Microservicios, 5G, automatización y API serán clave
El año 2020 ha sido un periodo de transición y adaptación a una nueva realidad. La pandemia ha provocado un cambio de mentalidad y de comportamiento, impulsando la innovación y el despliegue de nuevas tecnologías. Esta tendencia continuará en 2021 con la aceleración de algunos desarrollos clave.
Según F5, las organizaciones tendrán que afrontar retos como el avance del phishing y la falta de talento. Estas son las tendencias IT de la compañía:
El paso al frente de los microservicios
Organizaciones de todo el mundo migran cada vez más desde aplicaciones monolíticas a otras basadas en microservicios. La percepción general de que las aplicaciones basadas en microservicios pueden mejorar un objetivo clave para los negocios, como es la experiencia del cliente, trae consigo un incremento de estas tecnologías en los entornos de producción. Un informe de NGINX señala que durante el pasado año el porcentaje de empresas que construyeron sus aplicaciones con microservicios pasó del 40% al 60%.
De cara al futuro, se espera una mayor inversión en orquestadores de contenedores comerciales y de código abierto, así como en la gestión de API. Al mismo tiempo, el uso de la nube pública seguirá aumentando, junto con la migración continua a balanceadores de carga basados en software. El uso de tecnologías relacionadas, como WAF y Service Discovery, también crece.
Arquitecturas horizontales para 5G
A medida que los operadores móviles se preparan para desplegar redes core 5G, se enfrentan a la disyuntiva de adherirse al enfoque tradicional e implementar una pila de red integrada verticalmente, o de orientarse hacia una arquitectura horizontal compuesta de capas distintas. Lo más seguro es que las Telco opten en 2021 por esta última opción para tratar de sacar todo el partido a los beneficios que prometen el 5G y las arquitecturas abiertas.
Una pila telco horizontal implica el desacoplamiento completo del servidor y de la infraestructura de red, así como de las funciones que se ejecutan encima. Este tipo de arquitectura en capas es la norma entre las compañías web-scale, pero para las Telco supone un cambio de mentalidad, ya que deben considerar 5G como un caso de uso que se ejecuta sobre una plataforma cloud telco común, en lugar de tener una pila vertical propietaria.
Es importante recordar que el estándar 5G se ha desarrollado de forma que alienta a los operadores a emplear arquitecturas horizontales. Esta nueva tecnología ha sido diseñada para aprovechar las arquitecturas basadas en servicios que ya impregnan el entorno IT. Las aplicaciones se componen de microservicios que realizan funciones específicas e intercambian información mediante el protocolo HTTP y API. Con el tiempo, esta arquitectura permitirá a los operadores sacar todas las ventajas del software de código abierto. HTTP ya es el protocolo predeterminado para los sistemas de código abierto en la actualidad, mientras que DevOps suele utilizar el estándar de API abierta para desarrollar aplicaciones basadas en API.
El phishing que no cesa
Según el Phishing and Fraud Report 2020 de F5 Labs, en estos momentos existen dos grandes tendencias con respecto al phishing.
Por una parte, al haber mejorado los controles y las soluciones de seguridad frente al tráfico de bots, los ciberdelincuentes están empezando a orientarse hacia las granjas de clics, lo que significa disponer de decenas de trabajadores remotos que tratan de iniciar sesión de forma sistemática en el sitio web objetivo utilizando credenciales robadas. La conexión proviene de un humano que utiliza un navegador web estándar, lo que hace que la actividad fraudulenta sea más difícil de detectar.
Incluso un volumen relativamente bajo de ataques tiene su impacto. En una investigación real, Shape Security se encargó de analizar 14 millones de inicios de sesión en una organización de servicios financieros durante un mes, registrando una tasa de fraude del 0,4%. Ese porcentaje, que puede parecer pequeño, equivale a 56.000 intentos de inicio de sesión fraudulentos.
Por otra, los investigadores de Shape Security también han detectado un aumento en el volumen de proxies de phishing en tiempo real (RTPP), como Modlishka2 y Evilginx23, que pueden capturar y utilizar códigos de autenticación multifactor (MFA). Los RTPPs actúan como una person-in-the-middle e interceptan las transacciones de una víctima con un sitio web legítimo. Dado que el ataque ocurre en tiempo real, el sitio web malicioso puede automatizar el proceso de captura y reproducción de las autenticaciones, como los códigos MFA. Incluso puede robar y reutilizar cookies de sesión.
A vueltas (otra vez) con la falta de talento en seguridad
Ninguna institución educativa puede cubrir todo de forma eficaz. Además, cada empresa tiene sus necesidades de acuerdo a su estrategia, arquitectura de seguridad o política de contratación. Todo ello hace que los profesionales con experiencia no tengan más remedio que seguir formándose y adquirir nuevas habilidades para mantenerse actualizados. Quizá sea más práctico formar a los empleados aprovechando los intereses profesionales e intelectuales de cada uno de ellos que buscar nuevos candidatos con las habilidades necesarias para cada área. Al final, en ciberseguridad, el aprendizaje continuo siempre va a ser una necesidad.
El despegue de la Banca Abierta
El modelo de banca abierta permite a las entidades financieras compartir de forma segura los datos de sus clientes con proveedores de servicios de pago externos (TPP) y con otros bancos a través de API. Si esto se hace bien, se podrían generar productos y servicios financieros innovadores basados en datos alrededor de una plataforma centralizada. Según un informe encargado por F5 a la compañía de investigación de mercados Twimbit, cerca de un 60% de los ciudadanos estaría dispuesto a compartir información personal con su banco y aseguradora a cambio de precios más bajos en productos y servicios.
Sin embargo, la popularidad de las API en todos los sectores no ha pasado desapercibida para los ciberdelincuentes. Gartner predice que en 2022 los abusos de API serán el vector de ataque más frecuente contra las aplicaciones web empresariales. Si finalmente 2021 se convierte en el año del despegue de la banca abierta a nivel global, será necesario permanecer alerta.
Lo que está claro es que se espera un gran interés por la tecnología API-first. Las soluciones que maximizan el rendimiento, al reducir, por ejemplo, el tiempo medio de respuesta de una llamada a la API y minimizar la huella y la complejidad del gateway de enlace de la API, experimentarán una gran demanda. Sin embargo, este avance se verá obstaculizado si no se abordan adecuadamente los temores de los consumidores sobre el riesgo de fraude o violaciones de datos. Para generar confianza, es crucial adoptar estrategias dirigidas a modernizar las aplicaciones mediante la implementación de una estrategia de protección 360 que vaya más allá de la realización de pruebas de vulnerabilidad en el software.
Adaptación automática de las aplicaciones
En la era de los microservicios y la computación distribuida, no es posible administrar adecuadamente un portfolio de aplicaciones que aumenta exponencialmente sin automatización. Un elemento clave para ello es lograr que las aplicaciones sean más adaptables, es decir, que tengan la capacidad de adaptar sus capacidades, protegerse frente a posibles ataques y repararse por sí mismas en función de su entorno y de cómo se utilizan. Esto no es ciencia ficción. Ya estamos viendo ejemplos de cómo una poderosa combinación de servicios de aplicaciones, telemetría y automatización puede cambiar la realidad para ofrecer experiencias digitales extraordinarias.