Secure Future Initiative: un nuevo mundo de seguridad
Microsoft busca el camino hacia un futuro más seguro en el mundo de la ciberseguridad, abordando las amenazas cibernéticas con una nueva iniciativa.
Conforme la tecnología cobra un papel cada vez más importante en la economía global, los roles y perfiles relacionados con conocimientos y habilidades en los campos de la ciencia, tecnología, ingeniería y matemáticas resultan más relevantes de cara al futuro. Sin embargo, históricamente dichos campos han contado con una mayor participación de hombres, al grado que, pese a los esfuerzos impulsados en los últimos años, datos del Massachusetts Institute of Technology han revelado que durante 2023 solo 28% de la fuerza laboral en las diferentes áreas de STEM son mujeres.
El año pasado trajo al mundo una gama de cambios tecnológicos casi sin precedentes y diversos. Los avances en la inteligencia artificial están acelerando la innovación y remodelando la forma en que las sociedades interactúan y operan. Al mismo tiempo, los ciberdelincuentes y los atacantes de los Estados-nación han desatado iniciativas e innovaciones opuestas que amenazan la seguridad y la estabilidad en comunidades y países de todo el mundo.
En los últimos meses, hemos llegado a la conclusión de que la creciente velocidad, escala y sofisticación de los ciberataques exigen una nueva respuesta. Por lo tanto, hoy lanzamos en toda la compañía una nueva iniciativa para perseguir nuestra próxima generación de protección de ciberseguridad, lo que llamamos nuestra Secure Future Initiative.
Esta nueva iniciativa reunirá a todas las partes de Microsoft para avanzar en la protección de la ciberseguridad. Tendrá tres pilares, centrados en las defensas cibernéticas basadas en IA, los avances en la ingeniería de software fundamental y la defensa de una aplicación más estricta de las normas internacionales para proteger a los civiles de las amenazas cibernéticas. Charlie Bell, nuestro Vicepresidente ejecutivo de seguridad de Microsoft, ya ha compartido los detalles de Secure Future Initiative con nuestros equipos de ingeniería y lo que significa este plan de acción para nuestras prácticas de desarrollo de software.
Comparto a continuación nuestra perspectiva sobre los cambios que nos han llevado a dar estos nuevos pasos, así como más información sobre cada parte de nuestra Secure Future Initiative.
El cambiante panorama de amenazas
A finales de mayo, publicamos información que mostraba una nueva actividad cibernética de estados-nación dirigida a organizaciones de infraestructuras críticas en todo Estados Unidos. La actividad fue desconcertante no sólo por su amenaza para la población civil en todo el país, sino también por la sofisticación de las técnicas involucradas. Como destacamos en mayo, los ataques involucraron técnicas sofisticadas, pacientes, sigilosas, bien dotadas de recursos y respaldadas por el gobierno para infectar y socavar la integridad de las redes informáticas a largo plazo. Este verano hemos sido testigos de actividades similares dirigidas a la infraestructura de servicios en la nube, incluso en Microsoft.
Estos ataques ponen de manifiesto un atributo fundamental del panorama actual de amenazas. A pesar de que los últimos años han traído enormes mejoras, necesitaremos pasos nuevos y diferentes para cerrar la brecha de ciberseguridad restante. Como compartimos el mes pasado en nuestro informe anual de defensa digital de Microsoft, la implementación de prácticas de higiene cibernética bien desarrolladas ahora protege de manera efectiva contra la gran mayoría de los ataques cibernéticos. Pero los atacantes con mejores recursos han respondido buscando sus propias innovaciones, y están actuando de manera más agresiva y con aún más sofisticación que en el pasado.
Los descarados actores de los Estado-nación se han vuelto más prolíficos en sus operaciones cibernéticas, llevando a cabo operaciones de espionaje, sabotaje, ataques destructivos y operaciones de influencia contra otros países y entidades con más paciencia y persistencia.
Defensa cibernética basada en inteligencia artificial
La guerra en Ucrania ha demostrado la capacidad del sector tecnológico para desarrollar defensas cibernéticas más sólidas que las amenazas ofensivas avanzadas. La exitosa defensa cibernética de Ucrania ha requerido una responsabilidad compartida entre el sector tecnológico y el gobierno, con el apoyo de los aliados del país. Es un testimonio de la combinación de liderazgo del sector público con inversiones corporativas y de la conjunción de la potencia informática con la inventiva humana.
