La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de EE. UU. y 17 socios internacionales están ayudando a formular las prácticas recomendadas para el sector tecnológico con sus principios de seguridad por diseño. El objetivo es impulsar a los fabricantes de software no sólo a integrar la seguridad en el desarrollo de sus productos, sino también a diseñar productos con funciones de seguridad eficaces configuradas por defecto.
Como empresa de ciberseguridad, Cloudflare considera la seguridad de los productos una parte integral de su DNA. Creemos firmemente en los principios de la CISA y seguiremos respetándolos en todo nuestro trabajo. Nos complace compartir algunas historias acerca de cómo Cloudflare ha integrado los principios de seguridad por diseño en los productos que desarrollamos y en los servicios que ofrecemos a todos nuestros clientes.
¿Qué significa "seguridad por diseño" y "seguridad por defecto"?
El término "seguridad por diseño" describe un producto donde la seguridad está integrada, en lugar de añadida posteriormente. Los fabricantes, en lugar de adoptar medidas de seguridad de forma reactiva, toman medidas para mitigar los riesgos con antelación, desarrollando productos de tal forma que protejan razonablemente para impedir que los ataques logren acceder a ellos.
El término "seguridad por defecto" indica que los productos se han desarrollado para tener las configuraciones de seguridad necesarias por defecto, sin cambios adicionales.
La CISA destaca los siguientes tres principios de seguridad para los productos de software:
- Asumir la responsabilidad de los resultados de la seguridad de los clientes
- Adoptar el máximo nivel de transparencia y rendición de cuentas
- Liderar desde arriba
En su documentación, la CISA ofrece completa información sobre cómo lograr sus principios y qué medidas de seguridad debe seguir un fabricante. El cumplimiento de estas directrices no solo amplía las ventajas de seguridad para los clientes y mejora la reputación de marca del desarrollador, sino que también reduce los costes de las revisiones y del mantenimiento a largo plazo para los fabricantes.
¿Por qué es importante?
Sin duda, la tecnología desempeña un papel importante en nuestras vidas, automatizando muchas tareas cotidianas. La dependencia de la tecnología y de los dispositivos conectados a Internet en todo el mundo ha crecido considerablemente en los últimos años, en gran medida debido al COVID-19. Durante la pandemia, usuarios y empresas adoptaron el teletrabajo para cumplir con las medidas de salud pública que restringían las interacciones físicas.
La conectividad a Internet nos hace la vida más fácil, ya que ofrece oportunidades para el aprendizaje remoto y el teletrabajo, pero también crea una oportunidad para que los ciberdelincuentes saquen provecho de dichas actividades. Sin la protección adecuada, los datos confidenciales, como la información de usuario, los registros financieros y las credenciales de inicio de sesión, podrían estar en riesgo y utilizarse para actividades maliciosas.
Las vulnerabilidades de los sistemas también pueden afectar a sectores y economías en su totalidad. En 2023, se sospechó que hackers de Corea del Norte habían sido los responsables de más del 20 % de las pérdidas criptográficas, explotando vulnerabilidades de software y robando más de 300 millones de dólares a usuarios y empresas de todo el mundo.
A pesar de las consecuencias potencialmente devastadoras del software no seguro, demasiados proveedores responsabilizan a sus clientes de la seguridad (un hecho que la CISA destaca en sus directrices). Aunque se espera cierto nivel de atención por parte de los clientes, la mayoría de los riesgos los deberían gestionar los fabricantes y sus productos. Solo de esta forma podemos tener interacciones en línea más seguras y fiables. Los principios de seguridad por diseño son fundamentales para salvar esta brecha y lograr cambios en el sector.
¿Cómo respalda Cloudflare los principios de seguridad por diseño?
Asumir la responsabilidad de los resultados de la seguridad de los clientes
La CISA explica que, para que los fabricantes de software puedan asumir la responsabilidad de los resultados de la seguridad de los clientes, deben invertir en sus esfuerzos para mejorar la seguridad de los productos. Esto incluye el fortalecimiento de las aplicaciones, las funciones de las aplicaciones y los ajustes por defecto de las aplicaciones. En Cloudflare, estos esfuerzos para mejorar la seguridad de los productos son siempre nuestra máxima prioridad, y a continuación muestro algunos ejemplos.
