8 ene. 2017

Un hacker en Corea (II)

Este post fue originalmente publicado en ElevenPaths como parte de una serie de artículos que cuentan los 3 meses que viví en Corea del Sur, estudiando Ciberseguridad en la Universidad de Corea.

Como mencioné en la primera entrega, Corea de Sur es un país que está muy lejos de occidente, y no solo me refería a la distancia física. Durante mi estadía, tuve la suerte de conocer sus planes referidos a investigación e implementación de tecnología IoT, Big Data, Cloud Computing -mi trabajo final se refirió a esto-, análisis forense, OSINT, SmartGrid y redes 5G que planean desplegar en todo el país para 2020 (hasta 1.000 veces más rápidas que una conexión 4G LTE actual).

Como nos ha enseñado Sheldon, el ámbito de la investigación está totalmente separado de la experiencia práctica, lo que permite a los investigadores y profesores (considerados poco menos que semi-dioses y millonarios) dedicarse a estudiar lo que nos depara la tecnología del futuro. Incluso me sucedió que, al realizar una pregunta a un investigador sobre la implementación de un producto, la respuesta fue "o no me dedico a eso".

Lo "extraño" no es que los coreanos investiguen sobre estos temas, porque muchos países lo hacen; lo extraño es que hablan de ellos con la madurez necesaria para estar en un estadío de investigación avanzado, porque ya han superado las etapas de pruebas, implementación y uso. Es decir, que la investigación y la innovación (el famoso I+D) es un estado permanente.

Un ejemplo: cuando mencionan procesamiento en Big Data, no lo hacen desde la explicación clásica de la razón necesaria para implementar esta filosofía porque, al analizar tendencias, costos, ubiquidad y usabilidad es obvio; lo hacen desde el punto de vista de la investigación, para mejorar la Inteligencia en los próximos 10 años. Y digo inteligencia, definida en forma sencilla, como:
Me alegró comprobar que esta definición es la misma que llevamos adelante desde ElevenPaths con el desarrollo de Sinfonier, CyberThreats y Tacyt, las herramientas de ciberinteligencia que hemos puesto a disposición de nuestros clientes.

Para los coreanos, un dispositivo IoT no es innovación, cómo mejorar la sociedad con ellos, sí lo es. El objetivo final son las "Tres I": Innovación, Inteligencia y ser Invisibles. La tecnología no debe ser un impedimento, sino una herramienta para lograr los objetivos del Estado y la sociedad. Por ejemplo, los coreanos tienen una de las tasas más alta de innovación en cosméticos, pero este no es el lugar para profundizar sobre ese tema.

