top of page

La serpiente que se comió dos elefantes

Actualizado: 21 jun 2023

2022 a través de tecnologías emergentes


Cada año, el Gartner Group® publica un informe sobre tecnologías de interés titulado «Gartner Hype Cycle for Emerging Technologies». En este artículo se analiza este informe y algunas de las tecnologías reseñadas más relevantes, con un especial enfoque desde el punto de vista de la disciplina de la seguridad de la información.


David D. Clark es un profesor del MIT, muy conocido por ser el responsable de las decisiones más importantes en temas de arquitectura de Internet. Su frase célebre «desconfiamos de Reyes, Presidentes y democracia... sólo creemos en código que corra y consenso construido alrededor del código» (’rough consensus and running code’) resume los principios básicos de definición de la tecnología Internet y en general guía el “ethos” de construcción de las tecnologías IT.


Sin embargo, aún más precisa es la observación que mencionó en clase para sus estudiantes en algún momento de 1980, cuando reflexionaba acerca del papel de la estandarización de tecnología y dibujó en el tablero una figura similar a esta:


Esta gráfica muestra los diferentes tipos de actividad (e inversión) de toda nueva tecnología. Cuando se descubre alguna tecnología de interés, inicialmente hay una gran concentración de esfuerzos académicos para estudiarla, definirla adecuadamente y sacarle el mayor potencial posible.


Una vez este esfuerzo académico inicial se agota, sucede un valle breve en que ya el tema cesa de ser de interés para la academia, seguido de una gran cantidad de inversiones e interés del mundo corporativo, en un ambiente de abierta competencia para tratar de obtener rápidamente productos comerciales.


David D. Clark teorizaba en su clase en el MIT que para conseguir interoperabilidad, los estándares deben definirse justo en el valle de las dos inversiones grandes, justo en lo que -en un guiño a “el Principito”- Clark llamaba ’el punto medio de la serpiente que devoró dos elefantes’ (https: //groups.csail.mit.edu/ana/People/DDC/Apocalypse.html). Definir los estándares antes del valle genera tecnología inmadura e ineficiente, mientras que definirla después del valle crea estándares inútiles que nadie sigue, toda vez que el mercado prefiere las implementaciones propietarias de los fabricantes, aún a costa de interoperabilidad.


Estas ideas de Clark fueron adoptadas de alguna manera por el Gartner Group® (https://www.gartner.com/en) quien desde 1995 publica cada año un informe titulado "Gartner Hype Cycle for Emerging Technologies", en el que analiza las nuevas tecnologías en su camino de ’los dos elefantes’.


Los dos elefantes para el Gartner®


En el modelo genérico del Gartner® toda tecnología de interés se pasa por un camino de cinco pasos, así:


1. Emergence: "The Innovation Trigger": en esta primera fase en la academia aparece una nueva tecnología acerca de la cual surge un gran interés, artículos en revistas especializadas, tesis de estudiantes doctorales y de maestría, aparecen los primeros ’startups’, apenas tratando de entender la tecnología y el mercado tentativo, los medios de comunicación dedican espacios de divulgación, los inversionistas se enloquecen tratando de conseguir un pedazo ’de la torta’, un mercado de ’perro come perro’, algunas inversiones dejan de ser ya racionales,


2. Excessive enthusiasm: "The Peak of Inflated Expectations": esta segunda fase sucede cuando la irracionalidad se toma el mercado y le cede espacio a la más pura y simple especulación, se construyen grandes fortunas, los gobiernos empiezan a tomar nota, algún analista detecta que hay algo radicalmente malo en tanta exhuberancia, lo que lleva a,


3. Excessive disappointment: "The Trough of Disillusionment", la decepción generalizada, desinversiones rápidas en una situación de ’sálvese quien pueda’, muchas fortunas desaparecen, aparecen analistas con el argumento ’yo si sabía que todo estaba mal’,


4. Gradual, practical adoption: "The Slope of Enlightenment", después de toda la decepción quedan pequeños grupos comprometidos en la mejora y desarrollo de la tecnología, después de tanto inversionista y ’capitales golondrina’, se concentran en el potencial real y más allá de cualquier actividad especulativa, aparecen usos realmente significativos para la tecnología,


5. "The Plateau of Productivity", la tecnología realmente empieza a cambiar vidas, se combina con otras tecnologías para dar nacimiento a aplicaciones completamente insospechadas, la sociedad como un todo empieza la adopción de la tecnología y las cifras de productividad se incrementan visiblemente.


Gráficamente:


Sorprendentemente la gran mayoría de las tecnologías que hoy en día usamos ha seguido este camino. Por ejemplo, el correo electrónico fue inicialmente concebido por Ray Tomlinson en 1965 y formalmente definido por allá en 1982 con el RFC 822.



En ese momento empezó la fase de "The Innovation Trigger" que posteriormente fue seguida por la desilución, para luego algunos años después alcanzar "The Plateau of Productivity" en el cual su uso se extendió a prácticamente todos los ámbitos de comunicación humana.


En general estas predicciones de tecnología reseñadas por el Gartner® son bastante acertadas. Salvo contadas excepciones (en 1995 se pronosticaba el advenimiento de “Emergent Computing”, lo cual en efecto nunca sucedió), las prospecciones del Gartner® son razonablemente precisas y son con frecuencia interpretadas como consensos de industria.


El 2022 visto desde las tecnologías emergentes


Para el 2022, el Gartner® plantea el ciclo de tecnologías de interés (https://www.gartner.com/en/articles/what-s-new-i n-the-2022-gartner-hype-cycle-for-emerging-technologies) cuya principal gráfica se muestra a continuación:


Nótese la primera etapa, llamada de innovation trigger en donde aparecen como tecnologías de interés relacionadas con seguridad de la información “cybersecurity mesh”. El término “cybersecurity mesh” aparece por primera vez en el análisis del Gartner®. Este término se relaciona con el fenómeno ya discutido previamente en este espacio y que tiene que ver que con que con la pandemia y la generalización del trabajo en casa, la frontera entre la casa (donde se descansa) y la oficina (donde se trabaja) es cada vez más difusa y las tecnologías de protección deben extender su alcance en una especie de mesh oficina-casa.


Es decir se trata de un continuum de protección que incluye desde equipos de infraestructura de red, dispositivos de cómputo, estaciones remotas, computación en la nube y dispositivos IoT (Internet of Things).


Formalmente el Gartner® define “cybersecurity mesh” como “a composable and scalable approach to extending security controls, even to widely distributed assets. Its flexibility is especially suitable for increasingly modular approaches consistent with hybrid multicloud architectures. CSMA enables a more composable, flexible and resilient security ecosystem. Rather than every security tool running in a silo, a cybersecurity mesh enables tools to interoperate through several supportive layers, such as consolidated policy management, security intelligence and identity fabric”, lo ubica en la fase de “innovation trigger” y considera que el plateau máximo de productividad de esta tecnología se alcanzará entre 5 y 10 años.


Analizando los episodios más recientes de ransomware que en varias ocasiones iniciaron desde los computadores de los empleados, -posiblemente trabajando desde la casa- y se dispersaron a través de servicios de nube de sharepoint® y la infraestructura tecnológica propia de la organización, no puede uno más que concordar con el análisis de industria que publica el Gartner®.


Un poco más a la derecha (en el “peak of inflated expectations”) ubica el informe el término “decentralized identity”, refiriéndose a la posibilidad que un usuario humano (o más generalmente una entidad) controle su propia identidad en los diferentes aspectos de su vida digital, usando posiblemente pseudónimos y doble factor de autenticación, pero manteniendo en todo momento control propio de su identidad, sin delegarla en ningún momento a un tercero.


Gartner® sugiere un espacio de 5 a 10 años para que esta tecnología llegué al plateau máximo de productividad. Aunque quizás este estimativo está fuertemente condicionado a la popularización de tecnologías de metaverse, toda vez que son tecnologías de alguna manera complementarias. Es decir, si las iniciativas de metaversos llegan a hacerse masivas, con toda certeza se dispararán los productos de “decentralized identity” que permitirían tener identidades en el metaverso.


También en el área de “peak of inflated expectations”) ubica el informe los NFT: Non-Fungible Token. Los NFT: Non-Fungible Token y más generalmente cripto-activos corresponden a activos digitales, cuyo registro en una blockchain pública permite verificar abiertamente autenticidad y propiedad del activo y que pueden ser criptomonedas, arte digital, elementos coleccionables, etc.


El Gartner® ubica los NFT en un punto decadente de interés, lo cuál corresponde a la generalización del concepto de ’cripto-invierno’, un fenómeno ya mencionado por los ingenieros de cyte, pero afirma el Gartner® que de 2 a 5 años se podría alcanzar el plateau de productividad de esta tecnología. Posiblemente esta cifra sea un poco tardía, toda vez que hay elementos realmente transformadores de los NFT en el mundo del arte y -aunque esté de moda hablar mal de bitcoin-, esta criptomoneda desde hace algunos meses ha estado manteniendo su valor fluctuando alrededor de los US$17,000.



Una mirada al 2021


Por otro lado, hay dos tecnologías de enorme interés en el mundo infosec que aparecieron en el informe Gartner® del 2021 y que sin embargo no se mencionan en el informe del 2022. Estas dos tecnologías aparecían en la fase de “innovation trigger” y corresponden a “homomorphic encryption” y “quantum computing”, ambas con prospectiva de 5 a 10 años de alcanzar el plateau máximo de productividad (https://www.gartner.com/en/newsroom/press-releases/2021-08-23-gartner-identifies-key-emerging-technologies-spur ring-innovation-through-trust-growth-and-change).


Ambas tecnologías se han analizado previamente en este espacio. La primera de ellas, “homomorphic encryption”, tiene que ver con uno de los desarrollos criptográficos recientes más importantes y pese a su nombre poco mercadeable, es de enorme interés para asegurar aquellos servicios y aplicaciones que usan nubes comerciales.



