Proteger la propiedad intelectual en la nube

junio de 2015

Por Asaf Cidon, fundador y Director Ejecutivo de Sookasa, California (Estados Unidos de América)

A medida que la propiedad intelectual (P.I.) se convierte en el eje de la economía mundial, la colaboración va adquiriendo cada vez más importancia.

Esto, para la mayoría de empresas, organizaciones de investigación y demás instituciones, significa un giro hacia la nube.  En muchos casos la nube simplifica el trabajo móvil y la colaboración, y ofrece unas ventajas sin precedentes en lo que respecta a almacenamiento y sincronización de la información en varios dispositivos.  La nube permite intercambiar información con fluidez, aumentar la productividad y liberar a las personas del espacio físico de sus oficinas, haciendo posible la coordinación transfronteriza y el acceso fácil a los archivos y a la información que contienen.  Según el informe sobre el estado de la nube de RightScale de 2014 (www.rightscale.com), casi el 90% de las empresas utilizan ya la nube y se espera que esa cifra siga aumentando.  Sin duda, la nube ha venido para quedarse.

Pero los que trabajan en el ámbito de la P.I. y deben proteger los datos miran a veces con inquietud esa evolución informática.  Después de todo, parte de la magia de la nube radica precisamente en la necesidad de la proliferación de datos entre distintos dispositivos y colaboradores, lo que implica renunciar en gran medida al control sobre estos.  Lo que menos desea una persona que se dedica a manejar información confidencial sobre diseños de productos, códigos fuente, patentes o secretos comerciales es que dicha confidencialidad pueda peligrar debido a fugas involuntarias en la nube o a la presencia en ella de actores maliciosos.  El valor de la P.I. hace que sea ya mucho lo que hay en juego.  El costo de las controversias sobre patentes—sobre todo en el sector de la tecnología—puede alcanzar valores astronómicos.

Identificación de los riesgos y mediación al respecto

La clave para poder utilizar la nube con seguridad y aprovechar su capacidad para promover P.I. nueva está en cuidar los aspectos que podemos controlar, lo que, en la práctica, se reduce a introducir mecanismos de salvaguardia y seguridad.  De hecho, la nube es un medio que no solo permite intercambiar conocimientos, sino también proteger la P.I.

El empleo sin miramientos de la nube es una navaja de doble filo en el caso de la P.I., ya que permite la colaboración que necesita la actividad, pero genera un riesgo potencial para la información sensible sobre P.I.  Las violaciones de datos pueden afectar a cualquier sector y muchas veces los delincuentes cibernéticos eligen al azar las empresas objeto de sus ataques, de cuyas bases de datos sustraen grandes cantidades de nombres de usuario, contraseñas, números de tarjetas de crédito y otro tipo de información privada con el fin de obtener beneficios financieros inmediatos.  Pero la propiedad intelectual es un blanco especialmente atractivo.  De acuerdo con el informe sobre investigaciones de violaciones de datos de Verizon de 2014 (www.verizonenterprise.com), una cuarta parte de los delincuentes cibernéticos centran sus actividades en la propiedad intelectual.  Estos actores maliciosos buscan algo más concreto que números o nombres de usuario y saben cómo encontrarlo.

Las dos amenazas más importantes cuando se habla de violaciones de datos en general son con diferencia el malware y el phishing, pero estas técnicas tienen sus limitaciones, acaso porque suelen realizarse desde fuera de la organización en cuestión.  En otro estudio de Verizon, DBIR Snapshot:  Intellectual Property Theft, de 2012, se puso de manifiesto que el espionaje cibernético de la P.I. es más sofisticado y, probablemente, aún más malicioso.  De hecho, el estudio reveló que en casi la mitad de las violaciones de datos de P.I. intervienen empleados actuales o antiguos, en especial en sectores como la manufactura, las finanzas, la tecnología y el sector gubernamental.  Además, la razón que genera más violaciones de la P.I. es el abuso del acceso a los sistemas y de los privilegios conexos.  En otras palabras, las filtraciones de la P.I. confidencial suelen realizarlas personas que tienen acceso a información que no deberían estar autorizadas a ver;  que siguen teniendo acceso a la información después de haber dejado de trabajar en la empresa o de finalizar un proyecto;  o que están colaborando con un delincuente o pirata informático externo.

No obstante, los errores de los usuarios no siempre son maliciosos.  Las negligencias de los empleados son una de las principales preocupaciones en muchos sectores, en especial a medida que aumenta la importancia de la nube.  Tomemos como ejemplo el tema de la sincronización de los archivos:  la nube nos permite sincronizar varios dispositivos, lo que, a su vez, facilita el acceso a las patentes o a los planes de nuestros clientes por medio del teléfono inteligente o de la tableta mientras estamos viajando o desde casa.  Esto supone una gran ayuda en muchos aspectos;  por ejemplo, aumenta nuestra productividad y nuestra capacidad de respuesta incluso cuando no estamos en la oficina.

Pero imaginémonos que nos dejamos la tableta en el taxi, con acceso a secretos comerciales de una empresa a través del correo electrónico o en la carpeta de descargas.  Si la tableta cae en malas manos y la información acaba siendo divulgada a la competencia, todo el trabajo de nuestro cliente caería en saco roto.  En una encuesta realizada por Microsoft en 2012 se desveló que en los Estados Unidos de América casi el 70% de los profesionales utilizan sus dispositivos móviles personales para trabajar y, con ellos, la nube, con independencia de que la empresa lo permita o no (http://blogs.microsoft.com/cybertrust/).  Con todo, no cabe duda de que siempre habrá algún dispositivo que se pierda, alguna cuenta de correo electrónico que se quede abierta y algún archivo adjunto que se envíe por error, por lo que, si todos los archivos están cifrados—en una carpeta en la nube, en un enlace seguro, en un correo electrónico o en una descarga—sea quien sea quien encuentre la tableta en el taxi.  Si no está autorizado para leer los archivos, simplemente no podrá hacerlo.

¿Cómo puede la nube ayudar a prevenir el robo de propiedad intelectual?

La nube genera riegos, pero también ofrece muchas posibilidades en cuanto a seguridad:  no solo existen fórmulas factibles para proteger nuestra información, sino que la nube podría incluso ser más segura que los servidores de red tradicionales, que se llevan la palma en lo que a ataques se refiere.

Según Verizon, al menos la mitad de los robos de P.I. se realizan en las bases de datos y los servidores de archivos de las empresas.  Estos activos de las empresas están más expuestos que otros, como pudieran ser los documentos, los miembros del personal, los correos electrónicos y las aplicaciones de Internet.  A la vista de lo anterior, la primera reacción podría ser simplemente crear cortafuegos más grandes y potentes para aumentar la protección de esos servidores.  No obstante, otra posibilidad sería sacar de los servidores todos los datos protegidos y pasarlos a la nube.

En realidad, almacenar en la nube toda nuestra información de P.I. podría aumentar su protección.  De esta forma nuestra empresa tendría garantizada la seguridad de dicha información y se beneficiaría a la vez de todas las ventajas que ofrece la nube.  Si se cuenta con las salvaguardias adecuadas, el almacenamiento en la nube es más seguro que en cualquier red física.  La clave para el almacenamiento seguro en la nube es cifrar la información.

El cifrado de los datos a nivel de archivos implica que siempre estarán cifrados, desde antes de entrar en la nube hasta después de salir de ella.  Esto significa que solo nosotros y los usuarios que nosotros autoricemos podremos descifrar los ficheros.

