Por: Brad Smith, presidente de Microsoft.
El año pasado trajo al mundo una gama de cambios tecnológicos casi sin precedentes y diversos. Los avances en la inteligencia artificial están acelerando la innovación y remodelando la forma en que las sociedades interactúan y operan. Al mismo tiempo, los ciberdelincuentes y los atacantes de los Estados-nación han desatado iniciativas e innovaciones opuestas que amenazan la seguridad y la estabilidad en comunidades y países de todo el mundo.
En los últimos meses, hemos llegado a la conclusión de que la creciente velocidad, escala y sofisticación de los ciberataques exigen una nueva respuesta. Por lo tanto, hoy lanzamos en toda la compañía una nueva iniciativa para perseguir nuestra próxima generación de protección de ciberseguridad, lo que llamamos nuestra Secure Future Initiative (SFI).
Esta nueva iniciativa reunirá a todas las partes de Microsoft para avanzar en la protección de la ciberseguridad. Tendrá tres pilares, centrados en las defensas cibernéticas basadas en IA, los avances en la ingeniería de software fundamental y la defensa de una aplicación más estricta de las normas internacionales para proteger a los civiles de las amenazas cibernéticas. Charlie Bell, nuestro Vicepresidente ejecutivo de seguridad de Microsoft, ya ha compartido los detalles de Secure Future Initiative con nuestros equipos de ingeniería y lo que significa este plan de acción para nuestras prácticas de desarrollo de software.
Comparto a continuación nuestra perspectiva sobre los cambios que nos han llevado a dar estos nuevos pasos, así como más información sobre cada parte de nuestra Iniciativa Futuro Seguro.
El cambiante panorama de amenazas
A finales de mayo, publicamos información que mostraba una nueva actividad cibernética de estados-nación dirigida a organizaciones de infraestructuras críticas en todo Estados Unidos. La actividad fue desconcertante no sólo por su amenaza para la población civil en todo el país, sino también por la sofisticación de las técnicas involucradas. Como destacamos en mayo, los ataques involucraron técnicas sofisticadas, pacientes, sigilosas, bien dotadas de recursos y respaldadas por el gobierno para infectar y socavar la integridad de las redes informáticas a largo plazo. Este verano hemos sido testigos de actividades similares dirigidas a la infraestructura de servicios en la nube, incluso en Microsoft.
Estos ataques ponen de manifiesto un atributo fundamental del panorama actual de amenazas. A pesar de que los últimos años han traído enormes mejoras, necesitaremos pasos nuevos y diferentes para cerrar la brecha de ciberseguridad restante. Como compartimos el mes pasado en nuestro Informe anual de defensa digital de Microsoft, la implementación de prácticas de higiene cibernética bien desarrolladas ahora protege de manera efectiva contra la gran mayoría de los ataques cibernéticos. Pero los atacantes con mejores recursos han respondido buscando sus propias innovaciones, y están actuando de manera más agresiva y con aún más sofisticación que en el pasado.
Los descarados actores de los Estado-nación se han vuelto más prolíficos en sus operaciones cibernéticas, llevando a cabo operaciones de espionaje, sabotaje, ataques destructivos y operaciones de influencia contra otros países y entidades con más paciencia y persistencia. Microsoft estima que el 40% de todos los ataques a estados-nación en los últimos dos años se han centrado en infraestructuras críticas, con operadores sofisticados y financiados por el estado que piratean sistemas vitales como redes eléctricas, sistemas de agua e instalaciones sanitarias. En cada uno de estos sectores, las consecuencias de una posible disrupción cibernética son obviamente nefastas.
Al mismo tiempo, la mejora de la protección ha elevado las barreras de entrada para los ciberdelincuentes, pero ha permitido cierta consolidación del mercado para un grupo más pequeño, pero más pernicioso de actores sofisticados. La Unidad de Delitos Digitales de Microsoft está rastreando a 123 sofisticados afiliados de ransomware como servicio, que bloquean o roban datos y luego exigen un pago por su devolución. Desde septiembre de 2022, estimamos que los intentos de ransomware han aumentado en más de un 200%. Si bien las empresas con una seguridad eficaz pueden gestionar estas amenazas, estos ataques son cada vez más frecuentes y complejos, y se dirigen a organizaciones más pequeñas y vulnerables, como hospitales, escuelas y gobiernos locales. Más del 80% de los ataques de ransomware exitosos se originan en dispositivos no administrados, lo que destaca la importancia de expandir las medidas de protección a todos los dispositivos digitales.