Fortalecimiento de las aplicaciones
En Cloudflare, nuestros desarrolladores siguen un proceso de gestión del ciclo de vida de desarrollo de software definido con puntos de verificación de nuestro equipo de seguridad. Abordamos proactivamente las vulnerabilidades conocidas antes de que se puedan explotar y corregimos las vulnerabilidades explotadas para todos nuestros clientes. Por ejemplo, estamos comprometidos con la utilización, siempre que sea posible, de lenguajes de programación seguros para la memoria. En 2021, Cloudflare reescribió el WAF de Cloudflare de Lua a Rust seguro para la memoria. Más recientemente, Cloudflare presentó un nuevo proxy HTTP desarrollado internamente denominado Pingora, que asimismo nos permitió migrar de C no seguro para la memoria a Rust seguro para la memoria. Ambos proyectos son iniciativas de gran envergadura que no habrían sido posibles sin el soporte ejecutivo de nuestro equipo de liderazgo técnico.
Seguridad Zero Trust
Por defecto, nos adherimos al Modelo de madurez de Zero Trust de la CISA con la utilización del conjunto de servicios de seguridad Zero Trust de Cloudflare, para evitar el acceso no autorizado a los datos, los recursos de desarrollo y otros servicios de Cloudflare. Minimizamos las suposiciones de confianza y requerimos una estricta verificación de la identidad para cada persona y dispositivo que intenta acceder a los recursos de Cloudflare, ya estén autoalojados o en la nube.
En Cloudflare, creemos que la seguridad Zero Trust es una arquitectura de seguridad imprescindible en el entorno actual, donde los ataques a la ciberseguridad son generalizados y los entornos de trabajo híbrido constituyen la nueva normalidad. Para ayudar a proteger a las pequeñas empresas hoy en día, tenemos un plan Zero Trust que ofrece los controles de seguridad esenciales necesarios para garantizar la protección de los empleados y las aplicaciones en línea y que está disponible de forma gratuita para hasta 50 usuarios.
Funciones de las aplicaciones
No solo proporcionamos gratuitamente a los usuarios muchas herramientas de seguridad esenciales. Desde nuestros inicios, también hemos ayudado a impulsar a todo el sector a ofrecer mejores funciones de seguridad por defecto.
En 2014, durante la Semana aniversario de Cloudflare, anunciamos la encriptación gratuita para todos nuestros clientes con la presentación de Universal SSL. A continuación, en 2015, dimos un paso más y proporcionamos encriptación completa de todos los datos desde el navegador hasta el origen, de forma gratuita. Ahora, el resto del sector ha seguido nuestro ejemplo y la encriptación por defecto es el estándar para las aplicaciones de Internet.
En 2017 cumplimos 7 años, y durante la Semana aniversario nos sentimos orgullosos de anunciar la mitigación de DDoS ilimitada. El servicio absorbe y mitiga los ataques DDoS a gran escala sin cargos a los clientes por el exceso de ancho de banda consumido durante un ataque. Con ese anuncio, eliminamos el estándar del sector del aumento de precios durante ataques DDoS.
En 2021, anunciamos un protocolo denominado MIGP (del inglés, "Might I Get Pwned") que permite a los usuarios comprobar si sus credenciales están en riesgo sin exponer información innecesaria en el proceso. Además del ID de bucket obtenido a partir de un prefijo del hash de tu correo electrónico, tus credenciales permanecen en tu dispositivo y nunca se envían (ni siquiera encriptadas) a través de Internet. Con anterioridad, la utilización de servicios de comprobación de credenciales podía resultar una vulnerabilidad en sí misma, filtrando información confidencial mientras comprobabas si tus credenciales estaban en riesgo.
Un año después, en 2022, Cloudflare trastocó de nuevo el sector al anunciar la disponibilidad de los conjuntos de reglas administradas del WAF (firewall de aplicaciones web) de forma gratuita para todos los planes de Cloudflare. WAF es un servicio responsable de la protección de las aplicaciones web contra los ataques maliciosos. Estos ataques tienen consecuencias importantes en Internet, sea cual sea el tamaño de una organización. Con la gratuidad del WAF, mejoramos la seguridad de Internet para todos.
