De los laboratorios de defensa a las aplicaciones móviles: cómo evolucionó la protección de aplicaciones

2001 fue un punto de inflexión para la seguridad de las aplicaciones, aunque pocos lo reconocieron en ese momento.

En abril, un EP-3 de la Armada estadounidense realizó un aterrizaje de emergencia en la isla de Hainan tras colisionar en pleno vuelo con un interceptor chino. La tripulación tuvo 26 minutos para destruir equipo y documentos confidenciales antes de aterrizar. Improvisaron: vertieron café en las unidades de disco y usaron un hacha para cortar los discos duros. No fue suficiente.

Ese mismo año, se fundó OWASP para mejorar la seguridad del software: el comienzo de una comunidad que eventualmente definiría estándares como MASVS que seguimos hoy.

Ese mismo año, un estudiante de doctorado de Purdue llamado Hoi Chang desarrolló un programa para ofuscar aplicaciones de Windows, en colaboración con su tutor Mikhail Atallah y sus colegas Tim Korb y John Rice. Ese trabajo se convirtió en Arxan.

Tres eventos en un año. Una demostración contundente de lo que ocurre cuando los adversarios acceden a sistemas desprotegidos. Una comunidad en formación para abordar la seguridad del software a gran escala. Y una empresa fundada para dificultar la ingeniería inversa de las aplicaciones.

La confluencia no fue casual. La protección de aplicaciones se estaba convirtiendo en una preocupación que trascendía fronteras: la seguridad nacional, el software comercial y la disciplina emergente del desarrollo seguro. Tardaría años en tejer los hilos, pero fue en 2001 cuando todos aparecieron.

La era de la defensa

Dos años antes, el Departamento de Defensa había emitido su primer mandato que exigía técnicas antimanipulación en los programas de adquisiciones militares. La amenaza residía en los estados-nación con laboratorios, talento en ingeniería inversa y equipos capaces de capturar secuencias de instrucciones completas en una sola ejecución. Los acontecimientos en la industria dejaron claras las consecuencias reales para quienes contaban con las autorizaciones correspondientes.

Algunos programas de defensa adoptaron la protección desde el principio. Otros presionaron por exenciones: la protección contra manipulaciones aumentó los gastos, retrasó los plazos y complicó el proceso de verificación y validación, donde todo el código debía ser trazable según los requisitos. La ofuscación, por diseño, dificultó dicha trazabilidad.

La misma tensión existe hoy: se resisten las medidas de seguridad que complican el desarrollo hasta que la pérdida hace que el costo sea innegable.

Pero la aplicación de las políticas se endureció con el tiempo. Los programas ya en marcha podían obtener exenciones; los nuevos programas lo encontraban cada vez más difícil. Todos estos pequeños copos de nieve se convirtieron en una avalancha.

Arxan se fundó en ese entorno. La propiedad intelectual inicial de la empresa se licenció a Purdue, y su enfoque inicial fueron las aplicaciones antimanipulación de defensa.

La migración comercial

En 2010, la unidad de defensa de Arxan se vendió a Microsemi por razones regulatorias, y el negocio comercial continuó de forma independiente. Las mismas técnicas de protección encontraron nuevas aplicaciones.

Una empresa de software descubrió que sus productos estaban siendo sometidos a ingeniería inversa y revendidos con descuentos desorbitados. La competencia podía comprar una sola copia, piratear la licencia y vender a precios más bajos que el proveedor original. La amenaza era concreta y las pérdidas, cuantificables.

Los equipos de fabricación se enfrentaban a riesgos similares. Un competidor extranjero podía comprar una máquina, desmontar el hardware y aplicar ingeniería inversa al software que la controlaba, creando una imitación instantánea. La valiosa propiedad intelectual no residía solo en el diseño físico, sino también en el código.

Estos primeros compradores comerciales estaban motivados por las amenazas. Habían visto el problema de primera mano y buscaban soluciones.

Servicios Financieros

Un importante banco del Reino Unido, con visión de futuro y observando las primeras anomalías en el uso de sus aplicaciones, comenzó a desarrollar su propia protección antes de que la normativa lo exigiera. Nos asociamos con ellos, implementamos las funciones que necesitaban y aún hoy los protegemos.