Las amenazas cibernéticas de hoy en día emanan de operaciones bien financiadas y piratas informáticos calificados que emplean las herramientas y técnicas más avanzadas. Ya sea que trabajen por motivos geopolíticos o financieros, estos estados nacionales y grupos criminales están constantemente evolucionando sus prácticas y expandiendo sus objetivos, sin dejar a ningún país, organización, individuo, red o dispositivo fuera de su vista. No solo comprometen las máquinas y las redes; plantean graves riesgos para las personas y las sociedades. Requieren una nueva respuesta basada en nuestra capacidad de utilizar nuestros propios recursos y nuestras tecnologías y prácticas más sofisticadas.
Defensa cibernética basada en inteligencia artificial
La guerra en Ucrania ha demostrado la capacidad del sector tecnológico para desarrollar defensas cibernéticas más sólidas que las amenazas ofensivas avanzadas. La exitosa defensa cibernética de Ucrania ha requerido una responsabilidad compartida entre el sector tecnológico y el gobierno, con el apoyo de los aliados del país. Es un testimonio de la combinación de liderazgo del sector público con inversiones corporativas y de la conjunción de la potencia informática con la inventiva humana. Más que nada, proporciona inspiración para lo que podemos lograr a una escala aún mayor al aprovechar el poder de la inteligencia artificial para defendernos mejor contra nuevas amenazas cibernéticas.
Como empresa, estamos comprometidos a construir un escudo cibernético basado en inteligencia artificial que protegerá a clientes y países de todo el mundo. Nuestra red global de centros de datos basados en inteligencia artificial y el uso de modelos de inteligencia artificial fundamentales avanzados nos sitúan en una posición sólida para poner la inteligencia artificial a trabajar en el avance de la protección cibernética.
Como parte de nuestra Secure Future Initiative, continuaremos acelerando este trabajo en múltiples frentes.
En primer lugar, estamos dando pasos nuevos para utilizar la inteligencia artificial en el avance de la inteligencia de amenazas de Microsoft. El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) y el Centro de Análisis de Amenazas de Microsoft (MTAC) están utilizando herramientas y técnicas de inteligencia artificial avanzadas para detectar y analizar amenazas cibernéticas. Estamos extendiendo estas capacidades directamente a los clientes, incluso a través de nuestras tecnologías de seguridad de Microsoft, que recopilan y analizan datos de clientes de múltiples fuentes.
Una razón por la cual estos avances en inteligencia artificial son tan importantes es debido a su capacidad para abordar uno de los desafíos de ciberseguridad más apremiantes del mundo. Los dispositivos ubicuos y las conexiones a Internet constantes han creado un vasto océano de datos digitales, lo que dificulta la detección de ciberataques. En un solo día, Microsoft recibe más de 65 billones de señales de dispositivos y servicios de todo el mundo. Incluso si los 8 mil millones de personas en el planeta buscaran juntas evidencia de ciberataques, nunca podríamos mantener el ritmo.
Pero la inteligencia artificial cambia el juego. Mientras que los actores malintencionados buscan ocultar sus amenazas como una aguja en un inmenso pajar de datos, la inteligencia artificial cada vez hace posible encontrar la aguja correcta incluso en un mar de agujas. Y junto con una red global de centros de datos, estamos decididos a utilizar la inteligencia artificial para detectar amenazas a una velocidad tan rápida como la propia Internet.
