¿Hasta qué punto las empresas y entidades gubernamentales que utilizan sistemas de seguridad física conectados a Internet se preocupan de sus vulnerabilidades cibernéticas? ¿Deberían mostrar un mayor interés por las ciberamenazas?
Actualmente, existe una preocupación creciente por la ciberseguridad y las ciberamenazas en todos los ámbitos, incluido el gubernamental. He observado que muchos gobiernos e instituciones están incrementando sus inversiones en seguridad cibernética y que han realizado un trabajo notable al respecto. Lo mismo se puede decir de las inversiones en seguridad física. Sin embargo, la principal preocupación surge cuando consideramos la convergencia de estas dos disciplinas, es decir, cuando los sistemas y dispositivos de seguridad física se enfrentan a las ciberamenazas.
Todavía hay un significativo déficit de concienciación sobre la interconexión de estas dos áreas. Y la mayoría de los usuarios no integra los dispositivos y sistemas de seguridad física en una estrategia comprensiva de ciberseguridad o desarrolla una estrategia cibernética para tales tecnologías. Lo cual es comprensible, dado que, hasta hace poco tiempo, estos equipos, así como muchos otros dispositivos IoT, eran analógicos y no estaban conectados a Internet. No obstante, la evolución tecnológica y la transformación digital han acercado estos dos mundos.
Hoy en día, hablar de seguridad física sin considerar el aspecto cibernético y las ciberamenazas representa un gran riesgo en ambas direcciones. Es por eso que el concepto de convergencia de la seguridad ha estado ganando bastante prominencia últimamente, aunque todavía evoluciona por debajo de la velocidad necesaria. Esto se debe a que, además de la propia tecnología, hay otros factores donde necesitamos disminuir la fricción, como en la interoperabilidad entre equipos de seguridad física y cibernética.
No es una tarea fácil y tenemos un largo, complejo y desafiante camino por delante. Pero lo importante es reconocer que avanzamos y, en mi opinión, estamos en la dirección correcta.
¿Cuáles son las principales ciberamenazas para los sistemas de seguridad física? ¿Qué consecuencias puede tener un ciberataque a estos sistemas?
Al discutir un incidente cibernético en un contexto de sistemas de seguridad física, como en un sistema de gestión de vídeo, generalmente pensamos en las consecuencias inmediatas de una violación, como la pérdida de privacidad o la indisponibilidad de los sistemas. Por ejemplo, un atacante podría acceder a las grabaciones y obtener información privilegiada sobre el ambiente monitoreado o interrumpir las grabaciones para que actos ilícitos no sean registrados. Sin duda, estos riesgos son palpables y requieren nuestra atención. Sin embargo, no son los únicos ni los más significativos.
En muchos incidentes cibernéticos que involucran sistemas de seguridad física, el objetivo del atacante no es afectar directamente ese sistema, sino usarlo como punto de entrada para la red donde está instalado. A partir de ahí, puede realizar movimientos laterales para acceder a otros sistemas o entornos dentro de la red de la organización comprometida, escalar privilegios para adquirir información sensible y, finalmente, alcanzar el objetivo mayor, que puede incluir la exfiltración de datos (robo de información), secuestro de información (ransomware) o incluso el control de dispositivos (estaciones de trabajo, servidores, equipos IoT, etc.) para integrarlos a una botnet que puede ser utilizada para atacar otras instituciones.
Existen diversos ejemplos que ilustran estos dos tipos de riesgos. Hace algunos años, un ataque, utilizando una botnet llamada Mirai y compuesta mayoritariamente por cámaras conectadas, causó una disrupción global al hacer indisponible el servicio de DNS responsable de resolver el nombre de grandes plataformas en línea, como Netflix, Facebook, eBay, etc., haciendo todas estas plataformas inaccesibles. Más recientemente, se descubrieron canales de aplicaciones de mensajería, vendiendo acceso a cámaras de seguridad con credenciales comprometidas, pertenecientes tanto a empresas como a individuos. Lo que es particularmente alarmante es que algunas de estas cámaras estaban posicionadas en lugares sensibles, como consultorios médicos, vestidores e incluso habitaciones de niños.
Estos casos demuestran que los impactos de los incidentes cibernéticos en sistemas de seguridad física pueden ser vastos y afectar a una amplia gama de personas e instituciones que no eran, necesariamente, el foco primario del ataque. Y es crucial entender que estos efectos pueden extenderse mucho más allá del sistema o dispositivo inicialmente comprometido.
Genetec suele hacer hincapié en la importancia de unificar la seguridad física y la seguridad cibernética. En este sentido, ¿cómo contribuye la plataforma de seguridad unificada Genetec Security Center a lograr ese objetivo? ¿Los usuarios que la utilizan están más protegidos ante las ciberamenazas?
Una plataforma unificada de seguridad, operaciones e inteligencia no sólo ofrece varios beneficios operativos, sino que, además, simplifica el mantenimiento del sistema y de los componentes que gestiona. Desde el punto de vista de la ciberseguridad, un sistema unificado facilita la investigación de incidentes, mejora la conciencia situacional y posibilita el análisis de tendencias para mitigar riesgos.
Genetec Security Center asegura que, desde el desarrollo hasta el fin de la vida útil del producto, las medidas de protección sean aplicadas, contando también con herramientas que ayudan al usuario final a mantener una postura de seguridad robusta, simplificando tareas complejas y potencialmente demoradas.