Por último, a finales de 2023, tuvimos el placer de ayudar a liderar el sector ofreciendo la criptografía poscuántica de forma gratuita para todos nuestros clientes, independientemente de su nivel de plan.
Ajustes por defecto de las aplicaciones
Para proteger mejor a nuestros clientes, garantizamos que nuestros ajustes por defecto proporcionan una postura de seguridad eficaz desde el principio. Una vez que los usuarios se han familiarizado con estos ajustes, pueden modificar y configurar los ajustes como prefieran. Por ejemplo, Cloudflare implementa automáticamente el conjunto de reglas administradas gratuitas de Cloudflare en cualquier nueva zona de Cloudflare. El conjunto de reglas administradas incluye, entre otras, reglas Log4j, reglas Shellshock y reglas que correlacionan explotaciones WordPress muy comunes. Los clientes pueden desactivar el conjunto de reglas, si es necesario, o configurar el filtro de tráfico o reglas individuales. Para ofrecer un sistema aún más seguro por defecto, hemos creado también la solución WAF Attack Score basada en aprendizaje automático, que utiliza la IA para detectar las omisiones de las reglas administradas existentes y puede detectar las explotaciones de software antes de que se hagan públicas.
Como ejemplo adicional, todas las cuentas de Cloudflare se proporcionan por defecto con servicios de mitigación de DDoS ilimitada, para proteger las aplicaciones contra muchos de los ataques de Internet más comunes y difíciles de afrontar.
Otro ejemplo más: cuando los clientes utilizan nuestro almacenamiento R2, todos los objetos almacenados se encriptan en reposo. La encriptación y el descifrado se aplican automáticamente, su activación no requiere ninguna configuración del usuario, ni afecta al rendimiento de R2.
Asimismo, Cloudflare proporciona a todos nuestros clientes eficaces registros de auditoría. Los registros de auditoría resumen el historial de los cambios realizados en tu cuenta de Cloudflare. Incluyen acciones a nivel de cuenta como el inicio de sesión, así como cambios en la configuración de zona. Están disponibles en todos los tipos de plan y se capturan tanto para usuarios individuales como para organizaciones de muchos usuarios. Nuestros registros de auditoría están disponibles en todos los niveles de plan durante un periodo de 18 meses.
Asumir el máximo nivel de transparencia y rendición de cuentas
Asumir el máximo nivel de transparencia y rendición de cuentas significa enorgullecerse de ofrecer productos seguros y protegidos. La transparencia y el intercambio de información son fundamentales para la mejora y la evolución del sector de la seguridad, fomentando un entorno donde las empresas aprendan unas de otras y mejoren la seguridad del entorno en línea. Cloudflare muestra su transparencia de diversas formas, como indicamos a continuación.
Blog de Cloudflare
En el blog de Cloudflare puedes encontrar información actualizada sobre nuestras funciones y mejoras, pero también acerca de los ataques de día cero que son relevantes para todo el sector, como los históricos ataques HTTP/2 Rapid Reset detectados el año pasado. Somos transparentes y escribimos sobre los incidentes de seguridad importantes, como el incidente de seguridad del Día de Acción de Gracias de 2023, cuando explicamos en detalle qué sucedió, por qué sucedió y las medidas que tomamos para solucionarlo. Asimismo, desde nuestros inicios, en Cloudflare nos hemos esforzado por adoptar la máxima transparencia acerca de los incidentes que afectan a nuestros servicios, y seguimos aplicando este importante principio como uno de nuestros valores fundamentales. Esperamos que la información que compartimos pueda ayudar a otros a mejorar sus prácticas con el software.
Estado del sistema de Cloudflare
Estado del sistema de Cloudflare es una página cuya finalidad es informar a los propietarios de los sitios web acerca del estado de los servicios de Cloudflare. Proporciona información sobre el estado actual de los servicios y sobre si están operando con normalidad. Si hay algún incidente en curso, la página de estado indica qué servicios están afectados, y ofrece detalles del problema. Además, los usuarios encontrarán información sobre las tareas de mantenimiento planificadas que podrían afectar a la disponibilidad de algunos servicios.