En segundo lugar, estamos utilizando la inteligencia artificial como un agente de cambio para todas las organizaciones para ayudar a combatir los ciberataques a la velocidad de la máquina. Uno de los mayores desafíos de ciberseguridad del mundo en la actualidad es la escasez de profesionales de ciberseguridad capacitados. Con una escasez global de más de tres millones de personas, las organizaciones necesitan toda la productividad que puedan obtener de su fuerza laboral de ciberseguridad. Además, la velocidad, escala y sofisticación de los ataques crea una asimetría donde es difícil para las organizaciones prevenir y desarticular ataques a gran escala. El Copiloto de Seguridad de Microsoft combina un modelo de lenguaje grande con un modelo específico de seguridad que posee diversas habilidades e información de inteligencia de amenazas de Microsoft. Genera información y recomendaciones en lenguaje natural a partir de datos complejos, haciendo que los analistas sean más efectivos y receptivos, atrapando amenazas que podrían haber sido pasadas por alto y ayudando a las organizaciones a prevenir y desarticular ataques a la velocidad de la máquina.
Otro ingrediente vital para el éxito es la combinación de estos avances impulsados por la inteligencia artificial con el uso de capacidades de detección y respuesta extendida en dispositivos finales. Como se mencionó anteriormente, hoy en día más del 80% de los compromisos de ransomware provienen de dispositivos no gestionados o «trae-tu-propio-dispositivo» que los empleados utilizan para acceder a sistemas e información relacionados con el trabajo. Pero una vez que se gestionan con un servicio como Microsoft Defender for Endpoint, las técnicas de detección de inteligencia artificial proporcionan protección en tiempo real que intercepta y derrota ciberataques en puntos finales informáticos como computadoras portátiles, teléfonos y servidores. Los avances durante el tiempo de guerra en Ucrania han brindado amplias oportunidades para probar y ampliar esta protección, incluido el exitoso uso de la inteligencia artificial para identificar y derrotar ciberataques rusos incluso antes de cualquier detección humana.
En tercer lugar, estamos asegurando la inteligencia artificial en nuestros servicios basándonos en nuestros principios de Inteligencia Artificial Responsable. Reconocemos que estas nuevas tecnologías de inteligencia artificial deben avanzar con sus propios salvaguardias de seguridad y protección. Es por eso que estamos desarrollando e implementando la inteligencia artificial en nuestros servicios basándonos en nuestros principios y prácticas de Inteligencia Artificial Responsable. Estamos enfocados en evolucionar estas prácticas para mantener el ritmo con los cambios en la tecnología en sí misma.
Aunque la mayoría de nuestros servicios de ciberseguridad protegen a consumidores y organizaciones, también estamos comprometidos en construir una protección basada en inteligencia artificial más sólida para gobiernos y países. Justo la semana pasada, anunciamos que invertiremos 3.200 millones de dólares para ampliar nuestra infraestructura de cómputo en la nube hiperescalar e inteligencia artificial en Australia, incluido el desarrollo del Escudo Cibernético Microsoft-Australian Signals Directorate (MACS). En colaboración con esta agencia crítica del Gobierno Australiano, esto mejorará nuestra capacidad conjunta para identificar, prevenir y responder a amenazas cibernéticas. Es un buen indicador de hacia dónde debemos llevar la inteligencia artificial en el futuro, construyendo una protección más segura para países de todo el mundo.
Nuevos avances en la ingeniería
Además de las nuevas capacidades de inteligencia artificial, un futuro más seguro requerirá nuevos avances en la ingeniería de software fundamental. Por eso, Charlie Bell está enviando a nuestros empleados esta mañana un correo electrónico coescrito con sus colegas ingenieros Scott Guthrie y Rajesh Jha. Esto marca como parte de nuestra Secure Future Initiative un nuevo estándar de seguridad al avanzar en la forma en que diseñamos, construimos, probamos y operamos nuestra tecnología.
