Durante el pasado Mes de la Concientización sobre la Ciberseguridad, Google lanzó una docuserie llamada “Hacking Google”, para educar a la población sobre este tema tan relevante. También realizó un webinar con Parisa Tabriz, vicepresidenta del navegador Chrome en Google y directora del Project Zero, del que ITware Latam participó.
“La seguridad cibernética realmente ha evolucionado desde que incluso he estado trabajando en este espacio. Y una buena manera de comenzar es, ya sabes, ¿por qué es un tema tan candente hoy? Y a un alto nivel, ha habido una evolución en la sofisticación tanto de los atacantes como de los defensores”, sostiene Tabriz al comienzo de su presentación.
Tabriz se unió a Google hace 15 años como pirata informático contratado para ayudar a los equipos de productos de la empresa a encontrar, corregir y mitigar los problemas de seguridad. Se mudé a Chrome hace unos 10 años para dirigir el equipo de seguridad de la plataforma y, desde entonces, asumió responsabilidades adicionales de ingeniería y productos, así como la administración del equipo de investigación de seguridad llamado Project Zero.
Tabriz refuerza con cifras el aumento de los incidentes de seguridad cibernética, como que en promedio ven que las empresas pueden ser víctimas de ataques de ransomware cada 11 segundos, y que se espera que este malware global supere los u$s 30 mil millones para 2023, por lo que es una cifra enorme en términos de daño general.
«Nuestro negocio depende de las personas que confían en Google y protegiendo sus datos, siendo respetuosos con lo mismos, y asegurándose de que usted sepa todo, sienten que tienen control y transparencia y cómo se usan»
“Estos incidentes pueden tardar semanas o meses en investigarse y recuperarse, y pueden tener un tremendo impacto tanto en un individuo como en la sociedad civil”, acota la directiva, ya que ven ataques que amenazan desde la información privada individual, hasta la seguridad nacional y el acceso a servicios críticos como la red de ingeniería o las redes de telecomunicaciones.
Pero al mismo tiempo, no todo son malas noticias, asegura Tabriz, ya que las defensas de software y madurez en torno a la seguridad cibernética también han avanzado. Hace una década, no era raro abrir una página web y comprometer completamente una computadora.
Pero en ese período, y gracias a tecnologías como el sandboxing y las actualizaciones de seguridad automáticas, el software tiene más defensa y profundidad integradas y se mejora constantemente, y eso contribuye a un sistema inmunológico de software más fuerte y una respuesta más rápida.
Incluso movidas de Google sirvieron para cambiar la imagen de cierto grupo en seguridad, ya que en 2010, la empresa lanzó un programa de recompensa por vulnerabilidades, y en ese momento fue muy controvertido recompensar a los piratas informáticos con dinero.
“Pero reconocemos el valor de trabajar con la comunidad en general. Y con el tiempo, hemos ampliado este programa para recompensar a los piratas informáticos que nos informan sobre errores de seguridad en Android, Play, Cloud y la mayoría de los principales productos de consumo de Google. Y hoy en día, estos programas de recompensa por vulnerabilidad se consideran las mejores prácticas de la industria. Y estoy muy orgulloso de la asociación que se ha desarrollado entre los piratas informáticos públicos, los investigadores de seguridad y los defensores. Y este modelo ha sido adoptado por muchas otras grandes empresas e incluso gobiernos”, agrega Tabriz.
“El phishing es una de las formas más efectivas en que los atacantes pueden comprometer a los usuarios y la seguridad de una cuenta, y eso es a veces aprovechando la tecnología pero también la ingeniería social y atacando realmente la confianza o la vulnerabilidad de las personas”
La directiva muestra resultados de su programa Google Vulnerability Reward del año pasado, en el que alcanzaron récords, ya que premiaron a 696 investigadores de 62 países y se encontraron más de 500 errores de seguridad y, en total, recibieron unos 8,7 millones de dólares.
El rol de IT en la ciberseguridad
Para Tabriz, a medida que la seguridad cibernética ha evolucionado, el rol de los equipos de TI y seguridad dentro de las organizaciones también lo ha hecho. “Y creo que hace una década, los equipos de TI solían estar detrás de escena de las organizaciones, como en los sótanos, y nadie hablaba con ellos a menos que necesitaran arreglar algo. Pero hoy realmente vemos a estos equipos a la vanguardia de la transformación del trabajo, especialmente en los últimos años, donde las organizaciones han tenido que pivotar para asegurarse de que sus empleados y organizaciones sean más productivos en un entorno híbrido”, indica. Es por ello que se está viviendo una gran demanda de talento en seguridad empresarial y cibernética.
Eso se complementa con el movimiento de las empresas hacia la Nube, y tener sus aplicaciones en formato web, lo que no sólo amplía la superficie de posibles ataques, sino que genera la necesidad de contar con un navegador confiable para realizar el trabajo diario. “Ese es un cambio de paradigma con más personas trabajando desde la web, y hace que el navegador sea una parte muy importante tanto de la seguridad individual como de la seguridad empresarial”, sostiene la directiva.
Es por ello que desde Google trabajan para hacerle la vida más fácil al sector IT, a los trabajadores y a los individuos en sus casas. Para ello construyen las mejores defensas, y entran en juego proyectos como Project Zero.