Algunas de esas tareas, necesarias para una buena estrategia de higiene cibernética, incluyen: crear y mantener un inventario completo de todos los activos, físicos o digitales, lo que permite determinar el valor y el nivel de protección necesario para cada uno; cambiar contraseñas de usuarios y dispositivos periódicamente, evitando la reutilización de contraseñas antiguas o la misma contraseña en múltiples equipos; y mantener firmwares y sistemas siempre actualizados.
Ahora, considérese la ejecución de esas actividades en un sistema con decenas de miles de dispositivos. La cantidad de tiempo y esfuerzo necesario puede desalentar a los equipos responsables. Security Center puede automatizar estas y otras tareas, reduciendo la resistencia que un usuario podría tener al realizarlas.
Adicionalmente, la plataforma cuenta con un panel de control que informa al usuario sobre el estado de salud del sistema, mostrando la disponibilidad, períodos de indisponibilidad, la cantidad de equipos desactualizados, el nivel de criticidad de las actualizaciones necesarias, la seguridad de las contraseñas en uso, etc. Este panel también muestra una puntuación visual, relativa al nivel de seguridad del sistema, que cambia dinámicamente para indicar cuándo es necesario tomar acciones correctivas o revisar configuraciones.
Estas características son algunos ejemplos de lo que está disponible en nuestra plataforma. Pero el mensaje clave es que los fabricantes y desarrolladores de tecnología deben no sólo incorporar la seguridad desde la concepción y adoptar la seguridad por defecto, sino también facilitar el mantenimiento de sus sistemas, dispositivos y demás componentes. Así, las buenas prácticas y medidas de higiene cibernética necesarias para mitigar los riesgos de las ciberamenazas pueden ser seguidas y aplicadas consistentemente, sin demandar recursos financieros y humanos excesivos de los usuarios.
Genetec posee las certificaciones ISO 27001, ISO 27017 y UL 2900. Y también ha superado la auditoría SOC 2 Tipo 2. ¿Cómo benefician a los clientes en materia de ciberseguridad y privacidad?
Cada una de ellas aborda diferentes tópicos y medidas que pueden beneficiar a los usuarios de las soluciones de Genetec en relación a la ciberseguridad y privacidad. Sin embargo, por encima de eso, demuestran la preocupación y el compromiso de la empresa con estos temas.
Más allá de las certificaciones mencionadas, incluyendo la UL 2900 nivel 3 –certificación que Genetec posee para el único VMS en obtener esta distinción–, existen otros sellos que certifican ese compromiso con la seguridad cibernética y la privacidad. Como ejemplo, el hecho de ser una CNA (CVE Numbering Authority) es significativo. Este título nos permite registrar y catalogar vulnerabilidades eventualmente descubiertas en nuestras soluciones en la NVD (National Vulnerability Database), la base de datos pública del Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) de EEUU. Esto resalta la transparencia con la cual tratamos este tipo de asuntos.
Además de la divulgación en nuestro sitio web, del comunicado que se envía a los usuarios del sistema explicando la vulnerabilidad, los posibles impactos, las medidas de corrección si están disponibles o alternativas temporales, también publicamos toda la información en esa base de datos pública y oficial de vulnerabilidades.
Genetec entiende que la transparencia es la única forma de establecer una relación de confianza con el mercado y que seguridad por oscuridad no es algo aceptable en la actualidad. Todos los fabricantes de cualquier área de la tecnología están sujetos a vulnerabilidades y su papel es informar y proporcionar las herramientas necesarias para los usuarios de sus soluciones, porque, incluso si hay un problema, necesitan saber que pueden contar con sus proveedores para resolverlos.
Para finalizar, ¿cuál es su consejo para los usuarios de sistemas de seguridad física obsoletos o sin las medidas de protección adecuadas frente a las ciberamenazas? ¿Qué deben hacer para proteger los sistemas y su información?
Entender su entorno es la base de una buena estrategia de seguridad ante las ciberamenazas. Esto implica tener un inventario detallado de los dispositivos, saber dónde están ubicados, cuántos son y qué versiones de firmware están en uso. Con esta base es posible realizar una evaluación de riesgo precisa. Reconocer que cada empresa y departamento tiene sus peculiaridades y, consecuentemente, necesidades específicas de seguridad, es fundamental.
La inversión en tecnología y actualizaciones es crucial, aunque entendemos que los recursos pueden ser limitados. Una transición mal planificada puede generar más problemas que soluciones. Evaluar riesgos y priorizar cambios basados en ese análisis es clave para incrementar la seguridad con el menor impacto posible en las operaciones.
Seleccionar proveedores de tecnología y servicios confiables también es una parte integral de la seguridad. Cuando alguien adquiere un sistema de seguridad física espera resolver, no crear nuevos riesgos. Construir un ecosistema seguro comienza con la elección de socios confiables.
La seguridad no debe descansar en una sola solución. Una estrategia efectiva se basa en multicapas, combinando diversas medidas para fortificar tanto los sistemas como los entornos que los albergan. La robustez del ecosistema de seguridad se define por la cantidad y eficacia de estas capas de protección.
Por último, pero no menos importante, es esencial tener un plan de contención de daños y recuperación después de desastres. Si todas las barreras de seguridad fallan, es vital que todos sepan cómo actuar. En este escenario, la gestión de riesgo de la cadena de suministro vuelve a ser crucial: evaluar la capacidad y la prontitud de sus proveedores y socios tecnológicos puede ser decisivo para una respuesta rápida y eficaz en momentos de crisis.