«La nueva directiva PSD2 abre una puerta a la incorporación de nuevos actores al sector financiero» explica Héctor Plaza, Responsable de I+D de Realsec. Plaza analiza la importancia de la tecnología para la securización de procesos y explica las soluciones que dispone la compañía en materia de ciberseguridad.
—¿Cuáles son los puntos fuertes tecnológicos que ofrece REALSEC para el sector financiero?
—La banca, por la naturaleza de los datos que maneja y los riesgos inherentes asociados a su actividad, es uno de los sectores donde algunos dispositivos de seguridad, como son los HSMs, han tenido un uso más extendido desde hace años; siendo uno de los sectores donde Realsec tiene mayor presencia. Desde este punto de vista, la entrada en vigor de la Directiva PSD2 no va a suponer la introducción de dispositivos de seguridad desconocidos, previamente en el sector financiero, aunque posiblemente sí la generalización de su uso.
Por otro lado, esta nueva directiva abre una puerta a la incorporación de nuevos actores al sector financiero, debido a la accesibilidad a los servicios de los bancos por parte de terceras empresas a petición de los usuarios (como las Fintech o podría ser el caso de tecnológicas, que ya tienen servicios de pago como Amazon Pay o Google Pay, entre otros). Como consecuencia, estos nuevos actores tendrán que incorporar seguridad en sus procesos, ya que van a tratar con información sensible de los usuarios, por lo tendrán que implementar dispositivos de seguridad robustos y confiables, como son los HSMs.
Los usuarios, por su parte, van a notar un cambio en la forma de autenticarse para realizar ciertas operaciones bancarias como consecuencia de este nuevo sistema de autenticación reforzada de clientes (Strong Customer Authentication), que supone el uso, como mínimo, de dos factores de autenticación diferentes.
De la misma manera que cuando se hace un pago con tarjeta, físicamente, en un establecimiento es necesaria la tarjeta e introducir el pin (a no ser que sean transacciones de menor cuantía); en transacciones online ya no será suficiente sólo con la tenencia de la tarjeta para introducir el número, la fecha de caducidad y el CVV como a veces ocurre. Será imprescindible que nuestro banco nos haga autenticarnos de una manera más segura si no lo hacía ya, como podría ser que nos envíe un SMS con un código PIN que exclusivamente se empleará para una transacción en concreto.
—En los últimos tiempos escuchamos mucho el término de computación cuántica. ¿Qué relación tiene esta tecnología con la ciberseguridad?
— La llegada de la computación cuántica va a suponer una transformación muy grande de la tecnología en la que se fundamenta gran parte de la ciberseguridad actual. La ciberseguridad se sostiene técnicamente en el uso de la criptografía, entre otras cosas, para dotar de confidencialidad e integridad a los datos, así como proporcionar servicios de seguridad como puede ser la autenticación.
Pues bien, parte de la criptografía que se emplea actualmente se verá mermada con la aparición de computadores cuánticos que sean lo suficientemente potentes. La seguridad de la criptografía que empleamos ahora se basa en que se necesitan muchos años de cálculos (con las computadoras actuales) para romper una clave, lo cual la hace segura en la práctica; mientras que con computadores cuánticos este tiempo se reducirá de tal manera que será factible acceder a toda la información cifrada con los algoritmos actuales.
parte de la criptografía que se emplea actualmente se verá mermada con la aparición de computadores cuánticos
Esto no es un hecho novedoso, sino que es conocido desde hace décadas. Lo que sí es reciente son los avances que se han hecho en el terreno de la computación cuántica, con la participación de gigantes tecnológicos como Google, IBM o Microsoft, que están trabajando con sus primeros prototipos.
Es cierto que los prototipos todavía están muy lejos de tener la capacidad de suponer un riesgo para la seguridad que empleamos actualmente, pero es la primera vez que esta amenaza no se queda simplemente en el campo teórico. Tanto es así que el NIST, ya en 2017, hizo una llamada para comenzar el proceso de selección de los que serán los algoritmos criptográficos que tendremos que emplear en el futuro, la llamada criptografía postcuántica, que en los próximos años se convertirá en estándar.
— ¿Por qué los módulos hardware de seguridad (HSM) de REALSEC son un elemento clave para la securización de los proyectos desarrollados con tecnología Blockchain?
—Blockchain es un registro distribuido de datos que tiene la particularidad de que se puede verificar su contenido en todo momento por cualquiera, y que además es la base para distintas criptomonedas, cuyo ejemplo más conocido es Bitcoin.
Para la protección de esas criptomonedas y poder operar con ellas, es necesario hacer uso de unas claves privadas, que como su propio nombre indica, deben mantenerse custodiadas de un modo apropiado y seguro. En esta protección de las claves el empleo de un dispositivo hardware juega un papel primordial, ya que dificulta el acceso a esas claves por parte de terceros, así como su copia y distribución.
A nivel particular, ya los usuarios de criptomonedas más precavidos tienen a su disposición la adquisición de hardware wallets, que son pequeños dispositivos físicos (parecidos a un pendrive) donde se almacenan las claves. Así mismo, cuando un usuario prefiere por comodidad emplear un servicio online que protege sus claves debería asegurarse de que ese servicio custodia sus claves en un dispositivo hardware seguro, como un HSM.
Otra de las ventajas de emplear este tipo de dispositivos es que la seguridad de sus sistemas se basa en cierta medida en la generación de números aleatorios, y en los HSMs, éstos se generan con hardware específico certificado, evitando posibles fallos en la seguridad relacionados con estos números, como ha ocurrido en el pasado por ejemplo con los wallets en dispositivos Android.
—¿Por qué tecnología apostarías para la protección del Internet de las Cosas (IoT)?
—La tecnología a emplear para la protección del Internet de las cosas (IoT) puede ser muy diversa, así como lo es la cantidad de dispositivos que se están interconectando. En primer lugar, deberá depender del tipo de dispositivo que se quiera proteger, así como el riesgo que suponga un compromiso de la seguridad de dicho dispositivo; no se va a emplear la misma tecnología para asegurar un sistema de domótica para subir o bajar las persianas de un hogar, que para proteger un dispositivo que procese información de la salud de una persona.
Por todo esto, el empleo de tecnologías como los certificados digitales emitidos por una infraestructura de clave pública (PKI) confiable, pueden no ser aplicables a todos los escenarios por razones de coste o de capacidad de los dispositivos, pero sí serían deseables en los casos en los que el riesgo es mayor. Un ejemplo podría ser el caso de un coche equipado con una tarjeta SIM para tener conectividad a Internet, en el que esta propia tarjeta SIM tiene las capacidades criptográficas para almacenar las claves de un certificado electrónico, más aún si se emplean algoritmos más modernos como curvas elípticas que requieren menor potencia de cómputo para el mismo nivel de seguridad.
En este mundo de IoT sería importante que la seguridad de los sistemas se tuviera en cuenta desde el diseño, y no aplicarlo como un parche con posterioridad, lo que normalmente es más costoso e ineficiente. También es fundamental tener en cuenta la variedad de conocimiento de seguridad que pueden tener distintos fabricantes de dispositivos IoT de diferentes sectores, ya que algunos sí que habrán tenido que aportar seguridad de la información a sus sistemas con anterioridad, pero otros será la primera vez que tengan introducir la seguridad en sus diseños.