Así que, hablando de IoT, en un país hasta donde los inodoros son inteligentes, su despliegue se basa en el análisis de los distintos tipos de dispositivos y se recomienda que la conexión Machine-To-Machine (M2M) deba ser implementada por etapas, de acuerdo al siguiente orden:
  1. Electricidad hogareña. Por eso la importancia de las Smart Grids, el uso de energías renovables y su campo de pruebas en la Isla de Jeju, una de las 7 maravillas del mundo y de la que hablaremos en las próximas entregas.
Por ejemplo, la siguiente maqueta muestra una "ciudad inteligente" basada en SmartGrid.
  1. El cuidado de la salud, fundamental en Corea por dos motivos antagónicos: tienen uno de los mejores sistemas de salud, pero una de las tasas de suicidio más altas del mundo (debido al nivel de exigencia en estudiantes y profesionales).
  2. Transporte. Una de las experiencias que más disfrute durante mi estadía (junto a las 250 variedades de Kimchi). La comodidad y precisión del sistema público de transporte (metro, bus y tren) son simplemente asombrosos, y todo a través de una tarjeta de viaje única.
  3. Control de desastres. Orientado a la detección temprana de cualquier tipo de siniestro natural o causado por el hombre -puede ser un incendio doméstico, un terremoto o un ataque nuclear-.
  4. Manufactura y construcción. Una de las industrias más importantes del país, con Hyundai y Samsung a la cabeza.
  5. Energía nacional, íntimamente relacionado con el primer punto.
En este orden, con el cual podemos o no estar de acuerdo, nuevamente aparece la definición del Estado como ente rector sobre lo mejor para los ciudadanos. Lo importante que se debe remarcar es que existió el debate, y si bien es un trabajo en proceso, permitiría establecer dónde estarían los dispositivos inteligentes, cómo se usarían y cómo se los debería proteger, por ejemplo, a través de soluciones criptográficas aplicadas a IoT. Y, todo lo anterior lo hacen pensando en la seguridad de la información, considerando los siguientes aspectos:
  1. Seguridad por diseño en infraestructura, arquitectura y desarrollo de cualquier tipo de dispositivo y aplicación. Aquí para mí lo "extraño"es que luego de 10 años brindando capacitaciones en las organizaciones sobre seguridad por diseño, aparece un país que lo hace en toda su infraestructura nacional. Ya no hay que discutir con un CEO, CSO o CTO si es positivo para la organización; el país ha decidido que sea una política de Estado.
  2. Garantías de seguridad (assurance) para desarrollar e implementar software que protege los datos y recursos de los usuarios. Quizás, este es el punto que menos se cumple ya que existen errores y posibles vulnerabilidades que permitirían tener acceso a datos sensibles de los ciudadanos. Un investigador y residente extranjero se encargó de mostrarnos varios de estos fallos, pero prometió "hacernos cosas horribles si las divulgábamos". En la era digital, si no se respetan la identidad del usuario y sus datos, la centralización de la información no siempre es positiva.
  3. Asegurar la cadena de provisión, parece obvio, pero si solo uno de los integrantes de una cadena es vulnerable, toda la cadena lo es. Por ejemplo, SandaS GRC (Gobierno, Riesgo y Cumplimiento) permite a las organizaciones soportar su estrategia de negocio, mejorar el desempeño operativo y mitigar los riegos operacionales para asegurar el cumplimiento regulatorio. No quería caer en el lugar común de "la cadena es tan fuerte como el más débil de los eslabones" pero aquí está presente.
  4. Calificación en seguridad. Como mencionaba en el artículo anterior, la capacitación y entrenamiento en ciberseguridad es considerado desde las primeras etapas de la educación primaria y secundaria. Las computadoras, móviles y cibercafés son parte de la vida de los coreanos, jugar Starcraft es una carrera que los jóvenes puede elegir y el hacking se practica desde niños. ¿Qué más se puede pedir? Por eso, desde ElevenPaths organizamos Webcasts semanales sobre temáticas de interés en seguridad de la información.
Como puede verse, para los coreanos el mundo físico -expuesto a una bomba- está íntimamente relacionado con el mundo virtual -vulnerable a un DDoS o una APT- y han comprendido que en ambos campos de batallas hay mucho para perder.

Las reglas del mundo físico no siempre aplican al ciberespacio y, como es difícil encajar las reglas del primero en el segundo, se han establecido grupos de investigación en Legislación Internacional. Se busca innovar en las leyes del nuevo siglo con el ciberespacio como principal protagonista. Así, Corea ha participado en la redacción del nuevo Manual de Tallin -la ley aplicable a la ciberguerra y que debería publicarse muy pronto- y en su protocolo internacional de actuación.

Finalmente, han establecido un código de conducta en Internet que, aunque puede parecer un poco drástico y aburrido (la pornografía está prohibida) es destacable mencionar. Todas estas situaciones hacen reflexionar hacia donde evoluciona la sociedad y plantea un desafío gigante cuando se intenta discutir estrategias y tratados de seguridad internacional.

En la próxima entrega veremos cómo, a pesar de los controles, el cibercrimen es una amenaza sumamente importante en Corea y cuales han sido las medidas que han tomado.

Un hacker en Corea (III)
Un hacker en Corea (y IV)

Lic. Cristian Borghello, CISSP-CCSK-MVP
ElevenPaths Argentina

1 comentario:

  1. Muchas gracias Cristian por hacernos formar parte de esta experiencia!

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!