Otros bancos siguieron el ejemplo. Algunos llegaron tras cuantificar las pérdidas por fraude que querían eliminar. Una institución mantenía un importante presupuesto anual contra el fraude; tras implementar la protección de aplicaciones, ya no la necesitaba.

El patrón se repitió en toda la industria: las instituciones más grandes reconocieron primero la amenaza, y luego el conocimiento se difundió a bancos más pequeños, instituciones regionales, cooperativas de crédito y compañías de seguros. Los empleados se movían entre organizaciones y llevaban consigo su experiencia. La lógica era simple: como lo expresó un líder de seguridad, haciéndose eco del viejo dicho sobre los ladrones de bancos, ahí es donde está el dinero.

Protección de los ingresos y los juegos de azar

Los estudios de videojuegos abordaron la protección con un cálculo específico. Una gran parte de los ingresos de un juego se generan en las primeras semanas tras su lanzamiento, con un fuerte repunte seguido de una larga caída. Los estudios nos lo comunicaron directamente: necesitaban una protección que resistiera durante ese período crítico. Sabían que los atacantes acabarían encontrando la manera de colarse, pero para entonces la curva de ingresos se había aplanado.

Esta fue una de las primeras industrias en articular la seguridad con plazos definidos: la protección no necesita ser permanente, sino suficiente durante la ventana de ingresos. Este concepto resuena más allá del sector de los videojuegos: los lanzamientos de productos, los periodos de fusiones y adquisiciones y los lanzamientos regulados comparten la misma dinámica.

La amenaza era concreta, el cronograma era conocido y el retorno de la inversión fue inmediato.

Dispositivos médicos

Los fabricantes de dispositivos médicos se enfrentan a requisitos de ciberseguridad de la FDA que se han vuelto más estrictos en los últimos años. La protección contra la manipulación y la ingeniería inversa ya forma parte del panorama regulatorio.

Pero el cumplimiento normativo no es el único factor determinante. Estas empresas también poseen propiedad intelectual valiosa (algoritmos propietarios, lógica de diagnóstico, protocolos de tratamiento) de la que sus competidores se beneficiarían. La motivación es conocida: el cumplimiento normativo crea el mandato, pero la protección de la propiedad intelectual añade urgencia.

Dónde está el mercado ahora

En 2020, Arxan se unió a CollabNet VersionOne, XebiaLabs, Experitest y Numerify para formar Digital.aiEl nombre Arxan sigue siendo bien conocido en los círculos de seguridad de aplicaciones y la tecnología continúa evolucionando.

Hoy en día, los compradores entran al mercado en diferentes momentos y contextos. Algunos han experimentado la amenaza de primera mano: pérdidas por fraude, piratería, inquietudes sobre inteligencia competitiva. Otros responden a preguntas de la junta directiva o a requisitos de seguridad de los proveedores. Otros apenas comienzan a preguntarse si sus aplicaciones necesitan protección.

El mercado ha madurado y esa madurez significa que más organizaciones están protegidas que nunca.

Lo que hemos aprendido

La amenaza no ha cambiado fundamentalmente. Los adversarios con acceso a tu aplicación, ya sea un laboratorio estatal o una persona motivada con herramientas disponibles gratuitamente, la analizarán. Lo que ha cambiado es quién presta atención.

Hace veinticinco años, la protección de aplicaciones era una preocupación de defensa. Hoy, abarca servicios financieros, videojuegos, manufactura, atención médica y más. Las herramientas han evolucionado: implementación más sencilla, mejor análisis y menor necesidad de configuración. Pero el problema principal persiste: la lógica y los datos valiosos residen en software que se ejecuta en entornos que no controlas.

Hemos trabajado con compradores en cada etapa de esa curva de madurez. Los que llegaron temprano porque se habían desviado. Los que llegaron después porque su sector se puso al día. Los que apenas empezaban a plantearse la pregunta.

Lo que hemos descubierto es que el punto de partida importa menos que el compromiso de comprender su propio riesgo. Llevamos suficiente tiempo en esto como para ayudar con esa conversación, dondequiera que comience.