Como empresa, estamos comprometidos a construir un escudo cibernético basado en inteligencia artificial que protegerá a clientes y países de todo el mundo. Nuestra red global de centros de datos basados en inteligencia artificial y el uso de modelos de inteligencia artificial fundamentales avanzados nos sitúan en una posición sólida para poner la inteligencia artificial a trabajar en el avance de la protección cibernética. Como parte de nuestra Secure Future Initiative, continuaremos acelerando este trabajo en múltiples frentes.
En primer lugar, estamos dando pasos nuevos para utilizar la inteligencia artificial en el avance de la inteligencia de amenazas de Microsoft. El centro de inteligencia de amenazas de Microsoft y el centro de análisis de amenazas de Microsoft están utilizando herramientas y técnicas de inteligencia artificial avanzadas para detectar y analizar amenazas cibernéticas. Estamos extendiendo estas capacidades directamente a los clientes, incluso a través de nuestras tecnologías de seguridad de Microsoft, que recopilan y analizan datos de clientes de múltiples fuentes.
Una razón por la cual estos avances en inteligencia artificial son tan importantes es debido a su capacidad para abordar uno de los desafíos de ciberseguridad más apremiantes del mundo. Los dispositivos ubicuos y las conexiones a Internet constantes han creado un vasto océano de datos digitales, lo que dificulta la detección de ciberataques.
Pero la inteligencia artificial cambia el juego. Mientras que los actores malintencionados buscan ocultar sus amenazas como una aguja en un inmenso pajar de datos, la inteligencia artificial cada vez hace posible encontrar la aguja correcta incluso en un mar de agujas. Y junto con una red global de centros de datos, estamos decididos a utilizar la inteligencia artificial para detectar amenazas a una velocidad tan rápida como la propia Internet.
En segundo lugar, estamos utilizando la inteligencia artificial como un agente de cambio para todas las organizaciones para ayudar a combatir los ciberataques a la velocidad de la máquina. Uno de los mayores desafíos de ciberseguridad del mundo en la actualidad es la escasez de profesionales de ciberseguridad capacitados. Con una escasez global de más de tres millones de personas, las organizaciones necesitan toda la productividad que puedan obtener de su fuerza laboral de ciberseguridad. Además, la velocidad, escala y sofisticación de los ataques crea una asimetría donde es difícil para las organizaciones prevenir y desarticular ataques a gran escala.
El copiloto de seguridad de Microsoft combina un modelo de lenguaje grande con un modelo específico de seguridad que posee diversas habilidades e información de inteligencia de amenazas de Microsoft. Genera información y recomendaciones en lenguaje natural a partir de datos complejos, haciendo que los analistas sean más efectivos y receptivos, atrapando amenazas que podrían haber sido pasadas por alto y ayudando a las organizaciones a prevenir y desarticular ataques a la velocidad de la máquina.
En tercer lugar, estamos asegurando la inteligencia artificial en nuestros servicios basándonos en nuestros principios de inteligencia artificial responsable. Reconocemos que estas nuevas tecnologías de inteligencia artificial deben avanzar con sus propios salvaguardias de seguridad y protección. Es por eso que estamos desarrollando e implementando la inteligencia artificial en nuestros servicios basándonos en nuestros principios y prácticas de IA responsable.
Nuevos avances en la ingeniería
Además de las nuevas capacidades de inteligencia artificial, un futuro más seguro requerirá nuevos avances en la ingeniería de software fundamental. Por eso, Charlie Bell envió a nuestros empleados un correo electrónico coescrito con sus colegas ingenieros Scott Guthrie y Rajesh Jha. Esto marca como parte de nuestra Secure Future Initiative un nuevo estándar de seguridad al avanzar en la forma en que diseñamos, construimos, probamos y operamos nuestra tecnología.
Primero, transformaremos la forma en que desarrollamos software con automatización e inteligencia artificial. Los desafíos de las amenazas de ciberseguridad de hoy y las oportunidades creadas por la inteligencia artificial generativa han marcado un punto de inflexión para la ingeniería de software segura. Los pasos que Charlie está compartiendo con nuestros ingenieros representan la siguiente etapa evolutiva del ciclo de desarrollo de seguridad, que Microsoft inventó en 2004. Ahora evolucionaremos esto a lo que llamamos «SDL dinámico», o dSDL. Esto aplicará procesos sistemáticos para integrar continuamente la protección de ciberseguridad contra patrones de amenazas emergentes a medida que nuestros ingenieros codifican, prueban, implementan y operan nuestros sistemas y servicios. Como explica Charlie, complementaremos esto con otras medidas de ingeniería adicionales, incluido el análisis de código seguro potenciado por inteligencia artificial y el uso de GitHub Copilot para auditar y probar código fuente contra escenarios de amenazas avanzadas.
Como parte de este proceso, en el próximo año habilitaremos a los clientes con configuraciones predeterminadas más seguras para la autenticación multifactorial de manera preestablecida. Esto ampliará nuestras políticas predeterminadas actuales a un conjunto más amplio de servicios para el cliente, centrándonos en donde los clientes necesitan esta protección con mayor urgencia.
Segundo, fortaleceremos la protección de la identidad contra ataques altamente sofisticados. Las amenazas basadas en la identidad, como los ataques de contraseñas, se han incrementado diez veces en el último año, con naciones y ciberdelincuentes desarrollando técnicas más sofisticadas para robar y utilizar credenciales de inicio de sesión. Como explica Charlie, nos protegeremos contra estas amenazas cambiantes aplicando nuestra protección de identidad más avanzada a través de un proceso unificado y consistente que gestionará y verificará las identidades y derechos de acceso de nuestros usuarios, dispositivos y servicios en todos nuestros productos y plataformas. También pondremos estas capacidades avanzadas a disposición de desarrolladores de aplicaciones que no pertenezcan a Microsoft de manera gratuita.
Como parte de esta iniciativa, también migraremos a un sistema de gestión de claves completamente automatizado para consumidores y empresas, con una arquitectura diseñada para asegurar que las claves permanezcan inaccesibles incluso cuando los procesos subyacentes puedan estar comprometidos.
Tercero, estamos llevando al límite la respuesta a vulnerabilidades y las actualizaciones de seguridad para nuestras plataformas en la nube. Planeamos reducir a la mitad el tiempo que lleva mitigar las vulnerabilidades en la nube. También alentaremos a una mayor transparencia en la presentación de informes de una manera más consistente en todo el sector tecnológico.
Una aplicación más firme de normas internacionales
Finalmente, creemos que las defensas de la inteligencia artificial más sólidas y los avances en ingeniería deben combinarse con un tercer componente crítico, una aplicación más firme de normas internacionales en el ciberespacio.
En 2017, abogamos por una Convención Digital de Ginebra, un conjunto de principios y normas que regirían el comportamiento de los estados y actores no estatales en el ciberespacio. La esencia de la Convención de Ginebra siempre ha sido la protección de los civiles inocentes. Lo que necesitamos hoy para el ciberespacio no es una convención o tratado único, sino un compromiso público más fuerte y amplio por parte de la comunidad de naciones para oponerse con mayor determinación a los ciberataques contra civiles y la infraestructura de la que todos dependemos. Fundamentalmente, necesitamos esfuerzos renovados que unan a gobiernos, al sector privado y a la sociedad civil para avanzar en normas internacionales en dos frentes. Comprometeremos a los equipos de Microsoft en todo el mundo a abogar por y apoyar estos esfuerzos.
Todos deberíamos repudiar los esfuerzos decididos de los estados-nación que buscan instalar malware o crear o explotar otras debilidades de ciberseguridad en las redes de proveedores de infraestructura crítica. Estos no tienen conexión alguna con los esfuerzos de espionaje que los gobiernos han perseguido durante siglos y en su lugar parecen diseñados para amenazar las vidas de civiles inocentes en una futura crisis o conflicto. Si los principios de la Convención de Ginebra van a tener vitalidad continua en el siglo XXI, la comunidad internacional debe reforzar una línea roja clara y nítida que coloque este tipo de conducta claramente fuera de límites.
El último año ha visto un aumento en los esfuerzos de los estados-nación para apuntar a servicios en la nube, ya sea directa o indirectamente, para acceder a datos sensibles, interrumpir sistemas críticos o difundir desinformación y propaganda. Los servicios en la nube mismos se han convertido en una pieza crítica de apoyo para todos los aspectos de nuestras sociedades, incluyendo agua confiable, alimentos, energía, atención médica, información y otros elementos esenciales.
Las empresas tecnológicas y el sector privado desempeñan un papel importante en la protección cibernética, y estamos comprometidos con nuevos pasos y acciones más fuertes. Pero especialmente cuando se trata de actividad de estados-nación, la ciberseguridad es una responsabilidad compartida. Y así como las empresas tecnológicas deben hacer más, los gobiernos también deberán hacer más. Si todos nos unimos, podemos tomar los tipos de medidas que darán al mundo lo que se merece: un futuro más seguro.
Por Brad Smith, presidente de Microsoft.