Brevemente esta tecnología permite cifrar los datos antes de subirlos a la nube, para luego definir una serie de operaciones que la nube realiza sobre los datos cifrados que son equivalentes (homomórficas) a las operaciones en texto claro. Es decir, la nube en ningún momento se entera de los datos reales, es simplemente un operador ciego de los datos cifrados del cliente.


El Gartner® daba un espacio de 5 a 10 años para que las tecnologías de “homomorphic encryption” alcancen el máximo plateau de productividad. Quizás este estimativo es un poco tardío si recordamos la enorme vulnerabilidad que supone el entregar información corporativa sensible al operador de la nube.


La segunda tecnología considerada es la computación cuántica que el Gartner® estima también un espacio de 5 a 10 años para alcanzar el plateau máximo de productividad. Sobre estos tiempos no hay consenso único de industria: otros analistas estiman que debido a las circunstancias de la invasión a Ucrania, es posible que la adopción de estas tecnologías pueda tener tiempos de desarrollo y adopción mucho más cortos.


Sin embargo, independiente de si el horizonte de plateau de productividad es de 3 o de 5 a 10 años, es importante tener presente el impacto que este tipo de tecnología disruptiva tendría sobre la disciplina infosec y especialmente sobre la criptografía. Ya se había mencionado previamente en este espacio (https://www.cyte.co/blog/NL_62_El-Impacto-de-la-Computación-Cuántica) la enorme capacidad ofensiva que tendría un atacante si llegara a disponer capacidades de criptoanálisis basadas en computación cuántica.


En efecto, una buena parte de la infraestructura Internet está asegurada mediante el uso de algoritmos criptográficos como RSA, Diffie-Hellman y curva elíptica, que pueden ser efectivamente vulnerados en tiempos breves utilizando la capacidad ’fantasmal’ de procesamiento que tienen los computadores cuánticos.


Es decir, aunque a primera vista pareciera que si la tecnología cuántica aparecerá años a partir de ahora, en realidad el área infosec si debiera estar atenta a estos desarrollos especialmente para dos casos:


  • Cuando se tiene información que debiera estar protegida por 10 o más años. Un atacante con capacidades cuánticas estaría en capacidad de acceder a esta información sensible cuando todavía esta información debe ser protegida,

  • Cuando se tiene infraestructura IT en la que introducir cambios es un proceso lento y complejo,

  • Cuando se operan servicios que hacen parte de la infraestructura crítica de un país.


Estos escenarios han sido claramente identificados por el gobierno de USA, quien hace apenas unos pocos días, desde la Presidencia ha presentado un proyecto de ley en el que se ordena a todas las agencias y entidades del gobierno federal establecer planes claros a un año de migración hacia criptografía post-cuántica (https://www.congress.gov/bill/117th-co ngress/house-bill/7535), la tecnología que permite asegurar información aún ante ataques de computadores cuánticos.


Esta ley (Quantum Computing Cybersecurity Preparedness Act) es un indicio claro de lo preocupante que resulta a muy corto plazo la posibilidad de ataques de adversarios con capacidades cuánticas y lo importante que resulta adoptar rápidamente tecnología resistente a este tipo de ataques.


Epílogo


Se ha presentado un análisis desde el punto de vista de la disciplina infosec de las tecnologías emergentes reseñadas por el Gartner® como las más relevantes para los años 2022 y 2021. El énfasis en esta discusión fue en todo momento contrastar el consenso de industria que implican estos estudios del Gartner® con una visión crítica de lo que como practicantes infosec vemos que ha sucedido tanto en el ciberfrente de la invasión a Ucrania como en los extendidos ataques de ransomware a entidades públicas y privadas.


Al respecto solo queda insistir en la debida preparación que deben emprender las organizaciones ante la inminente aparición de atacantes con capacidades cuánticas de hacking. Es evidente que la seguridad de la información, la criptografía y el criptoanálisis son cada vez más factores decisivos en la geopolítica global.




Si deseas tener siempre a la mano el artículo escrito por nuestro ingeniero Milton Quiroga, te invitamos a descargarlo, compartirlo y comentarnos qué opinas al respecto.






Referencias:


Las imágenes usadas en esta nota fueron tomadas de


[1] https://unsplash.com/photos/Skf7HxARcoc y de los informes del Gartner®


[2] https://www.gartner.com/en/articles/what-s-new-in-the-2022-gartner-hype-cycle-for-emerging-technologies


[3]https://www.gartner.com/en/newsroom/press-releases/2021-08-23-gartner-identifies-key-emerging-technologies-spurring-innovation-through-trust-growth-and-change.


[4] Las demás figuras fueron elaboradas por el autor, tomando algunas imágenes de diversas fuentes, adhiriendo estrictamente a los criterios de fair-use.


127 visualizaciones0 comentarios

Comments


bottom of page