Robert Blumofe es vicepresidente ejecutivo y CTO de Akamai, compañía en la que lleva trabajando desde hace 23 años y que es proveedora de una de las mayores CDN (red de distribución de contenidos) del mundo, que cuenta con Microsoft, Adobe Systems, Yahoo!, American Express, la Casa Blanca, Apple o TikTok entre sus clientes.
Con ese bagaje, no ha sido de extrañar que su sesión de Pregúntame Cualquier Cosa (o ‘AMA’ por sus siglas en inglés) en el foro r/cybersecurity de la plataforma Reddit haya suscitado un gran interés y un enorme número de preguntas.
»Pregúntame sobre Zero Trust», decía en la publicación inicial, «sobre por qué odio ese apodo, por qué creo que todo acceso debería ser un acceso remoto y por qué creo que no existe tal cosa como una red segura«. Pero un usuario le hizo una pregunta a la vez más amplia y más concreta:
«¿Cuál es la mejor manera de proteger la información de un usuario?«.
Y su respuesta fue igualmente amplia y concreta al mismo tiempo:
«Yo diría que controlar el acceso a esa información: requerir MFA compatible con FIDO2 y usar un mecanismo de acceso de confianza cero».
Pero… ¿qué es eso de Zero Trust?
Muchos castillos medievales tenían altos muros y un foso a su alrededor, estableciendo así un perímetro de seguridad ante los peligros externos, con la idea de mantener a salvo a los de dentro. Pero ya en la Edad Antigua, los troyanos habían descubierto que cualquier pequeño error de juicio podía difuminar esa separación tajante entre ‘dentro’ y fuera’.
Y de eso se dio cuenta también el analista de ciberseguridad John Kindervag unos siglos más tarde, en 2019, cuando apostó por cambiar la estrategia de «confiar, pero verificar» por la de «nunca confiar, siempre verificar» y la bautizó como ‘Zero Trust’. Y es que no tenía mucho sentido confiar en murallas y fosos cuando gran parte de la plantilla trabaja en remoto fuera de la red física de la compañía.
De modo que, resumiendo, ‘Zero Trust’ es un modelo de seguridad de red que se fundamenta sobre un principio básico: que no podemos pensar en términos de ‘red interna confiable’ y ‘red externa no confiable’. Y que, por ello, ningún usuario o dispositivo, a un lado u otro de la red, debe tener acceso a ningún dato o sistema sin haber sido previamente autenticado y sin estar sometido a comprobación.
Blumofe explica porqué odia el término —que no, obviamente, el concepto—:
«Como empleado de Akamai, donde utilizamos Zero Trust, no lo interpreto como una señal de que nuestro equipo de TI no confía en mí. Por el contrario, me consuela saber que nuestros sistemas Zero Trust siempre están atentos, asegurándome de que un error inocente de mi parte (por ejemplo, hacer clic en un enlace que no debería) no termine causando un daño a la empresa».
El propio sitio web corporativo de Akamai expone un ejemplo de cómo funciona esta ‘Confianza Cero’ (por cierto, a pesar de la crítica de su CTO, el artículo usa el mismo término):
«Si un usuario o dispositivo muestra indicios de que está actuando de manera diferente a lo habitual, se tiene en cuenta y se supervisa como una posible amenaza. Por ejemplo, Marcus de Acme Co. suele iniciar sesión en Columbus, Ohio, en los Estados Unidos, pero hoy está intentando acceder a la intranet de Acme desde Berlín, Alemania. Aunque el nombre de usuario y la contraseña de Marcus se ingresaran correctamente, un enfoque Zero Trust reconocería la anomalía en el comportamiento de Marcus y tomaría medidas, como someter a Marcus a otra prueba de autenticación para verificar su identidad».
Ok, ¿y lo de MFA y FIDO2?
Al margen de Zero Trust, hay otros dos conceptos de ciberseguridad que Blumofe menciona en su respuesta al usuario de Reddit:
-
MFA: Autenticación multifactor (la de 2 pasos? o más); es decir, el típico (a estas alturas, al menos) inicio de sesión en el que, además de usuario y contraseña, tenemos que demostrar que somos quienes decimos ser, y no meros ladrones de información, completando al menos un paso más de autenticación (introducir un código recibido mediante SMS, realizar alguna acción en una aplicación desde un dispositivo ajeno al que eso iniciando sesión, etc).
-
FIDO2: Es un estándar presentado en 2019 con el que las grandes empresas tecnológicas buscan que podamos olvidarnos de las contraseñas gracias al móvil. Las aplicaciones bancarias que nos permiten iniciar sesión usando el lector de huellas del terminal, por ejemplo, hacen uso de este estándar. Puedes encontrar una explicación mucho más detallada sobre FIDO2 en XatakaMóvil.
Fuente info
Autor: