Cuartel general de Cisco

Cisco está trabajando de cara a conseguir que la confianza de sus clientes en sus productos prospere. Normalmente esto se podría considerar un comportamiento empresarial típico, si no fuese porque hace dos años se descubrió el escándalo de la NSA y el programa PRISM, lo que junto con todas las noticias sobre escuchas globales sembró la duda en muchos clientes del fabricante, especialmente en China.

¿Cómo está atacando Cisco esta situación? Básicamente, se están dedicando a poner medidas de seguridad más férreas a sus proveedores y han lanzado un programa beta que permite a los clientes analizar los productos de Cisco en un entorno seguro antes de comprarlos. Estos esfuerzos están dirigidos a introducir una transparencia mayor frente a las crecientes preocupaciones de cómo las cadenas de suministro se podrían ver alteradas por espías y cibercriminales.

Con respecto a esto, la CSO de Cisco, Edna Conway, tiene algo que decir:

Me preocupa la manipulación, la disrupción y el espionaje. [En Cisco] nos preocupamos de soluciones contaminadas, falsificadas y el mal uso de la propiedad intelectual.

Las filtraciones de la NSA han afectado a Cisco

Cisco se convirtió en un daño colateral de las filtraciones de los documentos de Edward Snowden, que se produjeron en 2013. Una fotografía que ahora es bastante famosa mostraba a trabajadores de la NSA alrededor de una caja con la etiqueta “Cisco” durante lo que se llamó una “operación de interdicción”, uno de los programas más productivos de la agencia de espías. Estas interdicciones implican arrebatar equipos de alta tecnología durante su tránsito, y modificarlos secretamente antes de que lleguen a la puerta de los clientes.

Cisco no es la única empresa de redes bajo sospechaCisco no es la única empresa de redes bajo sospecha

Como resultado, China alentó a los compradores de su país a conseguir sus equipos a través de distribuidores locales, con lo que la cuota de mercado de Cisco cayó. Durante el año fiscal actual los ingresos de la empresa en China cayeron un 21% comparados con el año anterior, según el informe anual lanzado por el fabricante el pasado mes de agosto.

El incidente de la NSA es sólo un ejemplo de cómo un sólo pedazo de información puede impactar la marca y las ventas de una empresa. Y es que, como reza el dicho, “cría fama y échate a dormir”. Cisco ha negado categóricamente cualquier colaboración con la NSA, aunque no es la única empresa tecnológica estadounidense que está bajo sospecha. John Chambers, CEO del fabricante, envió una carta al presidente Obama en 2014 advirtiéndole de que esas operaciones de espionaje “socavan la confianza en nuestra industria”.

Cisco ha aumentado la seguridad en la fabricación

A pesar de que Cisco es uno de los mayores vendedores de routers y equipo especializado en redes, lo cierto es que no tiene ni una fábrica. Sus productos físicos están totalmente externalizados y repartidos entre 25.000 proveedores. Precisamente por esto, la empresa ha creado una especificación de seguridad maestra para aquellos proveedores que tienen 184 requisitos específicos cubiertos. Estos requisitos cubren áreas como la fabricación y la gestión de activos.

Qué requisitos se aplican depende de lo que el proveedor le envíe a Cisco, según se recoge en CSO Online. Por ejemplo, un proveedor de placas de circuitos impresos pueden tener como requisito un sistema de acceso basado en roles con autenticación segura para poder tener acceso a ciertas propiedades intelectuales.

La seguridad en la fabricación de routers tiene que aumentarLa seguridad en la fabricación de routers tiene que aumentar

Otros requisitos tienen que ver con personal de seguridad, como por ejemplo la forma en la que son formados o los procesos que se usan cuando los trabajos de las personas cambian o cuando se acaban sus contratos.

Un programa de betas para disipar las dudas

Cisco está tomando nota de lo que están haciendo otras empresas, como por ejemplo Huawei y Microsoft, que permiten a los clientes probar sus productos en un entorno seguro como ya se ha comentado más arriba. Será a principios del año que viene cuando Cisco abra una instalación en Research Triangle Park en Carolina del Norte destinado a estos fines. Este servicio se llamará Technology Verification Service, y los clientes interesados en él tendrán que pagar para tener acceso.

Lo que aún no nos hemos preguntado es por qué las empresas fabricantes de productos de red son tan sensibles con sus productos a nivel comercial. Esto se debe a la amplia visibilidad que pueden ganar al lograr que grandes cantidades de tráfico pasen por sus switches y routers, lo que consigue que su equipo se convierta en un estándar para la privacidad y la seguridad.

Cisco abrirá un programa de pruebas en un entorno seguro para sus clientesCisco abrirá un programa de pruebas en un entorno seguro para sus clientes / Pete editada con licencia CC 2.0

Y esto es lo que hace que las agencias gubernamentales tengan tantas ganas de introducir sus modificaciones en los equipos. Ya hay una historia publicada en 2013 en Der Spiegel, que cuenta con un total de 50 páginas y que describe un catálogo de hardware y software que usa la NSA para infiltrarse en eta clase de máquinas. De hecho, un implante de software llamado JETPLOW se diseñó para saltarse los cortafuegos de las series PIX y ASA de Cisco, de forma que se pudiese conseguir acceso total a los dispositivos.

Sin embargo, y aunque el asunto de la NSA es importante, el cibercrimen es algo más importante todavía. En lugar de preocuparse por lo que el analista de redes y comunicaciones Joe Skorupa llama “organizaciones de tres legras” que tienen “un alcance muy, muy largo con alcances muy, muy extendidos y con aliados muy, muy poderosos”, tendrían que pensar en formas de acotar la acción de los cibercriminales. Esto es bastante más difícil que combatir las agencias gubernamentales, ya que según Skorupa “hay formas de poner una presión extraordinaria en las organizaciones”.

Y sin embargo las dudas nunca se podrán disipar del todo. Un router cisco cuenta con 30 millones de líneas de código en su interior, que son imposibles de revisar por completo. Probar que un producto no ha sido contaminado por técnicas de las agencias espías es como intentar demostrar que el Universo tiene un principio y un fin.

Prayitno editada con licencia CC 2.0

Relacionados

Nos encanta escucharte ¿Nos dejas tu opinión?