martes, 21 de septiembre de 2021

Pronósticos de seguridad/ciberseguridad 2022. Una lectura de umbrales de transformación

Introducción

La rápida evolución de las tendencias y las disrupciones tecnológicas, junto con el aumento de la ansiedad individual y la inestabilidad del contexto, establece una ruta inesperada y reto exigente para las organizaciones del siglo XXI (Cascio, 2020). Este desafío implica el desarrollo de una capacidad de adaptación ágil, que demanda transformar inicialmente los imaginarios de las personas sobre lo que es la realidad y cómo entenderla, para luego articular una nueva cultura que le permita moverse mejor, fallar rápido, desaprender pronto y experimentar mucho (Cano, 2021).

En este escenario, conceptualizar una propuesta de pronósticos para la ciberseguridad/seguridad de la información resulta un “salto de fe” sobre los reportes, los documentos y los datos disponibles a la fecha, comoquiera que desde allí, se tratará de situar algunos referentes básicos e ideas claves, cuya vigencia se debilitará con el pasar de los días. Por tanto, lanzarse a efectuar visualización de oportunidades y retos para los modelos de seguridad y control en el 2022, demandará una lectura de umbrales los cuales estarán enmarcados en algunas temáticas que han venido referenciándose en diferentes informes a nivel internacional y en realidades emergentes o señales débiles del entorno.

Hacer una lectura de umbrales para explorar las tendencias de la ciberseguridad/seguridad en el 2022, exige crear una vista de transformación basada en un ejercicio de “feedforward”. Esto es, establecer un mapa imperfecto del momento presente y decidir qué hacer ahora en función de lo que se percibe y en circunstancias radicalmente distintas. Lo anterior, implica plantear un camino potencial de cambios que se configuran en la actualidad creando una perspectiva de evolución basado en distinciones conocidas o novedosas (Hodgson, 2020).

Así las cosas, varias son las temáticas que se advierten para crear los umbrales de transformación propuestos en esta reflexión:

  • Robo de la realidad: cibercriminales científicos de datos.
  • Cybersafety: transformación del comportamiento en el entorno cibernético.
  • Cripto pasivos: ¿Los nuevos chicos “malos” del barrio?
  • Técnicas de blanco móvil: Cambiando la ecuación del adversario.
  • Nubes híbridas: inseguridad “en cascada”. 

Estas cinco temáticas son el resultado de un ejercicio de desconexión de las realidades actuales, revelar algunas de las dinámicas emergentes del momento y nuevamente conectar lo actual y lo emergente para visualizar “ganancias teóricas” y “aproximaciones prácticas” que motivan transformaciones aceleradas que se advierten para los próximos meses. 

Sin perjuicio de lo anterior, habrá otros elementos del entorno que continuarán presentes y en dinámica permanente como son la inevitabilidad de la falla, la mayor densidad digital, la amenaza interna, el aumento de las regulaciones y el deterioro de la privacidad, los cuales armonizan un caldo de cultivo necesario para empujar la inestabilidad y el incremento de la complejidad que genere eventos inesperados y cambios de trayectoria que necesariamente actualizan la lectura actual de la sociedad ahora frágil, ansiosa, no-lineal e incomprensible (Sieber & Zamora, 2018).

Temáticas y sus umbrales de transformación

Robo de la realidad: cibercriminales científicos de datos

El avance y disponibilidad de las herramientas de analítica de datos permite a casi a cualquier persona con curiosidad y ganas de aprender, aprovecharse de los datos disponibles en internet. Saber ubicar un sensor y recolector de datos en un entorno público es ahora una de las tareas de los adversarios, para concretar y desarrollar una serie de patrones que luego serán utilizados para adelantar la inteligencia necesaria para darles sentido y fundamentación a las acciones adversas que se quieren concretar (Altshuler et al., 2017).

De esta forma, los cibercriminales conforman equipos de trabajo bien diseñados para analizar y cruzar información disponible en redes sociales asociada no sólo con tendencias y temáticas de interés, sino basada en el comportamiento de los individuos, con el fin de establecer y motivar acciones que puedan afectar a un grupo de personas en particular, cambiar las intenciones de otros, o crear imaginarios en los usuarios movilizando mensajes que saben son pertinentes para ellos.

Con este ejercicio de captura, análisis y transformación de los datos en internet, los adversarios son capaces de motivar cambios según la agenda o intencionalidad contratada o requerida de forma silenciosa y persistente, lo que configura un “robo de la realidad” la cual ahora estará bajo el “control” de un grupo o equipos de trabajo de agentes, creando las tendencias y comportamientos (algunos esperados y otros no) que terminen por darle forma a una realidad que posiblemente no sea la que se manifiesta para otros públicos.

Frente a este tipo de amenazas las organizaciones deberán activar protocolos de monitorización y seguimiento en internet de su imagen digital, mantener y verificar la integridad de los datos e información, así como establecer una red de socios estratégicos con el fin de crear un ecosistema de defensa coordinado y colaborativo donde la afectación de la imagen y reputación de un miembro, activa las acciones de defensa colectivas para deteriorar y diezmar los esfuerzos de “robo de la realidad” que quieran concretar los adversarios. Es decir, un ejercicio semejante al diseño de organismos multilaterales como la OTAN.

Cybersafety: transformación del comportamiento en el entorno cibernético

El ejercicio de confiabilidad de los comportamientos humanos en el entorno digital adquiere una dimensión más visible ahora toda vez que los resultados de sus acciones pueden y podrán tener efectos concretos en el mundo físico, en el lógico, biológico o psicológico, dada la interconexión y acoplamiento de la dinámica social asistida por una mayor densidad digital (Refsdal et al., 2015)

El entorno cibernético es un entorno donde las personas tienen mayor interacción, mayor convivencia y mayor comunicación. Es un entorno, donde los objetos físicos ahora tienen mayor nivel de conectividad y los flujos de información se manifiestan en todas partes. Es el momento en donde la ropa que se usa transmite información sobre la talla, la sudoración, entre otras cosas, los relojes, más allá de dar la hora, generan mayor información de lo que comemos o dormimos, los televisores se conectan a internet y generan una experiencia distinta a los canales tradicionales, y se avanza a pasos a agigantados en la impresión de huesos, órganos humanos y comida sintética (semejante a la natural) como alternativas que transforman la dinámica de la vida tradicional.

En este contexto, se introduce el concepto de cybersafety, como la disciplina que se centra en la vida y la salud humanas en el entorno digital, que inicia desde la conectividad y sus impactos en la cotidianidad, hasta el reconocimiento y gestión de riesgos por parte de las personas en este escenario cibernético, donde los individuos materializan acciones y dinámicas particulares que pueden terminar comprometiendo su integridad física, psicológica, digital y todos aquello que sea convergente con vista de conectividad aumentada que utilice y la exposición a dispositivos con mayor densidad digital (Refsdal et al., 2015).

Este nuevo entorno cibernético, es decir de mayor comunicación y control entre sistemas vivos y artificiales, sitúa a las personas como un elemento interconectado que en algunos momentos estará completamente fusionado con los componentes tecnológicos, y otras sólo vinculados para su operación. En este sentido, los adversarios serán adaptativos en línea y fuera de línea, con el fin encontrar la mejor forma de concretar sus acciones adversas. Cuando se adapta en línea es capaz de adelantar acciones contextualmente relevantes imitando movimientos en cuanto a patrón y tiempo que terminen cautivando al objetivo para materializar la actividad maliciosa; cuando lo hace fuera de línea, tiene la habilidad de recabar información relevante, construir ataques sofisticados y crear un escenario de despliegue que termine con efectos físicos, lógicos o psicológicos.

Frente a este tipo eventos adversos en el entorno cibernético se hace necesario desconectar el imaginario actual vigente de la seguridad de la información, que se concentra en la protección de la información y crear una conciencia situacional cibernética que se materializa en un proceso cognitivo que implica la recopilación de información, la percepción y la comprensión del estado actual del mundo y la anticipación de otros momentos posteriores, particularmente en la comprensión y proyección de los riesgos y amenazas en el entorno cibernético y su evolución futura (Renaud & Ophoff, 2021). 

Cripto pasivos: ¿Los nuevos chicos “malos” del barrio?

Comienza la era del “endeudamiento” en criptoactivos. El reto de comprender y desarrollar préstamos, estafas y desbordamiento de obligaciones en moneda digital, donde los acreedores, sin reglas básicas, pueden manejar o manipular las condiciones y garantías de los deudores, advierte una nueva controversia, no sólo por el uso abusivo de esta nueva forma de financiación, sino por los diferentes y novedosos servicios y acciones que se pueden derivar de esta condición (Arkhypchenko, 2020).

La volatilidad de los mercados de criptomonedas y otros activos semejantes, establecen el nuevo escenario de movimientos financieros que se pueden ver en la actualidad. La incursión de un país al declarar el bitcoin como moneda de uso legal, plantea todo un desafío económico y reto tecnológico para una población (posiblemente no preparada para asumir el desafío), que establece una realidad emergente de la economía nacional más allá de las condiciones y regulaciones vigentes. Un escenario inesperado, que se abre al incierto de la dinámica de las criptomonedas, es un laboratorio donde cualquier evento puede pasar y como tal, podrá ser capitalizado por los adversarios.

El uso de billeteras electrónicas para la gestión de las criptomonedas es el punto de inicio y el fundamento de la movilidad del uso de este elemento tecnológico. Mientras se consideren elementos básicos de seguridad y control para el uso de estas aplicaciones, y las personas cuenten con una conciencia situacional cibernética alta, habrá oportunidad para que este dinero digital, comience a ganar mayor impulso para un lograr un uso más ordenado y confiable al que se tiene en la actualidad.

La satanización de las criptomonedas por cuenta del uso generalizado de los adversarios para concretar sus extorsiones, genera todo tipo de desconfianzas en el entorno social, quedando marcadas como un elemento maligno que sabe y huele sólo a robos y actividad ilícita. Como respuesta a esta dinámica delictiva, los bancos centrales a nivel global vienen trabajando en iniciativas de dinero digital “emitido” desde plataformas centralizadas y monitoreadas por estas entidades, lo que se puede advertir en un futuro cercano la incursión de nuevas “monedas digitales oficiales” que terminen movilizando la nueva dinámica económica del mundo, con las tensiones que implica tener circulando un yuan digital, un euro digital y un dólar digital (BIS, 2018). 

Frente a este tipo de iniciativas de dinero digital, de transformación acelerada del concepto de valor económico en el escenario digital, es necesario preparar tanto a las personas como las organizaciones para dar cuenta del cambio de paradigma que se avecina, donde las reglas conocidas del dinero empiezan a modificarse y reinventarse, y es allí donde los adversarios toman ventaja para efectuar movimientos “permitidos por las plataformas que las soportan” y posiblemente no debidamente documentados, ni transparentes que generan la opacidad de sus acciones y las desventajas para los agentes de la ley y el orden, así como para los supervisores de los mercados de valores.  

Técnicas de blanco móvil: Cambiando la ecuación del adversario

Las técnicas de blanco móvil son las nuevas “jugadas” que las organizaciones comienzan a incorporar como parte de su estrategia para cambiar la ecuación del incierto del adversario. Esto es, degradar o deteriorar su capacidad de inteligencia previa sobre el objetivo seleccionado con el fin de disuadir, demorar o deformar los planes adversos u operaciones cibernéticas previstas contra una organización o un estado (Cho et al., 2019).

Esta nueva estrategia, si bien no es del todo nueva, pues en la década de los noventas se desarrollaba de forma manual y asistida por programas automatizados en sistemas unix (uso de cron), es una práctica que ha venido evolucionando hasta convertirse en plataformas completamente diseñadas para disuadir y engañar a los atacantes. El secreto de su despliegue está en la configuración adecuada para mantener la infraestructura actual de la empresa en medio de un señuelo automatizado y creíble, que le permita ver las acciones de los agresores, e interceptarlos antes de que tengan éxito.

Esta estrategia busca confundir al adversario, crear incertidumbre en su modelo o estrategia de ataque, con el fin de generar acciones erráticas en el atacante, y crear una disuasión creíble y verificable que advierta al agresor que existe una infraestructura que no logra identificar, posiblemente encubierta y atenta a los movimientos que éste pueda adelantar para tratar de estudiar y descifrar su configuración y diseño. Crear un objeto móvil para el atacante es cambiar la lectura estática que tiene la infraestructura tecnológica hasta el momento y afectar la práctica estandarizada de los “chicos malos”.

Con el paso del tiempo en el uso y apropiación de este tipo de estrategias disuasivas y de engaño, la organizaciones deben evolucionar y madurar de un marco de trabajo basado en controles tradicionales (estáticos y poco evolutivos), a uno de controles basados en la dinámica del negocio del atacante, donde la analítica de datos en estas nuevas infraestructuras permite mantener un nivel incierto consistente en el adversario, haciendo más complejo el ejercicio de inteligencia y por tanto, limitando la ejecución de sus planes, o al menos demorarlo, teniendo un margen de acción mayor al que se tiene en la actualidad (Wendt, 2019).

Frente a esta iniciativa de protección, se hace necesario cambiar la práctica de protección actual, donde no sólo se puedan advertir patrones de ataque o movimientos inusuales dentro y fuera de la infraestructura, sino habilitar zonas de enfrentamiento situadas y contenidas (algo como un sandbox de ataques invisibilizado) donde tanto organización como atacante son capaces de verse y confrontarse, de tal forma que el reto permanece: por parte de la organización, estudiar la estrategia del adversario y del lado del adversario, descubrir el engaño y romper la zona definida por la empresa para mantener y engañar al agresor.

Nubes híbridas: inseguridad “en cascada”

La nube híbrida se entiende como un entorno mixto de almacenamiento, computación y servicios compuestos por una infraestructura on-premise, servicios de nube privada y una nube pública, con orquestación entre las diversas plataformas, con el fin de generar mayor agilidad, adaptación y despliegue balanceando la ejecución de cargas críticas de trabajos en nubes públicas con aseguramiento de la confidencialidad en nubes privadas. La interacción y el acoplamiento de esta propuesta crea zonas opacas que son aprovechadas de forma sistémica por la inseguridad de la información (Vaishnnave et al., 2019).

El escenario de la emergencia sanitaria internacional creó de forma acelerada los escenarios híbridos de operación de las empresas de forma inesperada. Lo que inicialmente era un entorno controlado y cerrado para las organizaciones, se convirtió en un práctica de conexión y flujo de información con terceros de confianza, con quienes en la marcha fueron ajustando la manera como se iban a acoplar y acondicionar las nuevas prácticas de conexión y uso de la infraestructura.

El mundo de la nube híbrida tiene múltiples ventajas y limitaciones, las cuales deben ser revisadas y analizadas en detalle, no sólo para capitalizar las mejores oportunidades de esta estrategia, sino tener una vista informada de sus vulnerabilidades y retos, con el fin de efectuar las acciones necesarias que permitan articular mejor los modelos de seguridad y control de las organizaciones, de cara a una realidad cada vez más interconectada y más dependiente de las capacidades estratégicas disponibles en sus socios claves de negocio (AFP, 2021).

A continuación se detallan algunos riesgos de esta estrategia híbrida que se ha venido implementando en las organizaciones: (Finnie, 2017)

  • Los datos ahora están más expuestos: el control de acceso no sólo deberá estar en el centro de datos físico, sino articulado en la nube pública donde se procesan. Esto implica una mayor superficie de ataque y por tanto mayor coordinación y sincronización con el proveedor para mantener un entorno confiable.
  • La descentralización de la información aumenta la complejidad de la detección, el cumplimiento, la aplicación de parches de seguridad y el análisis de datos por la misma razón. Una mayor dispersión de la información crea nuevos puntos de protección que habrá que identificar y asegurar.
  • Con una nube pública en la mitad no es viable mantener un inventario en tiempo real de las máquinas o recursos utilizados, creando una opacidad sobre las cargas de trabajo y las diferentes instancias disponibles con la información de la compañía, creando cegueras que impiden un monitoreo real de los activos de datos de la empresa. No se puede asegurar, lo que no se puede ver.
  • Cuando se entregan los datos a proveedores de nube públicas se pierde el control de los mismos. Las regulaciones y exigencias de los supervisores por lo general demandan un adecuado control de los datos de carácter personal y con mayor razón de los secretos corporativos. La nube pública crea inestabilidad en el modelo híbrido y escenarios de riesgos con baja capacidad de maniobra.
  • Los proveedores de nubes públicas son responsables de la infraestructura global, incluyendo el almacenamiento, las bases de datos y las redes. El cliente empresarial es responsable de todo lo demás. Por tanto, se hace necesario coordinar el aprovisionamiento con el proveedor para sincronizar y alinear las prácticas de seguridad y control, para mantener el perfil de protección definido por la organización.
  • Los errores en la configuración de la nube pública y el acoplamiento con el segmento privado dispuesto por la organización, pueden generar efectos en cascada que afecten no sólo las aplicaciones dispuestas en la estrategia híbrida, sino los datos y la confiabilidad de los mismo por cuenta de los efectos no deseados o desconocidos que se puedan dar.
  • Cuando se configura una nube híbrida, se crea un lugar donde un empleado descontento con acceso a la nube puede causar graves daños. En un entorno de nube híbrida, se multiplica igualmente esa amenaza por el número de empleados del proveedor de nube. En este sentido, el reto de la apropiación de las prácticas de seguridad y control, la validación del perfil de los profesionales que trabajan con el proveedor y los posibles comportamientos ilícitos con efectos adversos para la compañía, se advierten como una realidad que deberá contemplar no solo los oficiales de seguridad, sino los seguros cibernéticos que se contraten.

Mientras mayor sea la integración y el acoplamiento entre organización y proveedor en la nube, deberá haber un mayor análisis sistémico que le permita conocer los puntos de mayor sensibilidad y propagación de eventos inciertos, así como promover una estrategia de simulaciones de actividades no autorizadas, para concretar las acciones y planes de acción que den respuesta ágil a la condición adversa que se presenta, cuidando la confianza de los clientes y la reputación de la compañía.

¿Cómo enfrentar los nuevos umbrales de transformación?

Para enfrentar los retos que sugieren los umbrales de transformación presentados en este documento es necesario complementar el marco de gestión tradicional basado en el planear, hacer, verificar y actuar (PHVA), con otro basado en arriesgar, anticipar, responder y monitorizar (A2RM), donde la lectura del entorno y sus inestabilidades se convierte en la base de la gestión de seguridad y control, desde los inciertos y las inestabilidades (Cano, 2021b).

A continuación se detallan algunas acciones concretas que permiten conectar el ciclo de regulación representado por el PHVA y con el ciclo de adaptación representado por el A2RM. Desarrollar estas actividades implica retar las condiciones de operación actual de la organización y encontrar la ruta de transformación que toda organización recorre entre una amenaza y una oportunidad: el proceso de lograr un cambio, que no es otra cosa que generar nuevos aprendizajes/desaprendizajes.

Arriesgar:

  • Se revelan los riesgos conocidos, latentes, focales y emergentes como parte del reconocimiento del entorno.
  • Se evalúan las potencialidades positivas de los riesgos identificados
  • Se toman riesgos de forma inteligente basados en los impactos estratégicos y tácticos, los grupos de interés y las lecciones aprendidas. 

Anticipar:

  • Se mantiene una revisión permanente de tendencias y asimetrías en el entorno de negocio.
  • Se cuenta con espacios para proponer y motivar ideas que retan los saberes previos.
  • Se desarrollan y aplican simulaciones y prototipos de las ideas propuestas. 

Responder:

  • Se adelantan ejercicios de preparación ante eventos adversos con participación de diferentes niveles de la organización.
  • Se han definido umbrales de operación y tolerancia de riesgos frente a eventos inesperados.
  • Se mantienen alianzas estratégicas con socios y terceros de confianza para crear un ecosistema de defensa.

Monitorizar:

  • Se cuenta con la capacidad de ajustar las infraestructuras tecnológicas basadas en el reconocimiento de amenazas novedosas y emergentes
  • Se cuenta con tecnologías de decepción como estrategia para mantener seguimiento y vigilancia de nuevos patrones de ataque.
  • Se adelanta correlación de eventos, patrones y tendencias para diseñar escenarios posibles y emergentes que puedan afectar la dinámica de la empresa.

En resumen las áreas y funciones de seguridad/ciberseguridad deberán articular al menos tres ciclos claves en el desarrollo de sus actividades. Los tres ciclos son: el ciclo de regulación (para los riesgos conocidos, basado en la aplicación de estándares), el ciclo de adaptación (para los riesgos latentes y emergentes, basado en análisis de escenarios y prospectiva) (Beer, 1985) y el ciclo de memoria y aprendizaje (para desarrollar capacidades de respuesta y aprendizaje colaborativo) (Reyes & Zarama, 1998).

Articular estos tres ciclos permite a la función de seguridad y ciberseguridad entrar en el reto de los atacantes, no sólo con las herramientas básicas conocidas (los estándares y buenas prácticas), sino con una capacidad de maniobra para plantear alternativas y propuestas que le permitan jugar (con una realidad aumentada) y capacidades defensivas, que exijan al atacante pensar mejor sus movimientos y mejorar su propuesta inicial de acción, o quizá disuadirlo que lo haga.

Reflexiones finales

Desarrollar pronósticos de seguridad/ciberseguridad cada año se torna en un reto cada vez más desafiante, más enriquecedor y más esquivo, comoquiera que los cambios acelerados y transformaciones inesperadas, crean escenarios que muchas veces desafían hasta los más experimentados analistas en estos temas. En esta ocasión, si bien muchas temáticas pueden quedarse por fuera de esta reflexión, es importante advertir que los umbrales de transformación planteados establecen una mirada interconectada de la dinámica actual, que trata de recoger algunos movimientos y sus impactos en la práctica vigente de los oficiales de seguridad/ciberseguridad.

Los temas como el internet de las cosas, la analítica de datos, los gemelos digitales, la realidad aumentada, los procesos robóticos automatizados, la analítica de sentimientos, los algoritmos de máquinas de aprendizaje, la impresión 3D, la cadena de bloques (blockchain), la computación cuántica, y aquellas que puedan revelarse en los próximos años serán tendencias puntuales que se irán incorporando en las organizaciones creando espirales de cambios que deberán incomodar los saberes previos y repensar la dinámica de sus procesos (Briggs et al., 2020).

En este escenario, será importante que la función de seguridad/ciberseguridad tome una postura de acción y despliegue ágil que entienda el apetito de riesgo de la organización y encuentre nuevos retos en los inciertos. Lo anterior demanda entender las decisiones que pueden ser riesgosas de aquellas que son opciones novedosas que desafían y cambian la operación de la empresa (Wucker, 2021). Así las cosas, tanto los profesionales como los ejecutivos de seguridad/ciberseguridad deberán acoger el ciclo de gestión A2RM como una manera para observar las tendencias, reconocer las inestabilidades y enfrentar al adversario en su propio terreno.

Las reflexiones planteadas en este documento son un mapa imperfecto de los desafíos que se advierten en los próximos meses y por tanto, es necesario mantener una vista exploratoria y crítica de los eventos que constantemente ocurren, para actualizar la lectura de las señales débiles identificadas y contrastarlas con las tendencias que se han consolidado a la fecha. Pensar por fuera de la caja, deberá ser el reto permanente de los profesionales de seguridad/ciberseguridad, como una manera de abrazar la ambigüedad permanentemente y apostar por actuar de forma anticipada en el presente.

Referencias

AFP (2021). 2021 AFP Risk survey report. Post Crisis and Preparation for the Future. https://www.afponline.org/publications-data-tools/reports/survey-research-economic-data/Details/risk-2017 

Altshuler, Y., Aharony, N., Elovici, Y., Pentland, A. & Cebrian, M. (2017). Stealing reality: when criminals become data scientist. En Shrobe, H., Shrier, D. & Pentland, A. (Editors) (2017). New solutions for cybersecurity. Cambridge, MA. USA: MIT Press. Chapter 8. 269-290.

Arkhypchenko, I. (2020). Theoretical and legal perspective of civil liability in cryptocurrency relations. Master Thesis. Taras shevchenko National Nniversity of Kyiv. Faculty of law. Civil Law Department. https://doi.org/10.13140/RG.2.2.20658.02247 

Beer, S. (1985). Diagnosing the system for organizations. London, UK: Wiley.

BIS (2018). Monedas digitales emitidas por bancos centrales. Comité de Pagos e Infraestructuras de Mercado. Comité de Mercados. https://www.bis.org/cpmi/publ/d174_es.pdf 

Briggs, B., Buchholz, S. & Sharma, S. K. (2020). Macro technology forces. A second look at the pillars of the past, current, and future innovation. Deloitte Insights. https://www2.deloitte.com/us/en/insights/focus/tech-trends/2020/macro-technology-trends.html   

Cano, J. (2021). Ciberseguridad empresarial. Reflexiones y retos para los ejecutivos del siglo XXI. Bogotá, Colombia: Lemoine Editores. 

Cano, J. (2021b) La “falsa sensación de seguridad”. El reto de incomodar las certezas de los estándares y tratar de “domesticar” los inciertos. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas – ACIS. 159. https://doi.org/10.29236/sistemas.n159a6  

Cascio, J. (2020). Facing the age of caos. Institute for the future. https://medium.com/@cascio/facing-the-age-of-chaos-b00687b1f51d 

Cho, J., Sharma, D., Alavizadeh, H., Yoon, S., Ben-Asher, N., Moore, T., Kim, D. S., Lim, H. & Nelson, F. (2019). Toward Proactive, Adaptive Defense: A Survey on Moving Target Defense. IEEE Communications Surveys & Tutorials. 1-39. Doi 10.1109/COMST.2019.2963791

Finney, G. (2020). Well aware. Master nine cybersecurity habits to protect your future. Austin, TX. USA: Greanleaf book group.

Finnie, S. (2017). The Top 12 Hybrid Cloud Security Threats. Security Boulevard. https://securityboulevard.com/2017/11/top-12-hybrid-cloud-security-threats/ 

Hodgson, A. (2020). Systems thinking for a turbulent world. A search for new perspectives. Oxon, UK: Routledge. 

Refsdal, A., Solhaug, B. & Stølen, K. (2015). Cyber-Risk Management. Switzerland: Springer Verlag.

Renaud, K. & Ophoff, J. (2021). A cyber situational awareness model to predict the implementation of cyber security controls and precautions by SMEs. Organizational Cybersecurity Journal: Practice, Process and People. DOI: 10.1108/OCJ-03-2021-0004  

Reyes, A. & Zarama, R (1998). The process of embodying: a re-construction of the process of learning. Cybernetics & Human Knowing. 5(3). 19-33.

Sieber, S. & Zamora, J. (2018). The Cybersecurity Challenge in a High Digital Density World. European Business Review. November. https://www.europeanbusinessreview.com/the-cybersecurity-challenge-in-a-high-digital-density-world/  

Vaishnnave, M. P., Suganya Devi, K. & Srinivasan, P. (2019). A Survey on Cloud Computing and Hybrid Cloud. International Journal of Applied Engineering Research. 14(2). 429-434. http://www.ripublication.com/ijaer19/ijaerv14n2_13.pdf 

Wendt, D. (2019). Addressing Both Sides of the Cybersecurity Equation. CSIAC Journal. 7(2). 22-30. https://csiac.org/articles/addressing-both-sides-of-the-cybersecurity-equation/ 

Wucker, M. (2021). You are what you risk. The new art and science of navegating and uncertain world. New York, USA: Pegasus Books.

sábado, 16 de enero de 2021

Educar en ciberriesgos. El reto de una sociedad en transformación digital

Introducción
En los primeros días del año los inciertos y las inestabilidades globales abundan. Eventos como la confusión geopolítica generada por las intrigas y eventos recientes en Norteamérica, los avances silenciosos del Partido Comunista Chino (PCC) en la preparación de un “yuan digital” con proyección global (Barría, 2020), la brecha de seguridad materializada a través de un tercero en el Banco Central de Nueva Zelanda (Reuters, 2021) y el caso altamente visible del compromiso uno de los proveedores de software (SolarWinds) de varias agencias del gobierno norteamericano (Schwartz, 2021), muestran como lo confirma el reciente reporte del CIDOB (Soler, 2020) que este año estará marcado por la incertidumbre.

Frente a la incertidumbre se hace necesario salir a explorar diferentes alternativas y escenarios para establecer estrategias que habiliten identificar aquellas claves, con el fin de tomar las iniciativas concretas que permitan dar cuenta con el contexto de volatilidad que se plantea en la actualidad. En este sentido, los eventos que marcan el inicio de este año deben llevar a las organizaciones y ejecutivos de seguridad/ciberseguridad a actualizar sus marcos de trabajo para pasar del “proteger y asegurar” (que hay que mantener para aquello conocido) al “defender y anticipar” (de aquello que no conoce, ni sabe) con el fin de explorar y analizar las inestabilidades y establecer una postura de seguridad y defensa sensible a los cambios y las promesas de valor para sus clientes.

Más allá de ser el custodio del modelo de generación de valor de la empresa, la seguridad de la información se debe convertir en la base de la dinámica y relacionamiento intraempresarial, como fundamento del aseguramiento de los flujos de información que se desarrollan a su interior, lo que supone descubrir, analizar, intervenir y actualizar los imaginarios sociales que se tienen alrededor de la protección de la información (Cano, 2016). Tener la lectura de éstos imaginarios permite establecer el asidero fundamental para avanzar en la construcción de una cultura organizacional de seguridad de la información (COSI) que se convierta en el pilar clave para asumir el incierto como insumo para trazar una ruta de navegación en medio de los vientos y tormentas que puedan generar los adversarios.

La mayoría de las brechas de seguridad que se han revelado a nivel internacional corresponden a engaños exitosos o acciones realizadas por las personas alrededor de la protección de la información, comportamientos frente a las aplicaciones o reacciones de los individuos frente a realidades que confrontan la lógica, la confianza y la desinformación sobre eventos concretos. En este sentido, cuanta mayor distracción se genere en el entorno, menor será la capacidad de atención y alerta frente a situaciones que puedan ser sospechosas y así, habilitar un espacio para concretar un pivote de acceso que termine en una brecha de seguridad en una organización (Campbell, O’Rourke & Bunting, 2015).

En consecuencia, este breve documento introduce la necesidad urgente de educar a la ciudadanía en general sobre los ciberriesgos, como la nueva frontera de retos del entorno digital, donde los adversarios buscan crear contextos de inestabilidad que aprovechan desde los engaños, la desinformación, manipulación de mensajes, el pánico, el incierto y la sensación “fuera de control” para que se actúe de forma errática e inesperada, y así tener mayor margen de acción fuera del marco general de los sensores de control disponibles en las organizaciones.

¿Qué son los ciberriesgos (riesgos cibernéticos)? Definiendo un escenario con blanco móvil
Los ciberriesgos son riesgos que tienen al menos tres características claves: son sistémicos (tienen efecto en cascada), emergentes (surgen como fruto del nivel de acoplamiento e interacción de diversos componentes) y disruptivos (generan efectos inesperadas la dinámica del sistema), los cuales están presentes en el entorno ciberfísico, lo que se traduce en una convergencia entre lo físico, lo lógico y lo biológico, como fundamento de la dinámica de la cuarta revolución industrial (Cano, 2019).

En este sentido, la materialización de un ciberriesgo, más allá del aprovechamiento de una falla o vulnerabilidad de uno de sus componentes, puede generar afectación a nivel de la persona, la sociedad, las organizaciones y las naciones, dada su condición sistémica. Esto es, que a diferencia de los impactos focalizados que se pueden concretar a nivel de la seguridad de la información al interior de la organización, los ciberriesgos se propagan y evolucionan dependiendo del nivel de convergencia, acoplamiento e interacción que se tenga en un contexto particular (Perrow, 1999).

Mientras los riesgos propios de la seguridad de la información son la base conceptual para comprender los ciberriesgos, éstos últimos se configuran y transforman de formas distintas. Lo anterior implica reconocer las relaciones y conexiones que se tienen entre el mundo físico, lógico y biológico, así como la confiabilidad de los flujos de información y el aseguramiento de los mismo, con el fin de contar con una vista ampliada de las interacciones y posibles efectos que se pueden presentar si algo no sale como estaba planeado o surge una relación que no estaba documentada inicialmente.

Por tanto, la base de la comprensión de los ciberriesgos es el entendimiento de las incertidumbres claves que se pueden presentar como pueden ser: a) no saber qué va a pasar, ni que tan probable son los resultados, b) contar información imprecisa, insuficiente o contradictoria y c) no tener el conocimiento requerido (Menon & Kyung, 2020). Bajo este entendido, se requiere que los individuos entiendan que habrá riesgos que no podrán “ver o anticipar” y desarrollar un apetito de riesgo basado en su capacidad y tolerancia a estos eventos para plantear su respuesta.

Así las cosas, parte de la educación de las personas en el tema de ciberriesgos pasa por una comprensión del riesgo cibernético y la predisposición cultural hacia la reducción de los riesgos de seguridad (Mee, Brandenburg & Lin, 2020), así como por las habilidades necesarias para estar atentos frente a eventos, que aun siendo normales, puedan generar sospecha de algo no está funcionando de acuerdo con lo esperado. En consecuencia, las estrategias que se generen para educar a las personas en estos temas deberán privilegiar una mirada interdisciplinar y un pensamiento sistémico como base de aquellas preguntas que serán el asidero de la “ciberhigiene” necesaria para aumentar la resistencia a los ataque de los adversarios.

¿Cómo educar a las personas frente al riesgo cibernético? Un ejercicio más allá de enseñar un cúmulo de temas
Si aceptamos que educar, como lo afirma John Ruskin, “no significa enseñarle algo a una persona que no sabía, sino transformarlo en una persona que no existía”, el reto en la educación de ciberriesgos se traduce inicialmente en sorprender a las personas sobre las realidades y desafíos del entorno ciberfísico, para desde allí conectar con sus saberes previos y motivar el desarrollo de mejores preguntas, y no ofrecer muchas respuestas.

Es desde esta perspectiva, desde las preguntas propias de las personas alrededor del nuevo entorno ciberfísico donde se inicia el proceso de construcción y conexión de los saberes previos de las personas, para desarrollar nuevos constructos de conocimientos y prácticas, que irán más allá de seguir una receta (propia de las prácticas particulares de seguridad de la información) para configurar criterios de toma de decisiones que privilegiarán sus propias inquietudes, las reflexiones que hagan alrededor del tema, los diferentes puntos de vista de otros participantes y sus certezas básicas.

Esta tipo de estrategia educativa no está fundada en el desarrollo de competencias mecánicas que todos los participantes deben repetir para asegurar que “han sido educados” y “han aprobado” un cuerpo de conocimientos, sino en el reconocimiento del contexto particular de cada persona, sus inquietudes más relevante y frecuentes alrededor de los ciberriesgos, y las relaciones que tiene con su diferentes grupos de interés dentro de una comunidad. Por tanto, el aprender sobre ciberriesgos implica exponerse a distintos escenarios no convencionales y evaluar la respuesta de la persona que considere al menos su apetito al riesgo, las prácticas vigentes de seguridad y control, y el nivel comodidad o incomodidad frente al incierto (Cano, 2016).

De esta forma, no sólo se podrá confrontar todo el tiempo aquello que ha aprendido en ejercicios anterior, sino que irá desarrollando nuevas posturas o enriqueciendo otras, de tal forma que se genere una postura de seguridad y control, que no sólo responda a las prácticas establecidas en los estándares, sino que se ajusta a la realidad y contexto vigente lo que implica reconocer el carácter volátil e incierto de los riesgos cibernéticos en el escenario actual. 

Tratar de formar competencias (conocimiento estandarizado) para tratar los ciberriesgos, es limitar la incertidumbre natural de este tipo de riesgos, creando una opacidad en el análisis y comprensión de los mismos, comoquiera que no existen a la fecha respuestas estándares que den cuenta con la dinámica del riesgo cibernético y los impactos de su materialización. Así las cosas, los esfuerzos de educación deberán iniciar desde el estudio de la mente del atacante y sus recursos, para luego compartir de forma colectiva propuestas con sus pares del entorno, y desde allí, producir las acciones pertinentes a la situación que se tiene en el momento (Cano, 2016).
 
Lo anterior  implica “superar la primacía de las relaciones de causa y efecto como marco explicativo” (Calvo, 2017, p.73) y abrir las fronteras al pensamiento sistémico y complejo, donde las causalidades se multiplican y entrelazan de manera imprevisibles. En consecuencia, se hace evidente la necesidad de una alfabetización sistémica (Booth, s.f.), como fundamento para "disoñar" (diseñar y soñar) (Calvo, 2016) propuestas alternativas y novedosas que no teman a la equivocación ni a la ignorancia.

Reflexiones finales
Los entrenamientos o formación en temas de seguridad de la información, basado en listados de temas a cubrir, aplicación de controles fundados en los estándares, sumando a la técnica del “miedo” (si no haces esto o aquello, podrás ser sancionado), terminan creando una espiral decreciente de aprendizaje que moviliza el imaginario de las personas sobre la seguridad de la información, como una temática que es una responsabilidad de la empresa y por lo tanto, es algo que otros hacen por ella.

En este escenario se deja de construir una red interna de alerta y protección, que configura una vez más a los temas de protección de la información como una temática técnica que está fuera del alcance de las personas del común. Por tanto, educar en los retos de los riesgos cibernéticos, demanda una formación básica en las prácticas de la seguridad de la información, para luego movilizarse al contexto de un entorno digital interconectado y convergente (ISO, 2020), donde el riesgo es parte natural de su dinámica, y las personas toman decisiones frente al incierto que esto genera.

Es así, que la educación en el riesgo cibernético exige una reflexión interdisciplinar que conecte diferentes puntos de vista, impactos y acciones que permitan a las personas movilizarse mejor en medio de la incertidumbre (Huerta, Pérez, Zambrano & Matsui, 2014), para lo cual se hace necesario reconocer las opciones y apuestas de los adversarios, construir de forma colectiva alternativas de acción y tomar la decisiones que correspondan en el momento adecuado. 

Lo anterior supone, “ejercitar la sospecha sobre aquello que se nos muestra como aparentemente lógico, verdadero y coherente” (Medina, 2008, p.164), para sumergirse en un mundo de incertidumbres donde son importantes las preguntas y no las respuestas; una oportunidad para “liberarse del encadenamiento a un concepto lineal, que obliga a repetir afirmaciones dichas por otros” (Calvo, 2016, p.30).

Referencias
  • Barría, C. (2020). La nueva moneda digital que China está probando y que sitúa al país a la cabeza de la carrera mundial de las divisas virtuales. BBC News Mundo. https://www.bbc.com/mundo/noticias-51483218  
  • Booth, L. (s.f.) Food systems, climate systems, laundry systems: the time for systems literacy is now! The systems thinker. Recuperado de: https://thesystemsthinker.com/%ef%bb%bffood-systems-climate-systems-laundry-systems-the-time-for-systems-literacy-is-now/ 
  • Calvo, C. (2016) Del mapa escolar al territorio educativo. Disoñando la escuela desde la educación. La Serena, Chile: Editorial Universidad de la Serena.
  • Calvo, C. (2017) ingenuos, ignorantes, inocentes. De la educación informal a la escuela autoorganizada. La Serena, Chile: Editorial Universidad de la Serena.
  • Campbell, S., O’Rourke, P. & Bunting, M. (2015) Identifying Dimensions of Cyber Aptitude: The Design of the Cyber Aptitude and Talent Assessment. Proceedings of the Human Factors and Ergonomics Society 59th Annual Meeting. 721-725. https://doi.org/10.1177/1541931215591170 
  • Cano, J. (2016) La educación en seguridad de la información. Reflexiones pedagógicas desde el pensamiento de sistemas. Memorias 3er Simposio Internacional en Temas y problemas de Investigación en Educación: Complejidad y Escenarios de Paz. Universidad Santo Tomás. Bogotá, Colombia. Agosto 25 a 27. https://www.researchgate.net/publication/321197873_Riesgo_y_seguridad_Un_continuo_de_confianza_imperfecta 
  • Cano, J. (2019). Ciberriesgo. Aprendizaje de un riesgo sistémico, emergente y disruptivo. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas. 151. 63-73. Doi: https://doi.org/10.29236/sistemas.n151a5
  • Huerta, J., Pérez, I., Zambrano, R., & Matsui, O. (2014). Pensamiento complejo en la enseñanza por competencias profesionales integradas. Guadalajara, Jalisco. México: Universidad de Guadalajara
  • ISO (2020) ISO/IEC Technical Specification 27100:2020 Information technology — Cybersecurity — Overview and concepts
  • Medina, J. (2010) El desaprendizaje: Aproximación conceptual y notas para un método reflexivo de generación de saberes profesionales. En Armengol, C. y Gairín, J. (2010) Estrategias de formación para el cambio organizacional. Madrid, España: Wolters Kluwer.
  • Mee, P., Brandenburg, R. & Lin, W. (2020) Global Cyber Risk Literacy and Education Index. A measurement of population development toward understanding cyber risk. Oliver Wyman Forum. https://www.olverwymanforum.com/cyber-risk/cyber-risk-literacy-education-index.html
  • Menon, G. & Kyung, E. (2020). When More Information Leads to More Uncertainty. Harvard Business Review. De: https://hbr.org/2020/06/when-more-information-leads-to-more-uncertainty
  • Perrow, C. (1999) Normal accidents. Living with High-Risk Technologies. Princeton, NJ. USA:  Princeton University Press.
  • Reuters (2021). New Zealand central bank says its data system was breached. https://www.reuters.com/article/us-newzealand-economy-rbnz/new-zealand-central-bank-says-its-data-system-was-breached-idINKBN29F010 
  • Schwartz, M. (2021). 'SolarLeaks' Site Claims to Offer Attack Victims' Data. InfoRisk Today. https://www.inforisktoday.com/solarleaks-site-claims-to-offer-attack-victims-data-a-15751 
  • Soler, E. (2020). El mundo en 2021: diez temas que marcarán la agenda internacional. CIDOB Notes Internationals. 243. https://www.cidob.org/publicaciones/serie_de_publicacion/notes_internacionals_cidob/243/el_mundo_en_2021_diez_temas_que_marcaran_la_agenda_internacional

lunes, 19 de octubre de 2020

Pronósticos de seguridad/ciberseguridad 2021. Reflexiones en medio de un entorno asimétrico e inestable.

 Introducción

Las tensiones globales que se han generado por cuenta de la emergencia sanitaria internacional y la revelación de nuevos actores en la carrera geopolítica para concretar una vacuna que permita inmunizar a la población mundial, establece los inéditos “normales” emergentes de la dinámica social, económica, tecnológica y política que cambia la aparente calma que se tenía antes del mes de marzo del 2020.

Este escenario asimétrico e inestable plantea desafíos emergentes y novedosos que confunden y retan los mejores pronósticos de los analistas internacionales sobre lo que puede suceder en los próximos años. Mientras el virus continúe sin un mecanismo de contención efectivo, habrá muchos espacios para mantener la desinformación, los inciertos, los miedos y la manipulación de la información en las relaciones sociales, con impactos inesperados y no previstos en los demás sectores de sociedad (Interpol, 2020).

Así las cosas, establecer una marco de trabajo para ilustrar un pronóstico acerca de la seguridad/ciberseguridad para el 2021 resulta una apuesta compleja y ambigua, que más que tratar de acertar en un blanco en movimiento, busca identificar algunos patrones y tendencias que marcan la diferencia en el escenario actual, sin perjuicio de su actualización posterior, dada la volatilidad de las condiciones y los cambios que se van a suscitar en el desarrollo de los próximos 365 días.

La seguridad/ciberseguridad como conceptos complementarios y convergentes en la actualidad, plantean desafíos para los profesionales de seguridad y control tradicionales, comoquiera que rompen con la acostumbrada lectura técnica de los mismos, habida cuenta que el valor de la información se configura cada vez más como ese elemento fundamental que atraviesa la estrategia de las organizaciones, lo cual motiva una transición de habilidades y capacidades basadas en la protección de los datos, ahora centradas en las personas y el tratamiento de la información.

Para realizar este ejercicio se han consultado diversas fuentes de información especializadas, documentos elaborados por centros de pensamiento, artículos científicos, comentarios de expertos en el tema y sobremanera una visualización de líneas de acción que se reiteran al cruzar los datos recolectados hasta la fecha. En este sentido, este documento presenta una propuesta incompleta y limitada de las condiciones y retos que la seguridad/ciberseguridad puede manifestar para el año siguiente.

En consecuencia, las reflexiones que se plantean a continuación representan un mapa incompleto sobre un territorio inestable y cambiante, que trata de ubicar algunos puntos de referencia para construir posturas y tomar decisiones sobre seguridad/ciberseguridad de las organizaciones modernas, ahora más expuestas y abiertas que antes, dada la acelerada digitalización de sus procesos y la transformación digital de su modelos de negocio.


Pronósticos de seguridad/ciberseguridad 2021

A continuación se presentan los cinco (5) pronósticos que se advierten para el 2021 en las temáticas de seguridad/ciberseguridad, así como algunos temas complementarios que apalacan dinámicas particulares que pueden ser de interés para las organizaciones y las naciones en general.

1. El fearwareUn escenario de manipulación social

El uso masivo de redes sociales y mecanismos de acceso a información es una tendencia que confirma el aumento de la conectividad en la sociedad y la democratización de los servicios y productos digitalmente modificados. El uso extensivo a nivel de global de dispositivos “inteligentes” y ecosistemas digitales revela el aumento de flujos de información conocidos y desconocidos que ahora hacen parte de la lectura social del mundo actual (Valdez-de-Leon, 2019).

Con ocasión de la emergencia sanitaria se ha producido un tsunami de información y desinformación que advierte una dinámica de inciertos y contradicciones, la cual termina afectando y reconfigurando los imaginarios de las personas. Dichos cambios generan emociones y sentimientos de miedo, dudas y ansiedad que son capitalizados por agentes nocivos, para crear desestabilización, desconcierto y erosión de la confianza con el fin de marcar una agenda oculta de intereses que pasa desapercibida frente a los titulares de la realidad (Jones, 2019).

El fearware, como estrategia consolidada de la manipulación social, es la base de una guerra social virtual, donde diferentes actores toman posiciones y generan tendencias para movilizar a la población respecto de una temática particular, para desestabilizar naciones, para debilitar o manejar democracias, para concretar operaciones encubiertas que impacten las representaciones sociales y sobremanera, como una nueva amenaza a la integridad de la información, donde el reto y objetivo del adversario, es y será erosionar la confianza y la confiabilidad de una opinión informada (Mazarr, Bauer, Casey, Heintz & Matthews, 2020).

2. La cadena de suministro – Los terceros de des(confianza)

Los adversarios han venido observando y analizando que las empresas cada vez más dependen de terceros para operar. Con el escenario actual, muchas de ellas tuvieron que migrar rápidamente para contar con proveedores de servicios en la nube y algunos otras, ampliar sus contratos con los terceros para manejar, entre otros temas, servicios de monitoreo y control de sus plataformas (Europol, 2020).

Los atacantes han evidenciado que las empresas han fortalecido sus perímetros de seguridad y control, así como sus estrategias de monitorización y analítica, lo cual no les permite concretar parte de su estrategia natural para “pasar desapercibidos” y crear el incierto en los modelos de protección vigentes. En esa lectura, saben que deben continuar buscando aquel sitio que puedan ubicar con el menor nivel de aseguramiento y desde allí, establecer el pivote requerido para apalancar sus acciones contrarias (Ponemon-CyberGRX, 2020).

Casos recientes demuestran que los terceros que apoyan las organizaciones, cuentan con prácticas de seguridad y control que no están armonizadas con las de sus clientes, mantienen una visión de “isla” independiente basada en los términos y condiciones del contrato, y pocas veces se hace seguimiento sobre la realidad misma de sus estándares y posturas de protección de sus infraestructuras. En este sentido, se convierten en los nuevos focos de atención de los atacantes, como estrategia para llegar a organizaciones claves para ingresar sin ser notados y basados, muchas veces, en conexiones autorizadas desde aplicaciones debidamente registradas por sus clientes.

3. El secuestro de datos – Una amenaza vigente y latente

Los datos y la información se han convertido en uno de los activos más importantes de las organizaciones en la actualidad. Reconocer donde se ubican aquellos que resultan más valiosos y saber cómo se están protegiendo, debería ser una prioridad para las organizaciones del siglo XXI. Sin embargo, muchas veces la información de mayor relevancia termina en los lugares menos indicados o más inesperados, comoquiera que su uso resulta de manejo diario o muchas veces compartido entre diferentes personas.

En este contexto, los activos críticos de información terminan expuestos a las prácticas propias de las personas que son sus custodios naturales y por lo tanto, no es la probabilidad de la materialización de un evento adverso, lo que cuenta, sino la posibilidad concreta de una brecha o un secuestro de los mismos con ocasión de un “click” o una “descarga” de un archivo que venía adjunto a un correo electrónico, un enlace a un sitio no conocido o un mensaje en un sistema de mensajería con una url maliciosa (Vuggumudi & Wang, 2020).

El ransomware como ese código malicioso que se descarga e instalada en el sistema informático, sólo tiene que ser paciente para esperar su oportunidad, para concretar el pivote que necesita para desplegar las acciones necesarias que permitan tomar el control del dispositivo, para deshabilitar las medidas de seguridad, establecer posiciones en la infraestructura donde está conectada la máquina y ejecutar sus rutinas de cifrado escalonado que termina con el temible anuncio del pago de una extorsión (Europol, 2020).

4. El modo “radar” y el modo “crisis” – Dos capacidades claves

Considerando las inestabilidades actuales a nivel global y local, los ejecutivos de seguridad poco le ayudan contar con la implementación de prácticas y estándares internacionales para anticipar o pronosticar nuevas formas de ataques o estrategias emergentes para comprometer las medidas de seguridad vigentes en las empresas. En este sentido, debe activar el modo “radar” que le permitan no solamente revisar lo que le indican las alertas de eventos conocidos, sino comenzar a establecer patrones de amenazas en medio de los datos hasta ahora consolidados tanto por el servicio de SOC (Security Operation Center), como por los mecanismos instalados en su perímetro de seguridad (Ponemon-CyberGRX (2020).

El modo “radar” lo que le  permite es establecer un marco de revisión y exploración que lo habilita para monitorizar sus contornos, buscando inconsistencias, rarezas y contradicciones que le indiquen que algo fuera de lo común ocurre y que deberá revisar para establecer el nivel de atención que merece tal “anormalidad”. En consecuencia, las organizaciones deben tener claridad de lo que significa que algo funciona de forma “normal” con lo cual cualquier evento que se revele más allá de los umbrales definidos, sea catalogado como “inusual” y luego de su revisión y validación, pasar a ser “sospechoso” para su exploración en profundidad.

Si bien el modo “radar” es relevante y clave, pueden pasar desapercibidos eventos que terminen comprometiendo el modelo de seguridad y control de la organización, por lo tanto deberá tener listo el modo “crisis”, que lo que conlleva es un tratamiento de riesgos que no solo busca mitigar los impactos del eventos, sino moverse de forma coordinada para evitar caer en el juego del atacante, y responder con un “libro de jugadas” (playbook) claro (Bollinger, Enright & Valites, 2015), que cierre la brecha de inciertos que la situación pueda ocasionar.

5. Aceleración digital – Mayor superficie de ataques

No hay duda que la emergencia sanitaria internacionales aceleró la transformación digital de las empresas, muchas de ellas de forma accidentada y por lo tanto, con muchos vacíos desde la perspectiva de seguridad y control. Se pasó de forma urgente de un modelo centralizado de operaciones y aseguramiento, a uno ampliamente basado en terceros (desconectados del marco de seguridad empresarial), con una cultura organizacional de seguridad de la información basada en personas informadas (algunos más conscientes que otras) y con un marco de trabajo en casa que responde a la práctica individual de higiene informática vigente en el hogar.

Este escenario plantea una superficie de conectividad e interacción digital que privilegia la funcionalidad sobre los mínimos de seguridad y control requeridos para un trabajo remoto. Lo anterior, habilita el escenario para crear un tejido digital con numerosos puntos de acceso y posibilidades, que un adversario puede aprovechar desde la inherente y natural forma de actuar de los individuos, hasta las vulnerabilidades técnicas de las plataformas utilizadas por los terceros o sus protocolos, los cuales pueden no estar actualizados o no parchados, lo que sugiere múltiples puntos candidatos para ser pivotes de un ataque, que generalmente termina siendo silencioso y encubierto por conexiones habilitadas y autorizadas (Culot, Fattori, Podrecca & Sartor, 2019).

Si bien la transformación digital es un proceso que habilita una dinámica ágil y eficiente de las experiencias de las personas, dadas las condiciones y necesidades actuales y futuras (HBR, 2019), es necesario que se incorporen y analicen los retos y capacidades requeridas, para dar cuenta con el apetito de riesgo de la empresa, para incorporar las innovaciones que demandan sus clientes, y así  conectar con los exigentes objetivos estratégicos empresariales, que buscan posicionar a la empresa en un lugar privilegiado de su mercado definido.

 

Propuestas para enfrentar los pronósticos 2021

1. Cultura organizacional de seguridad de la información – COSI

Si hay un año donde las personas tendrán  más relevancia en el contexto de la seguridad y el control será a partir del año entrante dada la alta dependencia de las acciones humanas para el desarrollo de las operaciones de las empresas. Un mayor trabajo remoto, el uso masivo de medios de comunicación, las reuniones bajo la modalidad de videoconferencia, los sitios para compartir información, entre otras actividades, harán evidente el nivel de compromiso, conocimiento, entendimiento y apropiación que los individuos tienen sobre el valor de la información de la empresa.

Tener claridad sobre el nivel de madurez de la COSI deberá ser un indicador clave en la gestión y gobierno de la ciberseguridad/seguridad de la empresas, dado que en la medida que la madurez no avance, la posibilidad que se estanque o retroceda será el riesgo más relevante que se deberá mitigar y anticipar, para continuar incubando los nuevos pivotes que los atacantes van a aprovechar por cuenta del eslabón más fatigado de la cadena: las personas (Cano, 2019).

2. Desarrollo de Playbooks o “libros de jugadas”

Dado que tarde o temprano el atacante tendrá éxito se hace necesario desarrollar estrategias distintas para el tratamiento de los riesgos. Más allá de establecer medidas de mitigación técnicas, es necesario reconocer una vista holística de la dinámica que representa la materialización de un evento adverso, para no actuar de forma errática, que es lo que pretende en últimas el atacante (Bollinger, Enright & Valites, 2015).

Por tanto, diseñar, desarrollar y simular un playbook establece una forma alterna de atender el incierto que generar dicho evento lo que lo define en sí mismo como:

  • una estrategia para actuar de forma coordinada,
  • una estructura para la toma de decisiones,
  • una respuesta a escenarios conocidos y latentes,
  • una forma de gestionar riesgos.

3. Aseguramiento de API – Application Program Interfase

La transformación digital que se adelanta por las organizaciones a nivel global está habilitada técnicamente hablando por terceros de confianza clave y por el uso de API, como fuente de interconexión entre los dispositivos y mecanismos en manos de las personas, y las infraestructuras de los terceros o las organizaciones. En este sentido, el aseguramiento y resistencia a los ataques que deben surtir las API deberán ser parte de la pruebas de mal uso que éstas deben soportar para concretar un nivel de confiabilidad mayor al que se tiene en la actualidad (Ponemon-CyberGRX, 2020).

En consecuencia, se deben tomar las mejores prácticas disponibles a la fecha como pueden ser las guías del OWASP, el SANS o el CISecurity, combinadas con marcos de trabajo para modelar amenazas con el fin de elevar el nivel de confiabilidad de la ejecución de estos mecanismos, y así mejorar la confianza digital necesaria para motivar mejores experiencia en los clientes.

4. Simulaciones y juegos de guerra

Las organizaciones que mejor estén preparadas para asumir el incierto que genera un evento adverso por cuenta de la acelerada transformación digital, son las que mejor van a mantenerse en un escenario altamente conectado. Por tanto, se hace necesario practicar y exponer con frecuencia a la organización a este tipo de contextos a través de simulaciones y juegos de guerra (incluyendo a los terceros claves en su cadena de suministro), como una forma de preparar las respuestas y habilitar a la empresa para enfrentar las inestabilidades que ocasiona estas situaciones (Cano, 2020).

En estos ejercicios se requiere la participación de toda la organización, con el fin de abordar la totalidad de la dinámica empresarial y de esta manera, todos los diferentes perfiles sabrán qué hacer para mantener una actuar y accionar coordinado de la empresa, haciendo más resistente a la organización como un todo, y limitando la configuración zonas grises o puntos ciegos de respuesta, donde un tercero lo suficientemente motivado y entrenado puede exponer la reputación corporativa por un “no sabía que debía hacer”.

5. Habilitar la resiliencia cibernética

Muchos informes ya no hablan de la probabilidad de un ciberataque, sino de cuándo va a ocurrir. Un ciberataque está diseñado para crear incierto e inestabilidad en el modelo de seguridad y control de una organización, con lo cual ninguna organización está exenta de manejar y superar un acción agresiva como esta. Así las cosas, toda empresa requiere ajustar sus modelos de operación basados en mitigación de riesgos, a una lectura de umbrales de operación que le permitan márgenes de actuación y estrategias de resistencia y recuperación eficientes a pesar de haber sido impactadas (Björck, Henkel, Stirna & Zdravkovic, 2015).

De manera que,  se requiere desarrollar y habilitar la resiliencia cibernética (ciber-resiliencia) como una capacidad organizacional requerida para anticipar, resistir, recuperar, aprender y evolucionar frente a la materialización de eventos cibernéticos adversos, y continuar asegurando la promesa de valor empresarial protegiendo la reputación de la compañía. Lo anterior, demanda comprender la dinámica corporativa de forma holística y ecosistémica para configurar una protección dinámica por capas y así proveer estrategias de “falla segura”, como un requisito básico que reconoce el error como parte del proceso y no como resultado (Bodeau, Graubart, Heinbockel & Laderman, 2015; Denyer, 2017).

 

Reflexiones finales

Desarrollar reflexiones alrededor de posibles pronósticos de seguridad/ciberseguridad para los próximos 365 días, es siempre una apuesta incierta comoquiera que muchas veces es posible quedar asombrados por una “sorpresa predecible” como la emergencia sanitaria que tenemos en la actualidad, amenazados por “misiles balísticos nucleares” oxidados y sin mantenimiento en algunas zonas del mundo, por una “guerra híbrida” que se desarrolla por debajo del nivel de la fuerza, por un mal uso de tecnologías emergentes que cambian y afectan la dinámica de las sociedades abiertas y democráticas, o por cambios climáticos inesperados que terminan con desastres que afectan una comunidad local o todo el mundo (Cano, 2020; WEF, 2020).

Por tanto, las apuestas desarrolladas en este documento no buscan marcar un camino o convertirse en referente de toma de decisiones, sino convertirse en una excusa académica y práctica que motive un diálogo estratégico al interior de las organizaciones, para darle forma a los escenarios que se pueden plantear a partir de esta propuesta, y así, definir algunas prioridades de acción particulares y propias, para movilizar de forma prospectiva a las empresas en medio de las volatilidades que se ven delante de la curva.

Los pronósticos de seguridad/ciberseguridad son un ejercicio que buscan detectar algunos patrones de actividad relevante para los modelos de seguridad y control de las empresas. Si bien no son exactos, como son los pronósticos del clima, si buscan configurar un mapa parcial de reconocimiento sobre un territorio de inciertos y cambios permanentes para triangular las posibles posiciones de los adversarios y así, crear inestabilidades en sus modelos de gestión de riesgos (Raban & Hauptman, 2018).

Muchos teóricos y académicos coinciden que no es posible “predecir” el futuro, por lo tanto todos aquellos ejercicios que permitan ver opciones y oportunidades en prospectiva serán de utilidad para mejorar la imaginación, aumentar las posibilidades y así darle mejor forma al futuro, desde el presente. En este sentido, los pronósticos que se plantean en este texto sólo son parte de ese insumo para pensar e imaginar, pues ya cada uno de los lectores tendrá el reto de darle forma concreta en las circunstancia de tiempo, modo y lugar en cada una de sus organizaciones.

Referencias

Björck, F., Henkel, M., Stirna, J. & Zdravkovic, J. (2015). Cyber Resilience – Fundamentals for a Definition.  En Á. Rocha et al. (eds.) New Contributions in Information Systems and Technologies. Advances in Intelligent Systems and Computing 353. 311-316. Doi: 10.1007/978-3-319-16486-1_31

Bodeau, D., Graubart, R., Heinbockel, W. & Laderman, E. (2015). Cyber Resiliency Engineering Aid –The Updated Cyber Resiliency Engineering Framework and Guidance on Applying Cyber Resiliency Techniques. MITRE Corporation.  De: https://www.mitre.org/sites/default/files/publications/pr-15-1334-cyber-resiliency-engineering-aid-framework-update.pdf

Bollinger, J., Enright, B. & Valites, M. (2015). Crafting the InfoSec Playbook. Sebastopol, CA. USA: O’Reilly.

Cano, J. (2019). The Human Factor in Information Security: The Weakest Link or the Most Fatigued? ISACA Journal. 5. Recuperado de: https://www.isaca.org/Journal/archives/2019/Volume-5/Pages/the-human-factor-in-information-security.aspx

Cano, J. (2020). Retos de seguridad/ciberseguridad en el 2030. Reflexión sobre un ejercicio prospectivo incompleto. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas. No. 154. 68-79. https://doi.org/10.29236/sistemas.n154a7

Culot, G., Fattori, F., Podrecca, M. & Sartor, M. (2019). Addressing Industry 4.0 Cybersecurity Challenges. IEEE Engineering Management Review. 47(3). 79-86. Doi: 10.1109/EMR.2019.2927559

Denyer, D. (2017). Organizational resilience. A summary of academic evidence, business insights and new thinking. BSI-Crandfield University. De: https://www.cranfield.ac.uk/som/case-studies/organizational-resilience-a-summary-of-academic-evidence-business-insights-and-new-thinking

Europol (2020). Internet organised crime threat assessment. Report. https://www.europol.europa.eu/activities-services/main-reports/internet-organised-crime-threat-assessment-iocta-2020

HBR (2019). IT Talent strategy: new tactics for a new era. CIOs Share How to Compete in 2020 and Beyond. White Paper. Harvard Business Review. Analytic Services

Interpol (2020). Cybercrimen: Covid-19 Impact. August. Report. De: https://www.interpol.int/es/content/download/15526/file/COVID-19%20Cybercrime%20Analysis%20Report-%20August%202020.pdf

Jones, K. (2019). Online Disinformation and Political Discourse. Applying a Human Rights Framework. Research Paper. Chatham House. London, UK. https://www.chathamhouse.org/publication/online-disinformation-and-political-discourse-applying-human-rights-framework

Mazarr, M., Bauer, R., Casey, A., Heintz, S. & Matthews, L. (2020). The Emerging Risk of Virtual Societal Warfare. Social Manipulation in a Changing Information Environment. Rand Corporation. https://doi.org/10.7249/RR2714  

Ponemon-CyberGRX (2020). Digital transformation & cyber risk. What you need to know to stay safe. Sponsored by CyberGRX. https://get.cybergrx.com/ponemon-report-digital-transformation-2020

Raban, Y. & Hauptman, A. (2018). Foresight of cyber security threat drivers and affecting technologies. Foresight. 20(4). 353-363. https://doi.org/10.1108/FS-02-2018-0020

Valdez-de-Leon, O. (2019). How to Develop a Digital Ecosystem: a Practical Framework. Technology Innovation Management Review. 9(8): 43-54. http://doi.org/10.22215/timreview/1260

Vuggumudi, S. & Wang, Y. (2020). Sophisticated tools alone cannot prevent advanced persistent threats: What’s next? ISSA Journal. June. 33-39 

WEF (2020). The Global risk report 2020. World Economic Forum. Report. https://www.weforum.org/reports/the-global-risks-report-2020

sábado, 8 de agosto de 2020

Ransomware. Más allá de una amenaza tecnológica

Introducción

Noticias recientes en diferentes informes, tanto de industria como de autoridades policiales, reportan que la “extorsión con datos” o denominada “ransomware” se ha convertido en uno de los riesgos y amenazas de mayor relevancia para la seguridad global, no sólo por su versatilidad y capacidad de acción, sino por su expansión e impactos financieros y de reputación a nivel organizacional (Interpol, 2020). En este contexto, esta amenaza digital se configura como un punto de reflexión relevante para los ejecutivos de seguridad y los directivos de las empresas modernas.

Cuando una empresa es afectada por este tipo de extorsión digital, se presenta inmediatamente la pregunta clave: ¿pagamos o no pagamos? Una pregunta que genera, tanto en el sector público como en el privado, tensiones de diferentes magnitudes e implicaciones que levantan “dedos acusadores”, buscan “señalamientos internos”, revelan “detractores de la inversión en seguridad”, y un sin número de sensaciones que cumplen con el propósito del adversario: generar confusión, confrontación y juego de responsabilidades, que le permitan mayor tiempo de acción y posicionamiento frente al momento, para conseguir su fin último, motivar el pago.

Cuando la organización en sus niveles ejecutivos se informa de la materialización de un ransomware buscará explicaciones posiblemente técnicas en primer lugar, luego detallar qué tipo de información es la que está comprometida, cómo afecta esto la operación y finalmente las implicaciones jurídicas que esto conlleva, si la información está sujeta a una protección particular. Con estos datos básicos, los ejecutivos llaman a todos los involucrados para tratar de establecer una vista general de lo que ha pasado y definir una postura base para actuar en consecuencia.

La extorsión con datos es una modalidad de cibercrimen que está apalancada desde el engaño, la curiosidad y las motivaciones humanas que conectan con un patrón de comportamiento que está fundado en las mismas necesidades y relaciones entre los individuos. En este sentido, al identificar aquello que puede ser de interés, y enlazarlo con la dinámica del contexto actual, los adversarios logran mimetizar sus acciones en un tejido social concreto con el fin de abordar a sus posibles víctimas sin que ellas lo noten.

Si adicionalmente a lo anterior, se advierte una baja higiene informática, o ahora en la actualidad, ciberhigiene, que tiene las personas en el contexto digital, la confianza ingenua en los medios y tecnologías disponibles, y el aumento de productos y servicios digitales que se despliegan con limitadas medidas de seguridad y control, los agresores tienen un caldo de cultivo enriquecido y generosos para movilizarse en diferentes sentidos y vectores para lograr sus acciones y planes con poco margen de acción por parte de los afectados.

En consecuencia, este breve documento busca plantear reflexiones alrededor de la realidad del ransomware, con el fin de brindar espacios para pensar sobre cómo abordar este reto, qué margen de acción se puede lograr y sobremanera, cómo encontrar algunos patrones que adviertan sobre el avance de este tipo de amenazas en la organización.

Secuestro de datos. Más allá de un problema de tecnología

El secuestro en general es uno de los delitos más reprochados y sancionados por la sociedad en los diferentes instrumentos jurídicos de un país democrático. El secuestro priva al ser humano de uno de sus derechos básicos como lo es la libertad y así mismo lo expone al deterioro de su bienestar en diferentes facetas, con afectaciones en múltiples dimensiones de su acción en la sociedad.

El secuestro de datos, no cuenta con una lectura tan amplia y difundida en la sociedad sobre lo que esto significa tanto para las personas como para las empresas en el contexto digital. Este ejercicio, igualmente censurable, que priva a la persona o a las organizaciones de uno de sus activos más importantes como son los datos y la información representa en la actualidad una afrenta directa que pone en peligro los derechos y prerrogativas de las empresas y los seres humanos en su libre actuación en la dinámica social. El secuestro de datos, y su posterior extorsión por parte de terceros, configura una figura delictiva que en su momento deberá ser abordada por diferentes jurisdicciones y acciones legislativas para ser incorporada en los ordenamientos jurídicos nacionales e internacionales (Al-rimy, Aizaini & Zainudeen, 2018).

Cuando la organización se enfrenta al reto de un secuestro de datos, son pocas las maniobras jurídicas que puede activar para tratar de contener posibles efectos adversos en su contra. Por un lado, puede acudir a una póliza de seguros cibernético, que de acuerdo con sus alcances y exclusiones podrá apoyar a la empresa para manejar este momento. Por otro lado, puede lanzarse a negociar con el agresor que ha capturado los datos, con la claridad de que, aun teniendo la forma de restaurar la información, es probable que no pueda hacerlo, o finalmente informar a la autoridad competente para utilizar diferentes estrategias que le permitan encontrar al agresor, desactivar el mecanismo de cifrado, usar los canales diplomáticos si son del caso y así, ajustarse a los cánones establecidos por la constitución y la ley.

El ransomware establece saca de la zona cómoda a los profesionales de seguridad de la información, a los abogados corporativos y a los ejecutivos de primer nivel, habida cuenta que si la información o los datos comprometidos están sujetos a condiciones particulares de protección y debido cuidado, deberán establecer con claridad la manera de responder por la situación a los diferentes grupos de interés afectados. En consecuencia, la organización estará sujeta a un fuego cruzado donde será evaluada frente a sus prácticas de seguridad, privacidad y control, y cómo estas se han venido desarrollando y aplicando, y por otro lado, las tensiones jurídicas, con sus respectivas sanciones (generalmente económicas), que pueden terminar impactando la reputación en su sector de negocio.

Hablar del secuestro y la extorsión con datos, es una temática que va más allá del fenómeno tecnológico que la materializa. Es habilitar una vista sistémica de la problemática que conecta las prácticas de seguridad, las relaciones empresariales, los marcos jurídicos, los aseguradores, las vulnerabilidades tecnológicos y sobremanera, los comportamientos humanos (Sittig & Singh, 2016).

Materialización del ransomware. Dos lados una misma ecuación

Las acciones que se siguen luego de un secuestro, que generalmente tiene algún tipo de motivación (no siempre económica), llevan a un contacto directo o indirecto con los grupos de interés de la víctima, con el fin de iniciar un juego de emociones y tensiones que buscan doblegar la voluntad de la parte afectada. Para ello, las pruebas de supervivencia, las llamadas amenazantes y las manifestaciones visibles que generan incertidumbre (fotos, símbolos, o pertenencias), son piezas fundamentales para crear la necesidad y las acciones necesarias que lleven al cumplimiento del objetivo del agresor.

En el mundo digital, el ransomware tiene al menos dos vistas en la actualidad. Secuestro de información o datos (generalmente relevantes) por los cuales hay que pagar un rescate (y de no hacerlo se procederá a su destrucción o desaparición), o acceso a información sensible o comprometedora, que podrá ser expuesta (con posible afectación de la reputación), sino hay un pago al delincuente digital (Baykara & Sekin, 2018). En ambos casos, los delincuentes buscarán relevar pruebas a sus víctimas de que la acción es real y seria, sin perjuicio de motivar decisiones ágiles al respecto, para lo cual incluyen cuentas regresivas visibles o mensajes de voz modificados para intimidar a las empresas o las personas y medios de contacto basados en cuentas de correo anónimas o descartables.

Al evaluar la materialización de un evento como el ransomaware habrá que mirar los dos lados de la ecuación: a la empresa (o la persona), así como al atacante. Por el lado de la persona o la empresa el análisis puede incluir, entre otros aspectos:

  • Nivel de aseguramiento de las prácticas de seguridad y control
  • Nivel de afinamiento y uso de las tecnologías de seguridad y control disponibles.
  • Pruebas y lecciones aprendidas de la evaluación y seguimiento a los planes de recuperación y continuidad de negocio
  • Análisis de comportamientos de navegación y uso de internet
  • Nivel de desarrollo de cultura de seguridad de la información (incluida la ciberhigiene personal)
  • Análisis prospectivos de riesgos latentes y emergentes en el contexto de las operaciones y estrategias de la empresa
  • Definición del apetito al riesgo empresarial (o personal) (Herrera Silva, Barona López, Valdivieso Caraguay & Hernández-Álvarez, 2019).

Cualquier deficiencia o resultado que no corresponda a lo esperado en cada uno de estos elementos previamente mencionados, será asociado con una limitada capacidad de gestión tanto de la organización como de la persona frente al debido cuidado que deben tener en la protección de la información o los datos que tienen a cargo o de su propiedad, lo que en últimas se traduce en una posible acción negligente que podría ser comprobada vía ejercicios de auditoría o verificación independiente. 

Ahora desde la perspectiva del agresor, el análisis puede incluir entre otros aspectos los siguientes:

  • Nivel de especialización y habilidad para desarrollar inteligencia
  • Motivaciones específicas que llevan a la acción
  • Uso de herramientas conocidas o especializadas
  • Conexiones con otros grupos criminales
  • Pagos basados en criptomonedas, o monetizaciones de otras formas
  • Patrones de actuación previos
  • Antecedentes disponibles a nivel nacional o internacional (Cano, 2020).

Cualquier información que se cuente basado en el listado anterior, ofrecerá orientaciones y pistas para seguir el rastro del atacante. Cada uno de ellos ayudará a darle forma al rompecabezas que implica conectar las diferentes acciones del agresor, con el fin de encontrar patrones consistentes que den luces para reconstruir su acción criminal y así, lograr en el mejor de los casos su ubicación y captura. Esto no siempre se logra y por lo tanto, cuanta más información confiable y relevante se pueda obtener, mejores mapas se podrán delinear sobre un territorio siempre incierto que plantea el adversario (El-Kosairy & Azer, 2018).

Acciones frente al secuestro y extorsión con datos. Algunas ideas convencionales y no convencionales

Cuando una organización sufre de la materialización de un ransomware, debe considerar las dos partes de la ecuación y no sólo concentrarse en el dolor que esto genera al interior, con las consecuencias naturales que esto trae desde el punto de responsabilidades individuales y colectivas.

En este sentido, se plantean algunas acciones convencionales que las empresas o personas aplican cuando se ha concretado el secuestro y la extorsión con datos, lo cual implica consecuencias que ponen en riesgo la reputación de la empresa.

  • Contratar o buscar servicios especializados para restaurar los datos que se han comprometido. Este tipo de servicios generalmente son costosos e implican usos de herramientas particulares que tratan de encontrar patrones y establecer vías alternas para tener acceso a los datos, lo que no siempre se logra.
  • Contactar a los proveedores de herramientas de seguridad y control, o sus contactos para establecer alternativas que permitan encontrar maneras de recuperar la información o parte de ella. Esta acción, generalmente suele generar logros discretos comoquiera que existen centros de investigación asociados que pueden dar luces al respecto.
  • Usar los respaldos de información con los que cuenta la empresa o la persona, los cuales generalmente no responden a una práctica sistemática y validada. Esta estrategia suele funcionar de forma parcial dado que la actualización de la información respaldada define el nivel alcance y maniobra que la organización o la persona puede tener. El uso de esta información como forma de recuperación podrá generar deficiencias y diferencias al ser usada.
  • Pagar al agresor en los términos y condiciones que este indique para poder recuperar la información que se ha comprometido. Cuando se toma esta opción las organizaciones y empresas saben que estarán pagando un soborno, lo cual es abiertamente ilegal, y por otro lado, que siempre podrán recuperar toda la información y tendrán la duda permanente, si el agresor no ha hecho copias adicionales con las cuales pueda negociar en otro momento.

Otra manera de actuar frente a la materialización del ransomware, es incorporar estrategias no convencionales que generen mayor incierto en la ecuación de riesgos del atacante. Esto es, que lo lleve a actuaciones erráticas que habiliten mejores posibilidades para su identificación y seguimiento. Esto se traduce, en comprender con claridad las perspectivas y expectativas del agresor para jugar de forma diferente en el mismo campo que el adversario propone. Lo anterior se traduce en:

  • Atribución – Mostrar con datos concretos y comunicaciones creíbles que han logrado identificar patrones que permiten establecer la identidad de la persona o grupo que ha intervenido en el secuestro.
  • Evidencias – Detallar e ilustrar cómo los mecanismos de seguridad y control cuentan con evidencias de los patrones del agresor, lo cual establece una línea de acción concreta para identificar a los posibles atacantes.
  • Represalias – Crear un ambiente y entorno basado en los dos temas anteriores, para anunciar acciones legales y seguimientos a nivel local e internacional que pueden terminar en la captura y judicialización de los adversarios.
  • Apetito al riesgo – Detallar con hechos y datos cómo la organización está preparada para asumir el evento, con lo cual los impactos que se pueden tener no son los esperados por el agresor y por lo tanto, su capacidad de presión y negociación se pueden limitar (Saydjari, 2018).

Cualquiera de las acciones convencionales que se tome tendrá como resultado mantener el status quo de incertidumbre que propone el adversario, lo que generalmente le dará la ventaja para mantener el control de la situación. Adicionalmente este tipo de acciones estarán ajustadas al ordenamiento legal (con excepción del pago de la extorsión) lo que le dará tranquilidad a los ejecutivos en sus marcos de cumplimiento y reporte a los entes de control.

Tomar acciones no convencionales, es hacer una apuesta arriesgada que puede tener o no resultados positivos. Es un ejercicio de inteligencia y contrainteligencia para movilizar los esfuerzos de la organización en un terreno donde no está acostumbrada a jugar, para lo cual deberá tener serenidad y estar dispuesta a correr riesgos para movilizar al atacante de su trinchera y motivar acciones que le permitan ver movimientos que el agresor no tenía previstos y que lo obliguen a salirse del guión que había planeado frente a sus víctimas. Es claro que para navegar en este tipo de actuación deberá contar con acompañamiento y asesoría para cometer el menor número de errores (Jiménez, 2019).

Reflexiones finales

El ransomware es una modalidad de crimen organizado que es fruto de la transformación digital de la criminalidad desde hace más de 10 o 15 años, cuando se iniciaba con el tema de las botnets, herramientas de acceso remoto y los caballos de troya. Poder tener control de un equipo sin que la víctima se dé cuenta, es uno de las expresiones y motivaciones más relevantes que experimentan los atacantes para concretar acciones delictivas basadas en el posible anonimato o irrastreabilidad que esto puede llevar (Kardile, 2017).

Los supuestos actuales de la criminalidad digital como son a) el máximo anonimato, con la mínima evidencia, b) la máxima ambigüedad jurídica con el mínimo conocimiento tecnológico disponible y c) la máxima efectividad de su acciones, con el mínimo esfuerzo establecen una economía del cibercrimen que habilitan el desarrollo de capacidades técnicas, sociales y de inteligencia lo suficientemente sofisticadas, para aumentar el nivel de incierto en las personas, las organizaciones y los países, y así motivar acciones ilegales lucrativas que pueden pasar por debajo de los radares de las autoridades oficiales (Interpol, 2020).

El ransomware es una expresión convergente del aprovechamiento por parte del “lado oscuro de la fuerza” de las tecnologías disruptivas, de la sensibilidad y comprensión de los nuevas apuestas de las organizaciones en el contexto digital, y sobremanera de la masificación y multiplicación de los productos y servicios basados en tecnología, que las personas y organizaciones pueden usar para cambiar la manera de hacerlas cosas, particularmente hacerlas de forma más ágil y sencilla.

El aumento de la conectividad y la mayor superficie digital disponible en la dinámica social, fruto de una creciente densidad digital y convergencia tecnológica, hace que los flujos de datos e información, se conviertan en activos fundamentales tanto para los individuos como las empresas (Do, Martini  & Choo, 2018). En este contexto, los datos y la información representan y definen la identidad y la presencia de los seres humanos en esta nueva realidad, lo cual manifiesta y revela una lectura extendida de derechos y deberes que se deben entender y asumir para armonizar las relaciones de las personas ahora conectadas y digitalmente aumentadas en una sociedad tecnológicamente modificada (Bechmann, 2019).

En consecuencia, el secuestro y extorsión de datos establece una agresión digital de especial relevancia para la dinámica social actual, dado que lo que está en juego va más allá de la acción tecnológica que esto lleva, esto es, comprometer y afectar derechos de personas y empresas que pueden tener implicaciones a nivel político, económico, social, tecnológico y hasta ecológico, si lo que se compromete, está asociado con una infraestructura crítica de una nación (Pankov, 2020).

Por tanto, cuando una persona u organización es víctima de un ransomware deberá pensar muy bien sus estrategias de acción, para establecer con cabeza fría y visión holística, el camino a seguir para limitar tanto como se pueda los efectos adversos de esta condición, y analizar si quiere o no, entrar al tablero del juego incierto del agresor, para desde allí, formular estrategias que lleven al adversario a acciones no previstas y así lograr una mejor posición de negociación, sin ningún tipo de garantías ni reglas claras que seguir.

Referencias

Al-rimy, B., Aizaini, M. & Zainudeen, S. (2018). Ransomware threat success factors, taxonomy, and countermeasures: A survey and research directions. Computers & Security. 74, 144-166. Doi: 10.1016/j.cose.2018.01.001

Baykara, M. & Sekin, B. (2018). A novel approach to ransomware: Designing a safe zone system. 2018 6th International Symposium on Digital Forensic and Security (ISDFS), Antalya. 1-5. Doi: 10.1109/ISDFS.2018.8355317

Bechmann, A. (2019). Data as humans: Representation, Accountability, and Equality in Big data. En Jorgensen, R. F. (editor) (2019) Human rights in the age of platforms. Cambridge, MA. USA: MIT Press. 73-94.

Cano, J. (2020). Modelo SOCIA. Una reflexión conceptual y práctica desde la perspectiva del adversario. Actas X Congreso Iberoamericano de Seguridad Informática 2020. Universidad Politécnica de Madrid - Universidad del Rosario. Enero. Doi: 10.12804/si9789587844337.09

Do, Q., Martini, B.  & Choo, R. (2018). Cyber-Physical Systems Information Gathering: A Smart Home Case Study. Computer Networks. 138. 1-12.  doi: 10.1016/j.comnet.2018.03.024

El-Kosairy, A. & Azer, M. A. (2018). Intrusion and ransomware detection system. 2018 1st International Conference on Computer Applications & Information Security (ICCAIS), Riyadh. 1-7, Doi: 10.1109/CAIS.2018.8471688

Herrera Silva, J. A.; Barona López, L. I.; Valdivieso Caraguay, A. L. & Hernández-Álvarez, M. (2019). A Survey on Situational Awareness of Ransomware Attacks—Detection and Prevention Parameters. Remote Sens. 11(10). 1-20. Doi: 10.3390/rs11101168

Interpol (2020). Cybercrimen: Covid-19 Impact. August. De: https://www.interpol.int/es/content/download/15526/file/COVID-19%20Cybercrime%20Analysis%20Report-%20August%202020.pdf

Jiménez, F. (2019). Manual de inteligencia y contrainteligencia. Tercera edición. Sevilla, España: CISDE.

Kardile, A. (2017). Crypto ransomware analysis and detection using process monitor. Master Thesis. University of Texas, Arlington. De: http://hdl.handle.net/10106/27184

Pankov, N. (2020). Lazarus experimenta con un nuevo ransomware. Kaspersky Latam. De: https://latam.kaspersky.com/blog/lazarus-vhd-ransomware/19773

Saydjari, O. (2018). Engineering trustworthy systems: get cybersecurity design right the first time. New York, USA.: McGraw Hill

Sittig, D. F., & Singh, H. (2016). A Socio-Technical Approach to Preventing, Mitigating, and Recovering from Ransomware Attacks. Applied clinical informatics, 7(2), 624–632. Doi: 10.4338/ACI-2016-04-SOA-0064