Peritos Informáticos. Testigos expertos frente a la inseguridad de la información

Introducción

Cada vez más escuchamos que se adelantan procesos jurídicos donde se solicitan elementos materiales probatorios informáticos como parte de los componentes requeridos para identificar lo que realmente ocurrió. En este contexto, al igual que en la realidad norteamericana se hace necesaria la participación del “computer expert witness” o lo que en nuestro ordenamiento jurídico denominamos “peritos informáticos” o "expertos en informática forense" según reza el artículo 236 del Código de procedimiento penal Colombiano, Ley 906 de 2004.

Siguiendo una serie de reflexiones publicadas por Bruce A. Olson (ver referencias), experimentado abogado y especialista en computación forense, vamos a revisar algunas consideraciones claves que los “peritos informáticos” deben tener en cuenta para participar de manera adecuada en el desarrollo de audiencias y juicios donde se presenten materiales o componentes informáticos.

Un perito informático, de acuerdo con las reglas federales para manejo de la evidencia de USA, se define como “testigo calificado que por su conocimiento, habilidades, experiencia, entrenamiento o educación puede declarar o dar una opinión sobre una materia técnica, científica o especializada…”, el cual está allí para asistir al jurado y los participantes de la audiencia en el entendimiento de la evidencia y así establecer las claridades requeridas para tomar las decisiones respecto del caso en estudio.

En consecuencia con lo anterior, las reglas federales previamente mencionadas detallan las exigencias propias que deben considerarse en la opinión del perito informático, como son: “1. El testimonio deben estar basado en la suficiencia de hechos y datos, 2. El testimonio es producto de principios y métodos confiables y finalmente 3. El testigo ha aplicado los principios y métodos de manera confiable a los hechos de caso.” Por tanto, el perito informático califica como un profesional acreditado que utilizando el método científico es capaz de verificar o no hipótesis o cuestionamientos particulares siguiendo las exigencias de la disciplina científica; nunca para encontrar la verdad, que es algo que escapa al método en sí mismo. (*)

Acreditando al testigo experto en informática

En este sentido, parte del proceso que se surte en un proceso judicial es la acreditación de nuestro testigo experto, para lo cual Olson establece algunas características y condiciones básicas que permitan adelantar esta fase sin mayores dificultades. En primer lugar, al entregar su hoja de vida, asegure que todo lo que está allí es real y es susceptible de verificarse, pues su contraparte revisará cuidadosamente todas sus credenciales para evidenciar cualquier inconformidad o inconsistencia. Seguidamente, si cuenta con publicaciones efectuadas (las efectuadas en los últimos diez años), adjunte las mismas preferiblemente solicitándolas directamente al editor de la revista o cuerpo editorial de la publicación, de tal forma que pueda preparar un “dossier” claro y preciso que pueda ser revisado por un tercero.

De otro lado, entregue la información relacionada con sus títulos académicos y formación adicional que tenga; con las certificaciones indique la fuente de las mismas, la forma como se obtuvo, quien fue el patrocinador de la misma (si así ha sido) y la duración del entrenamiento. Así mismo, el detalle de su experiencia laboral, detallando la empresa, cargo desempeñado, logros particulares y motivos por los cuales se terminó el contrato con la empresa (si así ha sido). Recuerde, que todo esto será objeto de revisión, investigación y escrutinio por parte de la contraparte. Por tanto, prepárese para enfrentar cualquier cuestionamiento sobre algún inconveniente que haya tenido en su pasada vida laboral, pues deberá responder frente a la audiencia por los mismos, si hubiere lugar.

Finalmente si hubiese participado en otros casos semejantes, tenga en cuenta en cuales, el número del proceso y los expedientes concretos para mantener la trazabilidad de sus participaciones y testimonios, los cuales igualmente serán revisados por terceros.

Presentando los hechos analizados

Una vez se encuentra acreditado el “computer expert witness”, se debe asegurar una estrategia metodológica para presentar su informe científico sobre los hechos revisados, de tal forma, que siga las exigencias propias del testimonio de los expertos (ver (*)). En esta línea, Olson sugiere que el perito informático desarrolle su presentación con los siguientes elementos:

1. Inicialmente basado en su formación académica y entrenamientos, establezca los elementos conceptuales sobre los cuales se basa su reporte.

