Las contraseñas siguen siendo el método más usado del mundo para acceder a nuestros dispositivos y cuentas. A pesar de que sus orígenes se pueden rastrear hasta principios de los 60, con aquellos sistemas compartidos del Instituto Tecnológico de Massachusetts (MIT), el concepto no sólo sigue vivo sino que cada vez más páginas y aplicaciones nos piden un password. Y, sin embargo, son tediosas y, sobre todas las cosas, casi siempre inseguras: las claves robadas son muchas veces la puerta de acceso de los ciberataques.
Si bien algunas compañías como Google empezaron a migrar a un modelo de “passkeys” en 2023, un método más simple y seguro que no demanda usar una clave, la transformación es lenta y no parece que vaya a darse de manera masiva muy pronto.
Problemas de este tipo tiene que pensar Chris Betz, CISO -jefe de seguridad- de Amazon Web Services (AWS), el servicio de computación en la nube de Amazon. La empresa le provee servicios a compañías de todo el mundo y, para entender lo que hacen, se puede pensar en Boti, el chatbot del Gobierno de la Ciudad de Buenos Aires: corre en infraestructura de AWS, que escala de manera masiva el sistema para procesar los datos que se generan en las millones de conversaciones mensuales que tiene este chatbot.
Antes de AWS, Betz estuvo en Capital One, donde empezó a trabajar con la compañía de cloud computing, pero como cliente. “Una de las cosas que más apreciaba de usar un proveedor de nube es que hay toda una serie de actividades de seguridad de las que ya no me tenía que preocupar”, recuerda.
Pero no todo es tan simple en la nube: los atacantes, que intentan hackear empresas y usuarios de a pie, también explotan las vulnerabilidades de estas herramientas o incluso usan los servicios para mandar millones de mails engañosos para robar datos.
Betz habló con Clarín a fines de 2024, en un evento que realiza la compañía en Las Vegas todos los años llamado AWS re:Invent, donde se reúnen expertos de la compañía y profesionales de todo el mundo que usan los servicios. Es uno de los eventos más concurridos de la ciudad del estado de Nevada, con cerca de 60 mil personas en el centro de exposiciones del hotel Venetian.
Acá, el estado actual de la ciberseguridad, el eterno problema de los passwords y cómo la inteligencia artificial está ayudando a prevenir ciberdelitos pero también a generarlos.
La pelea por la seguridad: el gato y el ratón
─“La seguridad cambia constantemente. Tenemos que aprender, adaptarnos y mejorar”, dijiste en una entrevista. Es una suerte de carrera entre el gato y el ratón, donde el adversario siempre está adelante. ¿Cómo está esa carrera por ponerse al día con los métodos de los atacantes?
─Me parece interesante que plantees como un “intento de ponerse al día”, porque sospecho que si hablaras con los atacantes, ellos dirían lo mismo. Ellos también están tratando de ponerse al día constantemente. En tanto trabajar en ciberseguridad implica tener un adversario, tenés que adaptarte a ese atacante. Entonces el catch up es mutuo. Hay algunas partes del campo donde sabemos que tenemos más experiencia, conocemos los problemas. Pero hay partes de la tecnología que cambian rápido y nos obligan a adaptarnos.
─En una entrevista dijiste que la ciberseguridad es como una partida de ajedrez. ¿En qué sentido?
─Sí, es como jugar al ajedrez pero en tres dimensiones, mientras aplicás psicología. Me refiero a que hay mucha estrategia en esto, pero las consecuencias se ven en el mundo real.
─Como por ejemplo los ciberataques a centros de salud que dieron de baja sistemas en diversas partes del mundo. En Argentina tuvimos varios casos (OSDE, Centro Rossi, Hospital Garrahan, sólo por nombrar algunos casos).