La nube es un medio que permite intercambiar conocimientos y proteger la P.I. La clave para poder aprovechar su capacidad está en cuidar los aspectos que podemos controlar introduciendo mecanismos de salvaguardia. (Photo: iStock photo © dolfyn)

Por el contrario, muchas veces no resulta práctico cifrar las bases de datos tradicionales, ya que se utilizan de forma constante y, en la práctica, los contenidos sensibles se descifran cada vez que se accede a ellos porque la clave siempre está presente.  Esto no sucede en el caso de la nube, donde si se opta por una solución adecuada los datos de P.I. se mantendrán separados de las claves de cifrado.  De esta forma ni el proveedor de la nube ni el del cifrado podrán acceder a nuestros datos, solo nosotros podremos hacerlo, lo que nos garantiza un nivel óptimo de seguridad.

El cifrado de los archivos no solo garantiza la seguridad en caso de que se produzca una violación de los datos, sino que además nos permite el intercambio y la sincronización de archivos con nuestros colegas y clientes sin poner dichos archivos en peligro, haciendo que la colaboración y la comunicación sean más fluidas.  Imaginémonos intercambiando carpetas llenas de archivos sensibles y manteniendo a la vez toda la información que nuestro equipo necesita al alcance de todos y segura.

Una de las principales ventajas del cifrado y de tener la capacidad de controlar quién puede descifrar los datos es que los administradores pueden proporcionar acceso a quien necesite realizar una consulta.  Ya hemos visto cuán perjudicial puede llegar a ser la utilización indebida;  pero la probabilidad de que se produzca un robo disminuye de forma drástica si se impide que los empleados o los miembros de los equipos puedan abrir los archivos cifrados, evitando así que fisguen en los servidores.

Por último, las soluciones de seguridad por capas presentes en la nube permiten asimismo una verificación retrospectiva fiable.  La capacidad de realizar un seguimiento de nuestros archivos cifrados y saber qué usuarios accedieron a ellos y cuándo lo hicieron es fundamental para prevenir que se produzcan violaciones y robos de datos.  En caso de que un usuario no autorizado—perteneciente a nuestra organización o ajeno a ella—accediera a datos de P.I. a los que no debería tener acceso, lo sabríamos y podríamos detener el ataque con prontitud.  Otro aspecto primordial es poder revocar el acceso a las personas que dejen de formar parte de un proyecto o a los dispositivos que se hayan perdido.  Si no se toman medidas para evitarlo, un antiguo empleado podría seguir teniendo acceso a archivos enviados a una cuenta personal de correo o guardados en una computadora en su casa.

Mediante la protección a nivel de archivos no solo se protegen los datos mismos sino que también se reduce la carga adicional de los servidores de la nube, lo que nos permite trabajar con los documentos cifrados con más rapidez y facilidad.

En resumen, la nube puede ofrecer innumerables ventajas en cuanto a almacenamiento, intercambio y colaboración en materia de proyectos de P.I.  Sin embargo, genera una vulnerabilidad que se puede prevenir de manera adecuada.  En cualquier caso, si los archivos se cifran correctamente resulta fácil protegerlos y autorizar el acceso exclusivamente a los usuarios que puedan verlos.

En muchos aspectos, la P.I. hace avanzar al mundo, y el mundo se mueve a gran velocidad.  Pero la P.I. solo puede impulsar el crecimiento de la economía internacional si resulta sencillo colaborar en relación con los aspectos más problemáticos a que nos enfrentamos o, más aún, si se eliminan los obstáculos para ello.  Una nube segura puede facilitar el trabajo conjunto de las personas y ayudar al mundo a avanzar idea a idea.

El propósito de OMPI Revista es fomentar los conocimientos del público respecto de la propiedad intelectual y la labor que realiza la OMPI, y no constituye un documento oficial de la Organización. Las denominaciones empleadas en esta publicación y la forma en que aparecen presentados los datos que contiene no entrañan, de parte de la OMPI, juicio alguno sobre la condición jurídica de ninguno de los países, territorios o zonas citados o de sus autoridades, ni respecto de la delimitación de sus fronteras o límites. La presente publicación no refleja el punto de vista de los Estados miembros ni el de la Secretaría de la OMPI. Cualquier mención de empresas o productos concretos no implica en ningún caso que la OMPI los apruebe o recomiende con respecto a otros de naturaleza similar que no se mencionen.