2. Presente los hechos fundamentales que fueron objeto de sus análisis.

3. Detalle y describa los procedimientos aplicados, técnicas de verificación y herramientas tecnológicas utilizadas.

4. Detalle el proceso de verificación de la toma de los datos informáticos y las condiciones en las cuales se adelantó dicho proceso.

5. Presente el análisis de los datos recolectados frente a los hechos de la investigación.

6. Entregue las conclusiones relacionadas con los hechos investigados.

Es importante que el perito tenga en cuenta que podrá ser controvertido por su contraparte, para comprometer la credibilidad de su informe y las opiniones que allí se encuentran establecidas. Por tanto, usted deberá sujetarse a los hechos y mantener la tranquilidad que la da la aplicación sistemática y científica de sus métodos, los cuales podrán ser revisados por cualquier persona y llegar a conclusiones equivalentes.

Al igual que en Colombia, en Norteamérica es claro que la participación de un especialista en temas de tecnología en un proceso jurídico, puede darse de dos formas: experto consultado o testigo experto. En el primer caso, es un llamado que le hace la corte al profesional para que ilustre a la audiencia sobre conceptos o claridades técnicas requeridas, que particularmente en el caso de USA, no es necesario que se conozca la identidad del mismo. En el segundo caso, el testigo experto hace parte del caso, sus informes son opiniones que se adjuntan al expediente y son susceptibles de verificación y controversia. En Colombia, el perito informático puede ser objeto de recusación (ver artículos 150, 151 y 152 de Código de Procedimiento Civil – disponible en: http://www.secretariasenado.gov.co/senado/basedoc/codigo/codigo_procedimiento_civil_pr005.html ), lo que implica que este profesional se encuentra expuesto durante el proceso, por lo cual se hace necesario contar con seguros de actuación profesional, que protejan a estos auxiliares de la justicia frente a imponderables que puedan afectar sus actividades relacionadas con sus testimonios basados en elementos materiales probatorios informáticos.

El informe pericial

Las reglas federales para el manejo de la evidencia norteamericana establece el contenido mínimo del informe que deben entregar los “computer expert witness”:

1. Una declaración completa sobre las bases y razones que expresadas por el testigo.

2. Los hechos y los datos considerados por el testigo para formarse su opinión.

3. Cualquier documento que haya utilizado para resumir o apoyar su opinión.

4. Las calificaciones académicas del testigo, incluyendo la lista de todas las publicaciones de su autoría en los últimos 10 años.

5. Una lista de los casos en que haya participado y declarado en calidad de experto en juicio.

6. Una declaración del pago efectuado por el análisis realizado y el testimonio en el caso.

Como podemos ver en la justicia norteamericana se exige que este profesional exponga de manera transparente sus conclusiones frente a los hechos, indicando todos los elementos colaterales alrededor de su contratación (si fuese el caso), así como la experiencia que este pudiese tener en casos anteriores. En Colombia, el informe pericial no tiene una estructura establecida por ley, sin embargo, se sugiere considere entre otros elementos los siguientes: (CANO 2009, pág.174-175)

1. Encabezado que identifique de manera clara y concreta, la solicitud efectuada, los participantes, código de identificación del caso, clasificación de la información y nombre de los investigadores.

2. Introducción donde se describa la conducta o hechos que se investigan, los alcances de la pericia y el objetivo mismo de los análisis realizados.

3. Validación y verificación de la cadena de custodia donde se especifica qué se recibe, de quién, en qué fecha, los objetos y sus características, marcas y seriales, peritos que reciben, identificador del caso, entre otros aspectos.

4. Procedimientos de preparación y adecuación de la evidencia recibida donde se detalle el proceso forense, la preparación de los medios, las herramientas utilizadas, la verificaciones del caso y los detalles de los análisis a realizar.

5. Análisis de la evidencia que muestre la ejecución de las herramientas utilizadas sobre las copias autenticadas de las evidencias recolectadas.

6. Hallazgos o hechos identificados como resultado de la aplicación de las herramientas tecnológicas que hablan generalmente de archivos, sitios en los medios, información recuperada, entre otros aspectos.

7. Conclusiones sobre los hechos investigados, sin juicios de valor, basados en los hechos y datos recolectados con las herramientas informáticas establecidas.

8. Firma de los analistas o peritos como forma de refrendar sus hallazgos y procedimientos aplicados sobre el material probatorio entregado.

Como podemos observar, cada una de las vistas establece elementos complementarios que invitan a los lectores a relacionar lo mejor de cada práctica y establecer sus propios formatos que permitan hacer mucho más formal y menos controvertible sus informes periciales frente la exigente crítica de su contraparte.

Declarando en la audiencia

La presentación del informe o declaración del testigo informático experto, es darle la oportunidad a los abogados para hacer todas las preguntas que él o ella quiera, claro está sujeto a las normas del procedimiento establecido, para que el perito responda en consecuencia. Recuerde que no es la oportunidad para decir todo lo que usted sabe del caso, sino la forma puntual y particular en la cual le dará respuesta a las preguntas que se le formulen y la forma en que será interrogado.

En razón con lo anterior, todas las respuestas que el perito detalle y comente serán parte del registro de la audiencia y no habrá momentos previstos para dejar declaraciones “fuera de los registros” de la corte. Esto significa, que todo lo que se mencione durante su intervención tendrá valorado dentro del proceso mismo y será sujeto de contrainterrogatorio si así se decide por alguna de las partes.

En Colombia existen algunas condiciones para interrogar y contrainterrogar al perito, las cuales conviene conocer para estar preparados frente a las condiciones y características que exhiba la contraparte frente a las declaraciones de este profesional:

Ley 906 de 204 Código de Procedimiento Penal (Disponible en: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=14787)

Artículo 417. Instrucciones para interrogar al perito. El perito deberá ser interrogado en relación con los siguientes aspectos:

1. Sobre los antecedentes que acrediten su conocimiento teórico sobre la ciencia, técnica o arte en que es experto.

2. Sobre los antecedentes que acrediten su conocimiento en el uso de instrumentos o medios en los cuales es experto.

3. Sobre los antecedentes que acrediten su conocimiento práctico en la ciencia, técnica, arte, oficio o afición aplicables.

4. Sobre los principios científicos, técnicos o artísticos en los que fundamenta sus verificaciones o análisis y grado de aceptación.

5. Sobre los métodos empleados en las investigaciones y análisis relativos al caso.

6. Sobre si en sus exámenes o verificaciones utilizó técnicas de orientación, de probabilidad o de certeza.

7. La corroboración o ratificación de la opinión pericial por otros expertos que declaran también en el mismo juicio, y

8. Sobre temas similares a los anteriores.

El perito responderá de forma clara y precisa las preguntas que le formulen las partes.

El perito tiene, en todo caso, derecho de consultar documentos, notas escritas y publicaciones con la finalidad de fundamentar y aclarar su respuesta.

Artículo 418. Instrucciones para contrainterrogar al perito. El contrainterrogatorio del perito se cumplirá observando las siguientes instrucciones:

1. La finalidad del contrainterrogatorio es refutar, en todo o en parte, lo que el perito ha informado.

2. En el contrainterrogatorio se podrá utilizar cualquier argumento sustentado en principios, técnicas, métodos o recursos acreditados en divulgaciones técnico científicas calificadas, referentes a la materia de controversia.

Reflexiones finales y conclusiones

Finalmente el testigo experto informático deberá prepararse no solamente desde el punto de vista técnico frente a su reporte y los cuestionamientos de su contraparte, sino desde el punto de vista psicológico y emocional de tal forma que pueda mantener una posición tranquila y sana frente a las estrategias que el abogado de la defensa o la fiscalía, emprendan para desacreditarlo o desestabilizarlo y debilitar los resultados del informe presentado.

Como hemos podido revisar y advertir, convertirse en un testigo experto en informática o perito informático y someterse el exigente ejercicio de ser un efectivo auxiliar de la justicia en temas de alta tecnología, no solamente requiere el conocimiento técnico propio de la formación académica y la experiencia aplicada del mismo, sino de un estudio profundo del sistema de administración de justicia, su bondades y limitaciones, que le permitan a este profesional, conocedor de los procedimientos y técnicas científicas para el aseguramiento de las pruebas documentales informáticas, entregar los resultados de sus análisis frente a los hechos investigados, para que la verdad procesal brille basada en los hechos y los datos.

Referencias

Artículos de Brian Olson - http://www.dfinews.com/authors/4833

CANO, J. (2009) Computación Forense. Descubriendo los rastros informáticos. Ed. AlfaOmega.

Ley 906 de 204 Código de Procedimiento Penal - Disponible en: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=14787

Inseguridad de la información: Maestra en la ciencia de la protección de la información

Conforme avanzamos en el desarrollo de esta nueva década del segundo milenio, notamos con preocupación que no estamos capitalizando las lecciones que la inseguridad de la información nos ha impartido con suficiente ilustración y detalle. La inseguridad de la información nos ha demostrado que existen elementos tanto en las personas, como en los procesos y en la tecnología donde puede actuar y renovar nuestro entendimiento de la protección de la información.

Avanzar en una propuesta de una “ciencia de la seguridad” (STOLFO, S., BELLOVIN, S. y EVANS, D. 2011) o en una “ciencia de la protección de la información” (COHEN 2011) es profundizar en los terrenos de la formalidad académica y científica para encontrar allí mejores referentes que nos permitan superar una posible vista artesanal de nuestro proceso de toma de decisiones frente a los retos de la inseguridad en las organizaciones.

Siguiendo los argumentos de STOLFO, BELLOVIN y EVANS (2011), hablar de una ciencia requiere al menos revisar tres elementos fundamentales: sistematización y generalización del conocimiento, desarrollo de leyes universales para hacer predicciones confiables y, conducción de investigaciones para verificar hipótesis y elaborar experimentos. En este sentido, los retos propios de la seguridad de la información se ven avocados a pasar por el filtro de la ciencia, para procurar tener mejores elementos de juicio y así formalizar nuestras acciones, de tal forma, que no sea solamente nuestro instinto o mejor estimación la que prime, sino una profunda revisión de los impactos y consecuencias de los análisis de las situaciones a asegurar, la que afine los criterios de toma de decisión de los analistas de seguridad de la información.

Si bien a la fecha, existe mucho conocimiento acumulado en los temas de seguridad de la información que nos permiten hablar en dominios específicos de temáticas como los son seguridad en redes, gestión de la seguridad, análisis de vulnerabilidades, arquitecturas de seguridad, entre otros, continúan apareciendo temas novedosos como son entre otros seguridad en la nube, seguridad embebida en dispositivos, geolocalización, que nos permiten seguir pensando y soñando con nuevas posibilidades para continuar construyendo la disciplina de la seguridad de la información. (COSTELLO 2011)

Bien dice un practicante de la seguridad, militante de la academia y de la industria, Bruce Schneier, que “en teoría existen sistemas seguros, pero en la práctica no”, denotando que mientras en los diseños y ecuaciones formales, es posible probar la confiabilidad de la seguridad de la información, asegurando la mayor certeza de sus propuestas; una vez se pasa a la aplicación de los mismos, la inevitabilidad de la falla se hace presente en la operacionalización de éstas, dado que en el mundo real, las condiciones no son igualmente replicables a las consideraciones teóricas que sustentan los conceptos. En este sentido, tener leyes universales que nos permitan un comportamiento predecible en seguridad, es enfrentar las mejores estimaciones matemáticas, con las condiciones inesperadas de una realidad llena de efectos colaterales y condiciones disímiles.

Lo más frecuente que se observa en seguridad es el desarrollo de investigaciones y experimentos controlados y no controlados, como la fuente primaria de reflexiones y propuestas para encontrar respuestas a nuestras preguntas, o mejor aún, como la estrategia para plantearnos mejores interrogantes. En este sentido, la seguridad de la información es una búsqueda permanente de un “grial” esquivo y deseado, que si bien todos saben que es inalcanzable, hacemos todo lo que está a nuestro alcance para experimentar, así sea de manera momentánea, un poco de su luz y de sus enseñanzas sobre la protección formal y confiable de la información en cualquier contexto.