Puedes leer el correo electrónico completo de Charlie aquí. En resumen, contiene tres pasos clave:
Primero, transformaremos la forma en que desarrollamos software con automatización e inteligencia artificial. Los desafíos de las amenazas de ciberseguridad de hoy y las oportunidades creadas por la inteligencia artificial generativa han marcado un punto de inflexión para la ingeniería de software segura. Los pasos que Charlie está compartiendo hoy con nuestros ingenieros representan la siguiente etapa evolutiva del Ciclo de Desarrollo de Seguridad (SDL, por sus siglas en inglés), que Microsoft inventó en 2004. Ahora evolucionaremos esto a lo que llamamos «SDL dinámico», o dSDL. Esto aplicará procesos sistemáticos para integrar continuamente la protección de ciberseguridad contra patrones de amenazas emergentes a medida que nuestros ingenieros codifican, prueban, implementan y operan nuestros sistemas y servicios. Como explica Charlie, complementaremos esto con otras medidas de ingeniería adicionales, incluido el análisis de código seguro potenciado por inteligencia artificial y el uso de GitHub Copilot para auditar y probar código fuente contra escenarios de amenazas avanzadas.
Como parte de este proceso, en el próximo año habilitaremos a los clientes con configuraciones predeterminadas más seguras para la autenticación multifactor (MFA) de manera preestablecida. Esto ampliará nuestras políticas predeterminadas actuales a un conjunto más amplio de servicios para el cliente, centrándonos en donde los clientes necesitan esta protección con mayor urgencia. Somos conscientes de la repercusión de tales cambios en la infraestructura informática heredada, por lo que nos centraremos tanto en nuevos trabajos de ingeniería como en comunicaciones amplias para explicar dónde nos enfocamos en estas configuraciones predeterminadas y los beneficios de seguridad que esto generará.
Segundo, fortaleceremos la protección de la identidad contra ataques altamente sofisticados. Las amenazas basadas en la identidad, como los ataques de contraseñas, se han incrementado diez veces en el último año, con naciones y ciberdelincuentes desarrollando técnicas más sofisticadas para robar y utilizar credenciales de inicio de sesión. Como explica Charlie, nos protegeremos contra estas amenazas cambiantes aplicando nuestra protección de identidad más avanzada a través de un proceso unificado y consistente que gestionará y verificará las identidades y derechos de acceso de nuestros usuarios, dispositivos y servicios en todos nuestros productos y plataformas. También pondremos estas capacidades avanzadas a disposición de desarrolladores de aplicaciones que no pertenezcan a Microsoft de manera gratuita.
Como parte de esta iniciativa, también migraremos a un sistema de gestión de claves completamente automatizado para consumidores y empresas, con una arquitectura diseñada para asegurar que las claves permanezcan inaccesibles incluso cuando los procesos subyacentes puedan estar comprometidos. Esto se basará en nuestra arquitectura de cómputo confidencial y el uso de módulos de seguridad de hardware (HSMs) que almacenan y protegen claves en hardware y que cifran datos en reposo, en tránsito y durante la computación.
Tercero, estamos llevando al límite la respuesta a vulnerabilidades y las actualizaciones de seguridad para nuestras plataformas en la nube. Planeamos reducir a la mitad el tiempo que lleva mitigar las vulnerabilidades en la nube. También alentaremos a una mayor transparencia en la presentación de informes de una manera más consistente en todo el sector tecnológico.
Sin duda, añadiremos otras prácticas de ingeniería y desarrollo de software en los próximos meses y años, basados en el aprendizaje y la retroalimentación de estos esfuerzos. Al igual que Trustworthy Computing hace más de dos décadas, nuestras iniciativas de la IFP reunirán a personas y grupos de Microsoft para evaluar e innovar en todo el panorama de la ciberseguridad.
Una aplicación más firme de normas internacionales
Finalmente, creemos que las defensas de la inteligencia artificial más sólidas y los avances en ingeniería deben combinarse con un tercer componente crítico – una aplicación más firme de normas internacionales en el ciberespacio.
En 2017, abogamos por una Convención Digital de Ginebra, un conjunto de principios y normas que regirían el comportamiento de los estados y actores no estatales en el ciberespacio. Argumentamos que necesitábamos hacer cumplir y ampliar las normas necesarias para proteger a los civiles en el ciberespacio de una creciente variedad de amenazas cibernéticas. En los seis años desde ese llamado, el sector tecnológico y los gobiernos han dado numerosos pasos adelante en este ámbito, y la naturaleza precisa de lo que necesitamos ha evolucionado. Pero en espíritu y en su esencia, creo que el caso de una Convención Digital de Ginebra es más sólido que nunca.
La esencia de la Convención de Ginebra siempre ha sido la protección de los civiles inocentes. Lo que necesitamos hoy para el ciberespacio no es una convención o tratado único, sino un compromiso público más fuerte y amplio por parte de la comunidad de naciones para oponerse con mayor determinación a los ciberataques contra civiles y la infraestructura de la que todos dependemos. Fundamentalmente, necesitamos esfuerzos renovados que unan a gobiernos, al sector privado y a la sociedad civil para avanzar en normas internacionales en dos frentes. Comprometeremos a los equipos de Microsoft en todo el mundo a abogar por y apoyar estos esfuerzos.
En primer lugar, necesitamos unirnos de manera más amplia y pública para respaldar y reforzar las normas clave que establecen las líneas rojas que ningún gobierno debería cruzar.
Todos deberíamos repudiar los esfuerzos decididos de los estados-nación que buscan instalar malware o crear o explotar otras debilidades de ciberseguridad en las redes de proveedores de infraestructura crítica. Estos no tienen conexión alguna con los esfuerzos de espionaje que los gobiernos han perseguido durante siglos y en su lugar parecen diseñados para amenazar las vidas de civiles inocentes en una futura crisis o conflicto. Si los principios de la Convención de Ginebra van a tener vitalidad continua en el siglo XXI, la comunidad internacional debe reforzar una línea roja clara y nítida que coloque este tipo de conducta claramente fuera de límites.
Por lo tanto, todos los estados deberían comprometerse públicamente a no implantar vulnerabilidades de software en las redes de proveedores de infraestructura crítica, como energía, agua, alimentos, atención médica u otros. También deberían comprometerse a no permitir que ninguna persona dentro de su territorio o jurisdicción participe en operaciones cibercriminales dirigidas contra infraestructuras críticas.
De manera similar, el último año ha visto un aumento en los esfuerzos de los estados-nación para apuntar a servicios en la nube, ya sea directa o indirectamente, para acceder a datos sensibles, interrumpir sistemas críticos o difundir desinformación y propaganda. Los servicios en la nube mismos se han convertido en una pieza crítica de apoyo para todos los aspectos de nuestras sociedades, incluyendo agua confiable, alimentos, energía, atención médica, información y otros elementos esenciales.
Por estas razones, los estados deberían reconocer los servicios en la nube como infraestructura crítica, con protección contra ataques bajo el derecho internacional.
Esto debería llevar a tres compromisos relacionados:
- Los estados no deberían participar ni permitir que ninguna persona dentro de su territorio o jurisdicción participe en operaciones cibernéticas que comprometan la seguridad, integridad o confidencialidad de los servicios en la nube.
- Los estados no deberían comprometer indiscriminadamente la seguridad de los servicios en la nube con fines de espionaje.
- Los estados deberían llevar a cabo operaciones cibernéticas de manera que no impongan costos a aquellos que no son el objetivo de las operaciones.
En segundo lugar, necesitamos que los gobiernos hagan más juntos para fomentar una mayor responsabilidad para los estados-nación que cruzan estas líneas rojas. El año no ha carecido de pruebas contundentes de acciones de estados-nación que violan estas normas. Lo que necesitamos ahora son atribuciones sólidas, públicas, multilaterales y unificadas por parte de los gobiernos que responsabilicen a estos estados y los desalienten de repetir el mal comportamiento.
Las empresas tecnológicas y el sector privado desempeñan un papel importante en la protección cibernética, y estamos comprometidos con nuevos pasos y acciones más fuertes. Pero especialmente cuando se trata de actividad de estados-nación, la ciberseguridad es una responsabilidad compartida. Y así como las empresas tecnológicas deben hacer más, los gobiernos también deberán hacer más. Si todos nos unimos, podemos tomar los tipos de medidas que darán al mundo lo que se merece: un futuro más seguro.
