2021 fue un año trascendental para la criptografía y la ciberseguridad. El ataque al proveedor informático SolarWinds anunciado el pasado 13 de diciembre puso en alerta a grandes corporaciones y gobiernos del mundo, incluido la NASA y el Pentágono. SolarWinds, proveedor de software externo, es la empresa fabricante de Orion, un software que es usado por unos 33.000 clientes entre los que se incluyen 425 de las empresas que integran la lista de Fortune 500 (entre ellas AT&T, McDonald's, MasterCard, Visa) además de las cinco agencias militares de los EE.UU.

Lo que empezó como un ciberataque a un software se convirtió en el acceso a un código fuente, como lo anunció la compañía ampliamente reconocida. El ataque a SolarWinds compromete a todas las empresas de todos los países que usan Orion, incluyendo México, Canadá, Bélgica, Reino Unido, España, Israel y Estados Unidos.

Este súbito ataque calificado como el ciberataque más sofisticado en la historia de la ciberseguridad, revela una señal de los avances que tuvieron los ciberataques en el último año.

Si bien para muchos campos desde 2020 todos los procesos se han ralentizado, en el mundo digital la pandemia tuvo un efecto contrario. No solo aumentaron los ciberataques, también el número de usuarios que utiliza la red para hacer transacciones de tipo económica y comercial y con ello el incremento de intercambio de datos confidenciales y la necesidad de respaldarlos y asegurarlos.

Es por esa razón que las tendencias en criptografía y ciberseguridad tienen una gran expectativa para este 2022, la necesidad de llevar la seguridad cibernética a la vanguardia se ha convertido en la prioridad de todas las industrias (banca, comercio minorista, manufactura y automotriz) para proteger y asegurar los datos de los usuarios a medida que se digitaliza la vida.

Para Ryan Smith, vicepresidente de desarrollo de negocios globales de Futurex, considera que hay siete tendencias importantes y significativas en el mundo de la criptografía que se van a manifestar en 2022.

1.- Gestión de claves

La gestión de claves se ha convertido en un problema delicado, especialmente cuando se trata de los derechos de acceso a los datos, las ramificaciones legales de la subcontratación y cómo se mitigan los riesgos.

Smith, afirma que existe la necesidad de una gestión de claves más amplia y sólida en un panorama de pagos interoperables, en el que cada día más partes comparten datos confidenciales.

"Con todas estas diferentes aplicaciones que comparten información de pago, ¿cómo puedo cifrar los datos del punto A al punto B y minimizar el riesgo cuando mi aplicación está en uso?

Hace diez años, los minoristas pensaban en P2PE en términos de claves ocultas; hoy tienen una mejor comprensión de las claves de aplicación, las claves de autenticación y el papel que juega la seguridad en la transacción". Dijo al respecto el vicepresidente de Futurex.

2.- Módulos de seguridad de hardware de seguridad de datos basados en la nube (HSM)

Las empresas y las organizaciones de servicios financieros están aumentando su inversión en infraestructura de seguridad de datos basada en la nube debido a los avances que ha habido en el cumplimiento normativo y en las mayores capacidades de almacenamiento de datos.

Este modelo de nube es una de las últimas innovaciones tecnológicas en cuanto a ciberseguridad. La industria de pagos utiliza HSM en la nube para asegurar transacciones, proteger datos de cuentas y autenticar dispositivos de pago.

“Desde 2015 estamos trabajando con el desarrollo de servicios de HSM en la nube, pues existen limitaciones importantes en el cifrado de pagos relacionados con la flexibilidad, robustez y la evolución de sistemas de seguridad”, menciona Santos Campa Vicepresidente de Futurex. Al no tener infraestructuras de Capex, se reducen gastos operativos directamente, favoreciendo y reduciendo costos considerablemente.

3.- Flexibilidad HSM

Las organizaciones tienen diferentes opciones con los HSM: locales, en la nube e híbridos. Es fundamental que las claves de cifrado estén protegidas en un entorno privado.

Los módulos de seguridad de hardware (HSM) son soluciones validadas por FIPS 140-2 Nivel 3 y PCI HSM escalables y universalmente compatibles para el cifrado de datos, seguridad de pagos, protección contra fraudes, cifrado de propósito general y más.

4.- Carga de clave cifrada

Con el crecimiento de las terminales en dispositivos móviles, la carga remota de claves cifradas se ha convertido en una necesidad, lo que garantiza que se cumplan los requisitos de máxima seguridad y cumplimiento para inyectar claves de cifrado de forma remota en cualquier momento y lugar donde se implementen.

5.- Pagos sin contacto con CPoC

Los pagos sin contacto eliminan la necesidad de hardware de lectura de tarjetas y brindan un alto nivel de seguridad. Estos sistemas de pagos sin contacto permiten realizar el pago de compras o servicios utilizando tarjetas de crédito o débito, teléfonos inteligentes, llaveros y otros dispositivos como computadoras o tablets.

Esta tecnología permite expandir el punto de venta de los comerciantes, incluso de los pequeños.

Las aplicaciones basadas en CPoC, con su funcionalidad de procesamiento de transacciones y alto nivel de seguridad, se prevé impulsarán aún más el avance de esta tecnología en todo el mundo, beneficiando principalmente a países en desarrollo.

6.- Cifrado de datos entregado a través de una arquitectura orientada a servicios

Las organizaciones tienen cada vez mayores volúmenes de aplicaciones y servicios que requieren criptografía sólida con administración de claves y encriptación de datos respaldada por HSM. Las organizaciones están buscando otras opciones y recurriendo a expertos.

7.- La tokenización

Este proceso permite proteger datos sensibles, sustituyéndolos por equivalentes no-sensibles, conocidos como tokens. Es decir, sustituye los datos sensibles por una referencia o indicador. Este proceso es sobre todo importante para las industrias financieras pero se está implementando en todas las industrias, impulsado por la necesidad de cumplimiento de PCI DSS y el deseo de las organizaciones de reducir su alcance de cumplimiento.