de los Estados Unidos protege algunas formas de desinformación o desinformación. "A veces la gente se equivoca", explicó Gellis. "El mal ocurre, y si tuvieras una ley que hablara del mal y lo prohibiera, tendrías algunos efectos paralizadores en las personas que dicen cosas en las que tienen razón".
El gobierno no debería ser el único árbitro de la verdad con respecto a la expresión en línea, según Gellis, quien señaló que la Primera Enmienda también protege los derechos de las corporaciones privadas a limitar la expresión en sus plataformas.
En su discurso de apertura, el director ejecutivo de RSA Security, Rohit Ghai, reconoció una verdad incómoda: la IA tendrá un gran impacto en la industria de la seguridad. "Debemos aceptar que muchos empleos desaparecerán, muchos cambiarán y algunos se crearán", afirmó Ghai. (La Conferencia RSA es independiente de RSA Security).
Los trabajos que podrían desaparecer, según Ghai, serán aquellos que la IA puede realizar más rápido y mejor que los humanos, como lidiar con un exceso de ataques de phishing generados por una "IA mala". Los nuevos trabajos en ciberseguridad podrían incluir proteger los datos que utiliza la IA para evitar ataques y garantizar que las herramientas de IA funcionen de manera ética.
Según un panel de líderes veteranos en comunicaciones y seguridad, una preparación cuidadosa, una comunicación rápida y efectiva y una buena cantidad de flexibilidad son las características principales de cualquier plan corporativo exitoso de respuesta a incidentes de ciberseguridad. Los presentadores intercambiaron historias de terror sobre respuesta a incidentes de ciberseguridad en el escenario mientras impartían consejos a colegas profesionales de la industria encargados de manejar las consecuencias de un ataque en línea.
Brad Maiorino, director de seguridad de la información de Raytheon Technologies, señaló que, según su experiencia, los consumidores perdonan más rápidamente a los líderes corporativos que responden a los incidentes cibernéticos emitiendo una declaración de disculpa, objetiva y rápida. "En ese momento yo estaba diciendo: '¡Estás loco, no puedes hacer eso!' pero al final resultó beneficioso", afirmó Maiorino. "Los clientes volvieron y recompensaron a la empresa por ello".
Consulte la guía de PCMag para preparar su empresa ante un ataque de ransomware u otro incidente cibernético.
Una sesión inusual oscilaba entre la seguridad y la jurisprudencia. Presentó un juicio simulado que giraba en torno a la cuestión de si publicar archivos trampa para atrapar a los piratas informáticos podría constituir una molestia atractiva, dado que un tercero inocente podría lanzar la trampa. Esta prueba llegó a una conclusión lógica, pero seguramente veremos situaciones del mundo real que son más difíciles de analizar.
En PCMag le recomendamos encarecidamente que utilice la autenticación multifactor (MFA) siempre que esté disponible. Y, sin embargo, es común encontrar situaciones de violación de datos que involucran a MFA. ¿MFA se ha saltado el tiburón? Una charla sobre MFA analizó varias infracciones y descubrió que tenían éxito atacando la configuración de MFA, el proveedor de MFA o el usuario de MFA, no la propia MFA. ¡El MFA todavía gobierna!
Las contraseñas son un problema y la solución, nos dicen, radica en el uso de claves de acceso o credenciales criptográficas que autentican de forma segura a las personas sin nombres de usuario ni contraseñas y que tienen autenticación multifactor (MFA) incorporada. Varias sesiones en RSAC se centraron en los beneficios de las claves de acceso, al tiempo que analizaron los desafíos que aún quedan por delante.
La buena noticia es que los creadores de Passkeys ya han resuelto muchos de esos desafíos. Christiaan Brand, gerente de productos de Google, mostró cómo las claves de acceso se crean fácilmente y se sincronizan sin problemas entre dispositivos dentro del mismo ecosistema (de Android a Android, por ejemplo). ¿Necesita transferir su clave de acceso desde su teléfono Pixel a su computadora portátil Dell XPS? Simplemente escanee un código QR y una conexión Bluetooth autorizará a Dell a iniciar sesión.
El mayor problema hasta ahora es la adopción. Apple, Google y Microsoft han apoyado las claves de acceso, integrándolas en todas sus plataformas, pero muy pocos sitios y servicios las aceptan. Sin embargo, hay desafíos más espinosos. Por ejemplo, debido a que las claves de acceso solo se sincronizan dentro de un ecosistema, la mayoría de las personas probablemente terminarán con varias claves de acceso válidas para el mismo sitio: una para Apple, otra para Microsoft, etc. Esto podría resultar confuso para los usuarios. "Muchas de estas cosas todavía están en sus inicios. Esto es parte de lo feo. No lo hemos resuelto del todo como industria", dijo Brand.
Sin embargo, los fanáticos de las llaves de seguridad de hardware no deben preocuparse. En su sesión de RSAC, el vicepresidente de estándares y alianzas de Yubico, Derek Hanson, explicó que Yubikeys y dispositivos similares pueden crear y almacenar claves de acceso, pero estas vivirían solo en las claves y no se sincronizarían entre dispositivos.
La gente ve a la NSA como una organización aislada y secreta, pero en realidad la agencia trabaja en asociación con muchas otras agencias e industrias. Su director de ciberseguridad compartió áreas de seguridad que la NSA considera de máxima prioridad, incluidas Rusia, China y la inteligencia artificial. Concluyó con una invitación para unirse al equipo de seguridad de la NSA en el puesto de contratación de la NSA en el Expo Hall. Logró resistirse a decir: "¡Ven al lado oscuro, tenemos galletas!"
El Panel de Criptógrafos ha sido parte de RSAC desde el principio. Históricamente, está compuesto por Whitfield Diffie y Martin Hellman, famosos por el sistema de intercambio de claves Diffie-Hellman que hace posible la criptografía de clave pública, junto con Ron Rivest, Adi Shamir y Leonard Adleman, los R, S y A del cifrado RSA esencial. algoritmo.
Diffie y Shamir estuvieron presentes en el panel de este año, junto con la distinguida ingeniera de IBM Ann Dames, Radia Perlman de Dell y Clifford Cocks, un criptógrafo que creó un algoritmo de cifrado similar a RSA para el GCHQ clandestino del Reino Unido años antes de que se revelara RSA.
La animada discusión del panel cubrió muchos temas, incluida la computación cuántica, la inteligencia artificial y la cadena de bloques. Al señalar que la computación cuántica eventualmente derrotará a la criptografía de clave pública, Shamir afirmó: “Si le preocupa la seguridad de 50 o 100 años, no utilice la criptografía de clave pública. Utilice un sistema criptográfico clásico y evite la molestia del intercambio manual de claves”.
Shamir también dijo que había cambiado de opinión sobre la IA, que pensaba que sería más útil para las personas que se defienden contra los ciberataques. Ahora lo ve como una fuente potencialmente inagotable de ataques de phishing. "La capacidad de ChatGPT para producir un inglés perfecto e interactuar con la gente será mal utilizada a gran escala".
Perlman se rió con un consejo para los programadores cuyos gerentes despistados bebieron el Kool-Aid de blockchain: “Si su gerente insiste en blockchain, cree la mejor solución que pueda y luego dígale que lo hizo con blockchain. Él nunca notará la diferencia”.
La Fiscal General Adjunta de los Estados Unidos, Lisa Monaco, describió un nuevo enfoque sorprendente para el Departamento de Justicia en su conversación con el exdirector de la Agencia de Seguridad de Infraestructura y Ciberseguridad, Chris Krebs. Cuando se trata de ataques cibernéticos, dijo Monaco, es más importante para el Departamento de Justicia interrumpir los ataques existentes y prevenir otros nuevos que acumular arrestos y victorias en los tribunales.
"En el pasado, eso podría haber sido una herejía", dijo Monaco, refiriéndose a la operación conjunta que acabó con el grupo de ransomware Hive, que proporcionó claves de descifrado para las víctimas de Hive, pero no arrestos.
En la novela El juego de Ender, el gobierno entrena al joven Andrew (Ender) Wiggin para matar extraterrestres del mundo real mediante un videojuego. ¿Podemos entrenar a la próxima generación de intrépidos asesinos de malware de la misma manera? Varias sesiones en RSAC analizaron este tema desde diferentes puntos de vista. Uno de ellos se centró en mejorar la formación en seguridad de los empleados haciéndola entretenida, llegando incluso a convertir la formación en un circo de ciberseguridad. Otro presentó un juego de ciberseguridad real y completamente desarrollado diseñado para perfeccionar las habilidades de los equipos de seguridad, junto con consejos para los CISO y líderes de equipo sobre la incorporación de gamificación. Y un tercero analizó las razones para gamificar la seguridad, junto con una gran cantidad de recursos para explorar este campo.
Hackear automóviles conectados es un truco común en la conferencia Black Hat, pero el CTO de Techniche, Thomas Caldwell, quería analizar otra pieza clave de la infraestructura automotriz: la estación de carga de vehículos eléctricos.
Su revisión de la investigación disponible reveló numerosos casos en los que los expertos en seguridad habían encontrado formas de acceder al código fuente de las estaciones de carga, aprovechar las puertas traseras creadas por los proveedores y potencialmente iniciar incendios. A medida que las estaciones de carga se vuelven más omnipresentes en los EE. UU. y el resto del mundo, tal vez veamos más ataques en futuras conferencias.
Sabemos que los sistemas modernos de inteligencia artificial generativa, como ChatGPT y Bard, pueden realizar tareas como escribir una historia sobre Elon Musk al estilo de Edgar Allen Poe o crear un fragmento de código funcional en poco tiempo. Pero ese poder también puede usarse para engañar. ¿Buscas amor en línea? Un robot impulsado por IA podría hacerte creer que has encontrado a tu alma gemela.
Una sesión del RSAC explicó con gran detalle el tipo de tareas inútiles y maliciosas que la IA puede realizar. A partir de una historia del Juego de Imitación de Turing y el programa “terapeuta” ELIZA, la charla avanzó hasta llegar a posibilidades totalmente modernas, completadas con páginas y páginas de código. Cuidado; Los spammers y estafadores están a punto de volverse mucho más convincentes.
La mayoría de la gente está familiarizada con la NSA como una agencia de espionaje o un hombre del saco de la privacidad, pero la agencia tiene un segundo papel en ayudar a desarrollar tecnologías para proteger contra el espionaje. En su sesión del RSAC, los codirectores del Centro de Estándares de Ciberseguridad de la NSA, Mike Boyle y Jessica Fitzgerald-McKay, abordaron el arcano proceso para desarrollar estándares tecnológicos. Estos a menudo implican numerosas reuniones con organizaciones de comités y no son bien comprendidos ni siquiera por los expertos en ciberseguridad más experimentados. Y, como explicaron los oradores, también pueden ser campos de batalla donde los Estados-nación impulsan sus propias agendas.
Los oradores señalaron que Estados Unidos y otras democracias están retrasadas en su participación en el desarrollo de estándares y pidieron a las empresas y a los individuos que se involucren más en el proceso.
Existen estándares claros para la propiedad y herencia de propiedad física e incluso propiedad intelectual, pero nada similar para la enorme vida digital que cada uno de nosotros acumula. Marcu Preuss y Dan Demeter del Equipo de Análisis e Investigación Global (GReAT) de Kaspersky exploraron en detalle los obstáculos y desafíos de proteger su herencia digital y presentaron a los asistentes al RSAC un camino claro y preciso para garantizar que su herencia digital no quede estancada en lo digital. legalización de un testamento.
A RSAC le gusta presumir invitando a artistas conocidos a hablar en la conferencia, brindando a los asistentes un descanso del piso de la feria y del pesimismo tan común en las conferencias de seguridad. Este año, nos sorprendió ver al miembro de Monty Python, Eric Idle, así como a Christopher Lloyd de Regreso al futuro.
Y aunque nos perdimos las conferencias magistrales de apertura debido a dificultades técnicas, cuando logramos que la transmisión en vivo funcionara nos sorprendió ver al comediante Fred Armisen interpretando una versión solista de "All You Need is Love" de los Beatles.
En respuesta a la pandemia de COVID-19, RSAC ha ofrecido un componente en línea para su conferencia desde 2021. Este año, la mayoría de nosotros vimos las actuaciones de forma remota desde nuestras oficinas centrales, aunque el intrépido reportero de PCMag Michael Kan desafió a la multitud.
A veces nos sentimos frustrados por el largo retraso entre el momento en que concluye una sesión en la conferencia y el momento en que el video estaría disponible, pero en general estamos felices de ver que más conferencias de seguridad adoptan una experiencia híbrida. Puede que no sea lo mismo que una presencia sobre el terreno, pero hace que RSAC sea mucho más accesible que nunca. Esperamos que esto continúe.
Regístrese en SecurityWatchboletín informativo con nuestras principales historias de privacidad y seguridad enviado directamente a su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. La suscripción a un boletín indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.
Tu suscripción ha sido confirmada. ¡Esté atento a su bandeja de entrada!
Vigilancia de seguridad