Transparencia técnica para la integridad del código
Creemos en la importancia de la utilización de la criptografía como un medio técnico de lograr transparencia mediante la verificación de la identidad y la integridad de los datos. Por ejemplo, en 2022, nos asociamos con WhatsApp para proporcionar un sistema para WhatsApp que garantiza a los usuarios la ejecución del código correcto, sin manipular, cuando visitan la versión web del servicio activando la extensión de verificación de código para confirmar automáticamente la integridad de hash. Es este proceso, y el hecho de que está automatizado en nombre del usuario, lo que ayuda a proporcionar transparencia de forma escalable. Si los propios usuarios tuvieran que recuperar, calcular y comparar los hash de forma manual, es probable que solo un pequeño porcentaje de los usuarios técnicos detectaran la manipulación.
Informe de transparencia y warrant canaries
También creemos que un elemento fundamental para ganarnos la confianza de nuestros clientes y mantenerla es ser transparentes acerca de las solicitudes que recibimos de las autoridades y otras entidades gubernamentales. Con este fin, Cloudflare publica actualizaciones semestrales de nuestro informe de transparencia acerca de las solicitudes que hemos recibido que requieren la divulgación de información sobre nuestros clientes.
Un elemento importante del informe de transparencia de Cloudflare son nuestros warrant canaries. Son un método para informar implícitamente a los usuarios de que no hemos realizado determinadas acciones ni recibido solicitudes específicas de las autoridades o de organismos gubernamentales, por ejemplo, entregar a nadie nuestras claves de encriptación o autenticación o las claves de encriptación o autenticación de nuestros clientes. De esta forma, podemos informar a nuestros usuarios acerca del estado de la privacidad y la seguridad de sus datos, al mismo tiempo que cumplimos las órdenes de las autoridades que prohíben revelar algunas de sus solicitudes. Puedes leer los warrant canaries de Cloudflare aquí.
Aunque los informes de transparencia y los warrant canaries no se mencionan explícitamente en los principios de seguridad por diseño de la CISA, creemos que son un aspecto importante en una empresa tecnológica transparente acerca de sus prácticas.
Recompensas públicas por la detección de errores
Te invitamos a contribuir a nuestros esfuerzos de seguridad participando en nuestra recompensa pública por la detección de errores que organiza HackerOne, donde puedes informar acerca de vulnerabilidades de Cloudflare y recibir una compensación económica por tu ayuda.
Liderar desde arriba
Con este principio, la seguridad está plenamente arraigada en los objetivos comerciales de Cloudflare. Debido a la estrecha relación entre seguridad y calidad, al mejorar la seguridad por defecto de un producto también mejora la calidad de todo el producto.
En Cloudflare, nuestra dedicación a la seguridad se refleja en la estructura de la empresa. Nuestro responsable de seguridad corporativa depende directamente de nuestro director general, y está presente en todas las reuniones de la junta directiva. Esto permite a los miembros de la junta estar adecuadamente informados acerca del panorama de ciberseguridad actual y destaca la importancia de las iniciativas de la empresa para mejorar la seguridad.
Además, nuestros ingenieros de seguridad forman parte de la organización de I+D principal, y su trabajo, como el de nuestros ingenieros de sistemas, es una parte integral de nuestros productos. Por lo tanto, nuestros ingenieros de seguridad pueden integrar la seguridad en el ciclo de vida de desarrollo de software en lugar de añadirla posteriormente.
¿Cómo puedes ayudar?
Si eres un fabricante de software, te animamos a familiarizarte con los principios de seguridad por diseño de la CISA y a crear un plan para implementarlos en tu empresa.
Como usuario, te animamos a participar en los programas de recompensas por la detección de errores (como la recompensa pública HackerOne de Cloudflare) y a fomentar el conocimiento en ciberseguridad en tu comunidad.
Ayudemos a mejorar Internet.