En el mundo cibernético, es la época de la especulación. Cada año, por esta época, los expertos desempolvan sus bolas de cristal y nos dicen qué esperar el próximo año. Sus previsiones inundan los sitios web de tecnología desde principios de noviembre hasta enero.
Que puede ser útil y entretenido. Pero también pueden ser complicados: no todos los años se desarrollan como se esperaba. A veces prevalece la sabiduría casera del fallecido gran Yogi Berra: "Las predicciones son difíciles, especialmente sobre el futuro".
Especialmente sobre este año.
En efecto. Pasé varias horas revisando la avalancha de pronósticos de seguridad cibernética de noviembre de 2019 de expertos de la industria y, como puede imaginar, ni uno solo mencionó el evento más grande y trascendente del año: que la nación estaría en las garras de un pandemia en marzo, con bloqueos de diversa gravedad que continúan hasta hoy y más allá.
Nadie predijo que después de la conferencia de RSA a fines de febrero, todas las demás conferencias de seguridad del año se cancelarían o se volverían virtuales, ya que las reuniones de más de unas pocas docenas de personas en el interior estaban prohibidas. Nadie predijo que la FMH se convertiría en el acrónimo más común del año, dado que la gran mayoría de los trabajadores que todavía tenían trabajo lo harían desde casa durante meses, mientras sus hijos intentaban adaptarse al aprendizaje remoto.
Nadie predijo que el presupuesto de viajes de la mayoría de los proveedores de seguridad (y de casi todas las demás empresas) se reduciría a algo cercano a cero. Pero, por supuesto, ¿quién podría haber imaginado, y mucho menos predicho, algo de eso? A veces, lo inesperado cambia todo. Hay una razón por la que el cliché se refiere a "retrospectiva 20/20" en lugar de previsión.
¿Qué predicciones de ciberseguridad para 2020 se quedaron cortas?
Alguien declaró con seguridad que "un gobierno occidental se verá obligado a sofocar saqueos y disturbios cuando un ciberataque interrumpa su red eléctrica".
Eso aún podría suceder: quedan otras seis semanas en el año que todos quisieran olvidar. Y hay vulnerabilidades ampliamente reportadas en la infraestructura crítica de EE.UU. Pero hasta ahora, los disturbios civiles de 2020 se debieron principalmente a las protestas de Black Lives Matter, no a un ciberataque.
Secuestro de datos
Otro declaró que la "ventana de ransomware" se cerraría en 2020. ZDNet fue solo uno de los múltiples medios que informaron en los últimos meses que los ataques de ransomware no solo se han multiplicado por siete desde el año pasado, sino que están evolucionando.
En lugar de simplemente encriptar archivos y exigir un rescate por una clave de desencriptación, los atacantes están agregando chantaje / extorsión para obtener más influencia, amenazando con publicar los datos a los que han accedido en foros abiertos si las víctimas no pagan. En esos casos, tener una copia de seguridad no sirve de mucho.
Sin embargo, no todo el mundo veía cerrarse la ventana del ransomware. Algunos otros expertos predijeron correctamente que sería un año excepcional para ese tipo de ataque.
5G
Otro declaró que 2020 sería "el año de la 5G", lo que parece ser parcialmente correcto. Es el año de la publicidad 5G: las grandes empresas de telecomunicaciones la promocionan sin descanso y se crean más dispositivos para aprovecharla. Pero la "próxima gran novedad" en el sector celular sigue estando muy lejos de la corriente principal. Visual Capitalist informó el mes pasado que incluso para 2023, la participación de las redes 5G en América del Norte será solo del 17 por ciento, mejor que cualquier otra región del mundo, pero ni siquiera cerca de un estándar universal.
Y otro declaró que la fecha límite de REAL ID crearía un "caos real". Bueno, tal vez el año que viene. Pero no este año, ya que la pandemia provocó un retraso de un año en el plazo.
IoT: más grande pero no mucho mejor
Todo el mundo predijo que el Internet de las cosas crecería miles de millones. Y tenían razón. También tenían razón en que la seguridad de IoT seguiría siendo de mediocre a pésima.
Si la conciencia de esa realidad es progreso, entonces hay progreso. Los expertos de todo el mundo llevan años pidiendo a los proveedores que "incorporen seguridad" a sus productos, y es un tema constante en las conferencias de seguridad. Pero hasta ahora, los consumidores permanecen mucho más deslumbrados por las características interesantes y la experiencia del usuario que por las protecciones de privacidad y seguridad. Y los proveedores continúan respondiendo a esas prioridades. Así que la necesidad de conferencias de seguridad continúa, ahora más que nunca.
Realidades nubladas
Hace un año era fácil predecir que en 2020 más y más organizaciones se trasladarían, total o parcialmente, a la nube. Era más complicado pronosticar cuántas de esas organizaciones sabrían lo que estaban obteniendo o no obteniendo.
La nube está ganando terreno en la corriente principal por buenas razones, entre ellas, que ahorra dinero, aumenta la capacidad de almacenamiento y la automatización, y permite la agilidad, la flexibilidad y la escalabilidad.
Pero la seguridad en la nube no es una garantía. Como dice el informe Building Security In Maturity Model más reciente, "los proveedores de nube son 100% responsables de proporcionar software de seguridad para que lo utilicen las organizaciones, pero las organizaciones son 100% responsables de la seguridad del software".
Esta no es una lista exhaustiva, por supuesto. Y el hecho de que algunas de las mejores mentes de la industria se hayan equivocado o hayan cometido errores importantes este año no significa que las predicciones no valgan nada. Siempre tiene sentido planificar con anticipación. Y las predicciones para 2021 ya están llegando..
Solo tenga en cuenta que nada está garantizado. Porque las predicciones son difíciles de acertar.