“Recomiendo que las personas usen el segundo factor de autenticación, porque en ese caso, incluso si su contraseña ha sido suplantada, alguien no podrá ingresar a su cuenta porque no tendrá ese mismo segundo factor”
Project Zero tiene como objetivo reducir el daño causado por los ataques dirigidos en Internet, por lo que se centran en ataques que explotan vulnerabilidades que son desconocidas para los defensores. Estos también se llaman Zero Day. “Y el equipo ha encontrado cientos de vulnerabilidades de este tipo tanto en el software de Google como en el software que no es de la empresa. Eso incluye sistemas operativos y bibliotecas de código abierto, antivirus, administradores de contraseñas, firmware, hardware y más”, apunta Tabriz.
Otra iniciativa que tienen se denomina Project Shield. Con la guerra en curso en Ucrania, han observado una oleada de ataques cibernéticos contra sitios web que brindan información realmente crítica a los ciudadanos, información como noticias y recursos de evacuación. “En cuanto a la ayuda, hemos ofrecido nuestro programa de defensa gratuito, que se llama Project Shield, y está ayudando a defender más de 200 sitios web ucranianos. Y la forma en que funciona es que permite a Google absorber el tráfico malo que es parte de un ataque de denegación de servicio y realmente actúa como un escudo para sitios web mucho más pequeños”, expresa Tabriz, que agrega que también ayuda a proteger las noticias independientes, los derechos humanos y los sitios de monitoreo de elecciones en Europa, este deAsia y África y alentamos a todas las organizaciones elegibles a registrarse para que sus sistemas realmente puedan ayudar a proteger sitios pequeños y bloquear ataques y asegurarse de que la información crítica permanezca en línea.
Otras formas es lo que desde Google hacen para proteger automáticamente más de 5 mil millones de dispositivos contra malware, intentos de phishing, mensajes de spam y ataques cibernéticos a través de la tecnología de navegación segura de la empresa. “Y estamos mejorando constantemente la forma en que podemos detectar ataques en un entorno muy dinámico, porque los atacantes no se quedan quietos y trabajan igual de duro para tratar de lograr sus objetivos maliciosos y atacar a las víctimas. Y por eso tenemos que adaptar nuestras defensas y nuestra capacidad de detección. Esta tecnología está integrada directamente en Chrome e interceptará un ataque incluso antes de que llegue a alguien. Y también ponemos esta tecnología a disposición a través de API para que otros navegadores y servicios puedan usarla e integrarla en sus propios productos”, expone Tabriz.
El rol de Google
“Somos un jugador en un ecosistema muy grande que debe unirse para proteger a los usuarios, las empresas y los clientes, y trabajamos muy de cerca con la academia para realizar investigaciones y publicarlas para que podamos ponerlas a disposición. Participamos con instituciones públicas en debates sobre políticas y normas. En 2010, Google comprometió u$s 10 mil millones para promover la seguridad cibernética durante cinco años para que realmente podamos mejorar la forma en que protegemos las cadenas de suministro y la seguridad de código abierto, y también capacitamos a futuros talentos”, sostiene la directiva, que agrega que además se juntan con clientes para ver sus necesidades, y se asocian con otras empresas de seguridad en todo el mundo porque saben que estos desafíos son más grandes de lo que cualquier empresa sola puede hacer.
“Parte de cómo abordamos el desarrollo de la seguridad es que es responsabilidad de todos y hay un equipo dedicado, pero también cada equipo es dueño de eso”
Desde su posición, Tabriz sostiene que le gusta pensar en el navegador como la base de la seguridad individual, así como de la seguridad de una empresa u organización, y para cualquier persona que use Chrome o dependa de Chrome, generando la confianza de que están respaldados por equipos de seguridad de clase mundial.
Otra forma de mantener la seguridad que está presentando Google es un mundo donde las personas no tengan que interactuar con contraseñas en absoluto. “Y recientemente lanzamos la compatibilidad con PassKey para Android y Chrome. Es una clave de acceso, una credencial digital que está vinculada a una cuenta, un sitio web o una aplicación, y le permite al usuario autenticarse sin siquiera tener que ingresar su nombre de usuario o contraseña o un factor de autenticación adicional”, explica la directiva, que agrega que quieren ayudar a las personas a concentrarse en cosas más importantes que hacer en la vida y disfrutar de Internet sin tener que administrar docenas y docenas de contraseñas.
No podemos dejar de volver a nombrar la docuserie “Hacking Google”, sobre la historia de la empresa en el tema de seguridad, experiencias y consejos para todo el público. La misma se puede ver en YouTube en este link.
Tabriz finaliza su presentación con tres consejos finales. Una, que, sea Chrome u otro navegador, hay que mantenerlo constantemente actualizado, porque a menudo las actualizaciones incluyen correcciones de seguridad. Por otro lado, recomienda que las personas usen un administrador de contraseñas en lugar de confiar sólo en su memoria, porque lo que termina sucediendo es que las personas usan la misma contraseña para cada sitio, que luego los atacantes también conocen y aprovecharán para intentar atacar la seguridad de la cuenta. Y, por último, usar la verificación de dos pasos para todas las cuentas confidenciales.