Sin embargo, como bien anota COHEN (2011), los científicos o los hombres de ciencia son humanos y cómo seres vivientes, se equivocan, por tanto, la ciencia hace lo mismo. En este sentido, alcanzar confiabilidad de la disciplina científica en seguridad de la información, es entrar en un círculo vicioso donde tanto el hombre como la ciencia, se contaminan mutuamente para producir o generar un resultado que esperamos sea “seguro”, “confiable” y “libre de errores”.

Así las cosas, avanzar en una ciencia de la protección de la información, es reconocer que la inseguridad de la información es la maestra y educadora de los practicantes y académicos; es decir, aquella realidad que induce un aprendizaje, promueve la generación de mejores preguntas y encontrar nuevas respuestas; estimula el pensamiento independiente entre sus estudiantes, suscita la innovación, la creatividad y los retos intelectuales. (ACKOFF 2011)

Si lo anterior es correcto, no es suficiente que continuemos sencillamente comprendiendo los avances tecnológicos y su adecuada implementación en las organizaciones, sino cuestionando las diversas variables y condiciones de las corporaciones, para hacer de la seguridad de la información una forma de repensar la empresa y sus procesos, no como una meditación basada en un discurso restrictivo, sino como aquello que cada uno de nosotros entiende, cuando de cuidar un activo se trata.

En este sentido, FENZ, PARKIN y VAN MOORSEL (2011) aciertan cuando detallan que desarrollar un modelo de conocimiento en seguridad de la información requiere considerar, entre otros elementos, aquellos que hacen referencia a los aspectos sociales, tecnológicos y de negocio, como base para encontrar en el ejercicio de toma de decisiones de los gerentes de seguridad de la información, la información, las relaciones y la prospectiva necesaria para identificar patrones de acción que les permitan estar más cerca de las causas y no solamente de la experiencia de las consecuencias de las fallas.

Por tanto, desarrollar una ciencia de la protección de la información, exige como bien anota el profesor COHEN (2011), un encuentro con las disciplinas sociales y del comportamiento humano asociados con la protección de los activos, como fuente misma de nuestro entendimiento de la complejidad propia de las relaciones entre la tecnología y los procesos de la organización, donde los individuos son la parte activa de éstas, frente a las vulnerabilidades y fallas propias de los artefactos tecnológicos.

Finalmente, considerando y aceptando que la inseguridad de la información es nuestro mejor aliado para crear el futuro, mantenga su vista afinada en el camino y sus señales, para continuar haciendo la diferencia en el ejercicio permanente y renovado de lanzarnos en las “aguas profundas” de la incertidumbre y creer que siempre es posible ir más allá de los datos que representan las propiedades de los objetos y sus eventos, y alcanzar en la sabiduría del error, la forma anticiparnos cada vez más a los retos de la inevitabilidad de la falla.

Referencias

COSTELLO, T. (2011) 2011 IT Tech and strategy trends. IEEE IT Professional. January/February.

FENZ, S., PARKIN, S. y VAN MOORSEL, A. (2011) A Community Knowledge Base for IT Security. IEEE IT Professional. May/June 2011

STOLFO, S., BELLOVIN, S. y EVANS, D. (2011) Measuring Security. IEEE Security and Privacy. May/June 2011

COHEN, F. (2011) Toward information Science protection. Disponible en: http://all.net/Talks/2011-06-15-Keynote-Toward-IP-Science.pdf (consultado: 14-08-2011)

ACKOFF, R. (2011) Differences that make a difference. Triarchy Press.

Análisis forense digital en la nube: El reto de la inseguridad en un ecosistema tecnológico

Estamos asistiendo a una nueva década dominada por las redes sociales, la computación móvil y la computación en la nube. Esta nueva condición de la sociedad digital, ubica a la información como uno de los elementos más sensible y más apetecidos por todos los participantes de esta realidad interconectada. