El problema de seguridad que casi nadie ve y cómo una empresa se reinventó para solucionarlo

Infotechnology asistió al evento regional de la compañía F5 y dialogó con el CEO global de la empresa, que explicó su nueva estrategia de expansión y por qué están enfocando el negocio en la seguridad de las API.

Ya es una verdad de Perogrullo decir que en la tecnología la única constante es el cambio. Pero no todas las empresas están dispuestas a dar el paso siguiente: navegar sobre esas olas de cambio y encontrar las estrategias adecuadas para seguir haciendo negocios en entornos altamente volátiles. Una de las que se animó a dar el salto es F5, una empresa que comenzó trabajando con productos para balanceo de carga (un concepto que refiere a la distribución de tareas en un sistema). Corría el año 1997 y su producto estrella, BIG-IP, ofrecía redirigir el tráfico de los servidores sobrecargados a otros servidores que podían manejar la carga.

Pero desde F5 vieron venir estas olas de cambio y, en un esfuerzo por no ahogarse y perecer como sucede con muchas empresas de tecnología, decidieron pegar el volantazo y adelantarse al futuro. El olfato los guío hasta tres mundos que prometían un buen negocio: el software como servicio, los entornos multicloud y la ciberseguridad aplicada al entorno de las API.

Mucho de este cambio tiene nombre y apellido: el CEO de F5, François Locoh-Donou, es uno de los motores de cambio de este re perfilamiento estratégico de la empresa. Y así lo explicaba en la cumbre regional de F5, el Revolution AppWorld LATAM 2024: "hace 6 años atrás éramos una compañía meramente de balanceadores, ahora somos una compañía completamente distinta a través de la adquisición estratégica de otras empresas. No hay otra compañía que ofrezca lo que ofrece F5, una solución holística en la que todas las apps y APIs están cubiertas en minutos en todos los entornos. Pasamos de una complejidad desalentadora a lo absolutamente fácil".

El nuevo oficio amenazado por la IA: quiénes se quedarán sin trabajo

El mercado de la Web3 superará los u$s 6.000 millones en 2024: qué es y cómo avanza en la Argentina

Así es como la empresa hoy trabaja con tres marcas principales de productos F5: BIG-IP, NGINX y Distributed Cloud Services además de estar sumando recientemente F5 AI Data Fabric, una herramienta pensada para ser un partner inteligente para los equipos de IT y Seguridad. Esto, a su vez, renovó la lógica de negocio de la empresa: hace 6 años el 7% de los ingresos de la empresa respondía a software con licencias perpetuas. Cuando terminó el año fiscal 2023, ese número había trepado al 45% de los ingresos y en 8 de cada 10 casos se trató de suscripciones SaaS por varios años.

Una de las tendencias sobre las que F5 intentó capitalizar y proveer valor es en el mundo de las API. Estas siglas refieren a una interfaz de programación de aplicaciones, una tecnología que permite a diferentes aplicaciones comunicarse entre sí y compartir información y funcionalidades. Si bien es una sigla un poco desconocida, mucho de lo que hacemos a diario esta mediado por una API. Por caso, una búsqueda de Google que se conecta por API a los buscadores web y de imágenes, una API que conecta un sitio web con un tablero de cotizaciones en tiempo real, sitios web con usuarios y contraseñas que verifican la identidad a través de una API y hasta los gobiernos que usan APIs para conectar bases de datos financieras, con documentales, con servicios oficiales. De hecho, los celulares son grandes consumidores de API para todo lo que respecta al uso de aplicativos de toda clase (para conectar con servicios, para extraer información de la web o de bases de datos, etc.). La compañía ve una gran oportunidad de negocio en este vertical que, hasta ahora, ha pasado un poco desapercibido para los grandes players del sector de tecnología en particular en lo que refiere a tecnología.

Las empresas con más de u$s 10.000 millones de ingresos anuales gestionan más de 1.000 aplicaciones y casi 1.400 APIs, de media. Un puñado informó de que gestionaba más de 10.000 API según el informe "State of Application Strategy Report" de F5

Infotechnology diálogo con Locoh-Donou en el marco del Revolution AppWorld para entender en más profundidad la filosofía detrás del cambio de rumbo en la compañía.

François Locoh-Donou, CEO global de F5. Fuente: F5

La pandemia suele servir como punto de inflexión para hablar de digitalización. En el caso de Argentina, afectó mucho a sectores como la banca y el gobierno. Esto aumentó fuertemente la superficie de ataques en seguridad. ¿Cómo evalúan estos nuevos riesgos?

Son un gran segmento de negocio. El mundo de las API está cambiando en gobierno y banca. Iniciativas como el open banking están causando mucha interacción entre API e información de terceros. En el caso del gobierno es igual con e-goverment, que tiene que hacer muchos llamados a proveedores de distinta información importante a través de APIs. Esto significa que estamos viendo una explosión en el uso de APIs y el problema es que la mayoría de las empresas y gobiernos no tienen los skills para manejar todas estas API. Es necesario saber cuántas API existen en el sistema, dónde están, con quién hablan interna y externamente. Son tantas que nadie lo sabe. 

Además, los desarrolladores son muy buenos para crear código, pero la documentación es un problema. Las empresas nunca saben cuántas API tienen en realidad. Los clientes creen que tienen 550, por ejemplo, y luego de nuestro trabajo inicial de análisis pueden ser más de 900. En F5 venimos viendo este problema e invertimos en la protección de API para poder hacer sencillo el manejo de estas API. Algunos vendors se dedican a detectar las API vulnerables pero no las protegen. Otros vendor las protegen pero no se dedican a ver dónde están y qué hacen. Nosotros combinamos esos dos aspectos y los potenciamos con IA y machine learning. Hoy, somos la única empresa posiblemente que detecta, ve las vulnerabilidades y las protege.

¿Cuáles son algunos de los posibles problemas de seguridad en un entorno API al trabajar con IA?

Uno de los principales es la filtración de información, ya que la IA es esencialmente uso de APIs. La información de la que se alimentan los modelos puede estar en una nube pública, empleados que usan información para entrenar los modelos que no deberían usar. Hay casos como empresas que, sin quererlo, usan información sensible en modelos de IA abiertos como chatGPT como puede ser un balance fiscal. Las empresas deben saber si tal o cual información debe pasar o no por ciertas API.

Pero hablando más en general, como sucede con el phishing en seguridad, en el mundo de las API el vector de ataque más común suele ser por un lado las llamadas "API zombie", que significa una API que tiene una empresa, pero de la cual no está enterada que interactúa con sus sistemas. Muchos clientes son atacados a través de APIs que ni siquiera sabían que tenían. Por otro lado, es tener APIs vulnerables que las empresas no saben que lo son. Es decir, que no han sido catalogadas ni documentadas. Incluso si cuentan con protección, no la tienen para ciertas vulnerabilidades que pasaron sin ser detectadas. Los atacantes que se enfocan en APIs trabajan sobre un nivel de complejidad superior al de un DDoS pero si atacas APIs se supone que el atacante entiende de protocolos, de librerías, entiende cómo una API funciona dentro de una aplicación. Entonces hay un gran componente de complejidad, con atacantes que entienden más de lo que se necesita para un ataque de phishing o de fuerza bruta.

La omnipresencia de las API las ha convertido en una de las puertas de entrada favoritas de los ciberdelincuentes para los ataques de apropiación de cuentas. En una encuesta reciente de Fastly, el 84 % de los encuestados admitió no disponer de seguridad avanzada para las API.

Si pensamos en el apartado económico, con un ransomware se puede robar la información y negociar para venderla. En el caso de las APIs, es el mismo modelo de negocio. Se pueden usar las APIs para hacer una llamada y robar información. Pero también en el caso de sistemas como open banking, vulnerando una API es posible hacerse pasar por un agregador de servicios bancarios y solicitar operaciones bancarias.

¿Cómo evalúas, entonces, el caso de las APIs abiertas?

Las empresas deben tener cuidado sobre qué mantienen abierto y qué cerrado. Es necesario monitorear y catalogar el entorno de APIs. Sin hacer esto, es imposible saber cuáles deben ser abiertas o cerradas según la función que cumplan. Pensamos que las empresas deben tener un catálogo actualizado. En el caso de open banking, por ejemplo, creemos que hay beneficios para los consumidores cuando los bancos pueden intercambiar información a través de APIs para mejorar los servicios, pero eso necesita que haya un alto nivel de protección de las APIs.

Las API permiten potenciar el negocio de la información y los contenidos y, para Locoh-Donou, esto impulsará que cada vez más empresas intentarán monetizar estos contenidos. "Sucederá desde las empresas de medios hasta cualquier otra que genere contenido. Pelearán para monetizar sus contenidos a través de APIs y no necesariamente las empresas grandes podrán sacarle ganancias gratuitamente. Eso será un gran tema en el futuro, empresas pequeñas que no tienen tanto capital como las grandes empresas de tecnología, pero generan mucho contenido que las grandes empresas usan para entrenar, por ejemplo, sus modelos de inteligencia artificial. Ese es un debate legítimo que debe tenerse". A su vez, estas empresas también necesitarán profesionalizar sus interfaces de intercambio de información y mejorar su seguridad si es que anhelan convertirlas en un asset monetizado.

François Locoh-Donou, CEO de F5. Fuente: F5

Hablando de sus modelos de arquitectura híbrida en la nube, donde F5 se encarga de facilitar la interacción entre diferentes proveedores de soluciones cloud, ¿Cómo evalúan ese negocio en vistas de que las empresas buscan tener más agilidad?

Todas las empresas que se mueven a la nube hoy, lo hicieron buscando las funcionalidades de AWS o Azure. Pero quedaban "encerrados" en esa solución algo similar a lo que sucede con los CDN como Akamay. Pero hasta antes de nosotros, no había una solución agnóstica en términos de infraestructura para tener seguridad en las aplicaciones y el delivery de contenido. Estas empresas que fueron al multicloud tuvieron que hacer cosas como entrenar a sus equipos para manejar Azure, para manejar AWS, etc. Pero ahora con F5 se puede tener una solución que funciona con cualquier cloud y permite facilitar la arquitectura y su manejo.

Como sucedió con cloud, hoy todas las empresas quieren usar IA, de alguna u otra manera, ¿Cuánto de esto tendrá realmente impacto en el negocio de hoy a unos 5 años en el futuro?

Todas las tecnologías como la IA nos generan expectativa sobre lo que sucederá en los próximos años. Pero sucede más lento el cambio, cuando uno analiza en el lapso de, por ejemplo, una década aparecen casos extraordinarios de uso. Si bien pensábamos antes que todo iría a cloud, la verdad es que hay empresas que tienen 40%, 30% o 10% de sus operaciones en cloud. Si bien es cierto que no todo fue a la nube la realidad es que, efectivamente, mucho sí fue hacia la nube. 

Creo que en el caso de IA es algo similar. Jugará un rol importante, pero será más transformadora que cloud y afectará a todos los flujos de trabajo, en todas las empresas, de aquí a 10 años. Desde atención al cliente, hasta programación y marketing de contenidos. Las personas se emocionan porque transformará la industria y casi todos los sectores la van a incorporar. Pero también desde el lado de seguridad vemos que potencia los casos de phishing, los casos de deep fakes, entonces estamos viendo que la batalla de "IA buena" y "IA mala" ya está sucediendo. 

Pero posiblemente el salto importante no venga solo de la mano de IA, sino de una combinación de tecnologías. Las grandes disrupciones vienen de una combinación de tecnologías, por ejemplo, IA con bioingeniería para secuenciar ADN o para entender cómo funciona el cerebro. Eso tiene el potencial de potenciar fuertemente la investigación. La IA combinada con otras tecnologías van a hacer una gran diferencia en los próximos 20 años.

Según un informe de Statista sobre la frecuencia de roturas y cambios de API en todo el mundo, hasta un 40% de los usuarios de API informan que sus API funcionan mal con una frecuencia suficiente como para ser reportado. Fuente: Statista, 2020.

¿Qué tendencias esperan para el futuro de los negocios IT?

Estamos en un mundo de incertidumbre y los líderes de negocios no quieren hacer inversiones a largo plazo, como 5 años o más. Los gastos son cautelosos y esto se va a mantener durante el 2024. Además, es un año de muchas elecciones en todo el mundo, con resultados desafiantes. Pero hay cosas excitantes en el futuro como la IA y el mundo de las aplicaciones. Allí se verá un gran impacto en los próximos 5 años y el ecosistema de aplicaciones será un gran beneficiario. 

Pero en el nivel macro creo que deben pasar algunos años más para que las cosas se calmen. Hasta ahora, vivimos en un mundo muy globalizado y esta tendencia está bajo ataque desde muchos ángulos. No se sabe cuál será el nuevo equilibrio para las empresas globales. Si China y EE.UU. se pondrán de acuerdo, qué sucederá en Europa, si las democracias se volverán más nacionalistas y proteccionistas que parece ser la dirección hacia la que van ahora. El futuro del comercio global no tendrá respuestas durante los próximos 5 años. Mientras tanto, habrá que vivir con esta incertidumbre.