─Creo que sí, que ya estamos pasando el momento donde nos damos cuenta de que la ciberseguridad nos afecta en nuestra vida cotidiana. Recuerdo que al principio de mi carrera la gente se preguntaba ¿en qué momento la ciberseguridad puede afectar a cómo la gente vive día a día? Hoy ya pasamos el punto de inflexión donde la vida cotidiana se puede ver afectada por un hackeo, como se ve en las noticias: ya sea por el suministro de servicios públicos, por el envío de alimentos o la asistencia sanitaria, como planteás. El poder de la tecnología es la forma en que cambia nuestras vidas, y con AWS apuntamos a hacerle la vida más fácil a la gente, pero también más segura.
─¿Cómo? ¿Podrías darme algún ejemplo?
─Claro, durante los últimos años hicimos un pasaje de passwords a passkeys [un método considerado más seguro y cómodo para iniciar sesión]. La gente puede hacer algo que es un movimiento natural, mucho más fácil y a la vez proporciona mejor garantía de que esa persona es legítima a la hora de usar un servicio web. Es más fácil que recordar una contraseña y más seguro.
Contraseñas: el mismo problema de siempre
Uno de los problemas más grandes que se enfrenta el usuario de a pie tiene que ver con el mal uso de las contraseñas. Los usuarios usan claves simples, que pueden romperse casi instantáneamente y, para peor, las repiten en todos los servicios que usan.
Muchos ciberataques de alto perfil de los últimos años tuvieron que ver con robo de contraseñas, tanto con virus específicos para hacer esto -llamados infostealers– como por ingeniería social: engañando al usuario a que entregue su clave, vía phishing.
A diferencia de los passwords, la industria está empezando a aplicar lo que se llama “passkeys”: un método de autenticación digital donde un celular, un equipo específico o una llave de seguridad física (tipo FIDO) funciona como método de autenticación sin tener que tipear ninguna clave.
─Las contraseñas siguen siendo un vector de ataque para los usuarios: porque usan malos passwords, los repiten y a menudo se los roban con infostealers. ¿Van a morir?
─Deberíamos dejar de usar contraseñas siempre que se pueda. Básicamente, porque las contraseñas constituyen un secreto estático, algo que no cambia con demasiada frecuencia. A lo que decís hay que sumarle que la gente se las olvida, no sólo que las usan mal. Creo que el siguiente paso es mejorar todo esto con passkeys, como las hemos aplicado tan fuertemente en AWS. Las passkeys pueden combinar dos factores en uno: algo que tenés (tu celular) con algo que “sos” (biometría, tu huella dactilar o tu cara).
─¿Creés que las llaves físicas son como una buena solución, pero quizás están alejadas del público masivo?
─Me gustan las llaves físicas, pero lo que me gusta aún más es cuando está integrada en el dispositivo, porque siempre podés agarrar el teléfono, usar tu huella y loguearte de manera segura. El celular es algo que siempre tenés encima, por eso me parece que una passkey asociada a un teléfono es me parece más factible de aplicar de manera masiva.
─¿Qué es la alianza FIDO, que usan las llaves físicas para autenticarse?
─FIDO es un estándar, una norma que describe un conjunto de especificaciones técnicas muy claras que, al implementarlo, se puede asegurar que hay un nivel de confianza algo. El hecho de que passkeys esté alineado con FIDO es importante por eso. De todos modos, lo más importante para que la gente entienda es que el uso de passkeys se basa en una serie de tecnologías bien probadas y bien diseñadas tanto en el lado del dispositivo como del lado del servidor.
La parte incómoda del trabajo: sufrir un ciberataque
Durante los últimos años, el panorama de amenazas actual se complejizó con lo que se denomina “ataques a la cadena de suministro”. ¿Qué significa esto?
AWS provee servicios a empresas en todo el mundo. Si AWS sufre un ciberataque, un tercero puede verse afectado: fue lo que pasó en América Latina con el caso de IFX Networks, un proveedor cloud que, tras ser atacado, arrastró a empresas de todo el continente (incluida Argentina).
─¿Qué pasa si AWS sufre un ciberataque?
─La preparación para cualquier ciberataque comienza mucho antes de que se produzca. Sabemos que ninguna defensa de seguridad, aparte de desenchufar el dispositivo, es eficaz al 100%. De esto se trata la gestión del riesgo, así que una de las primeras cosas con las que empezamos es con la construcción de capas de defensa de seguridad.
─¿Qué sería esto de las capas?
─Lo que se busca es que cada capa se apile para reducir el riesgo de que ocurra cualquier evento. Si ocurre un incidente, lo que se busca es contener o restringir ese entorno de explotación, de abuso del sistema. Cuando diseñamos la seguridad de AWS, diseñamos capas de controles para hacer esas dos cosas: aislar y contener. Lo que hacemos es, cuando encontramos una amenaza, actuar como si nos hubieran atacado porque eso nos ayuda a pensar más allá de la detección.
─En 2022, en una entrevista con Mark Ryland, jefe de la oficina del CISO en AWS, reconoció que la empresa detecta una gran cantidad de atacantes que usan los servicios de la compañía para, por ejemplo, mandar spam. ¿Cómo es eso hoy, en 2025?
─A ver, los atacantes también necesitan acceso a las computadoras para hacer su trabajo. Los vemos tratar de hacer cosas inteligentes todo el tiempo: desde comprometer a un cliente, a una empresa entera. Por eso invertimos mucho tiempo y energía en hacer threat intel (inteligencia de amenazas) para rastrear y tratar de ayudar a esos clientes. En efecto, los atacantes contratan servicios de AWS para usarlos como parte de sus actividades maliciosas.
─¿Y cómo combaten esto?
─Tenemos un sólido conjunto de controles de fraude que evolucionamos constantemente en función de patrones de comportamiento, detección externa, etc., con el fin de prevenirlo. Y también por este motivo publicamos nuestros reportes de análisis de amenazas. Producimos toneladas de información que compartimos de manera gratuita.
La IA ayuda: a defender y también a atacar
─La inteligencia artificial generativa se apoderó de la industria tech durante los últimos dos años, pero Amazon y AWS han sido pioneros en modelos de machine learning. ¿Cómo se aplica esto en el mundo de la ciberseguridad?
─Correcto. La IA generativa y el machine learning nos proporcionaron herramientas increíbles, como poder identificar nombres de dominios maliciosos para hacer análisis de cuáles son los sitios creados y usados por los atacantes. La IA generativa es una gran manera de ayudar a que se aceleren los procesos, por ejemplo, escribir resúmenes de toda la información que recolectamos y que los pueda leer cualquier miembro del equipo en cualquier parte del mundo, en su idioma. Esto no es algo donde se necesita gente inteligente haciendo un trabajo único e interesante, a esas personas precisamente no quiero automatizarlas con una IA.
─También lo están usando mucho para programar, para desarrollar software.
─Claro, porque tradicionalmente los equipos de operaciones de seguridad contaban con analistas que ejecutaban comandos manuales, elaboraban hojas de cálculo y llevaban a cabo investigaciones. Con la IA generativa y herramientas como Code Whisperer hemos visto un paso gigante hacia adelante en términos de optimización: en lugar de pasar horas haciendo análisis manuales tediosos y propensos al error, se puede usar IA y luego revisar, editar.
─¿Es también un facilitador para que haya más ataques, por lo baja que es la barrera de entrada a la programación?
─Pienso que la IA es un acelerador en todo sentido: así como te dije todo lo anterior, también su fácil acceso baja la barrera para hacer el trabajo más rápido y fácil. No todo el mundo podía escribir código en Python rápido. Los atacantes también pueden sacar provecho de eso: están tomando ventaja de estas herramientas para lo mismo que para lo que la usamos nosotros y eso complejiza el volumen de ataques. Al igual que nosotros como defensores estamos utilizando estas herramientas para hacer las cosas más fáciles e ir más rápido, los adversarios también. Por eso volvemos a lo del principio: la adaptación al cambio es la constante.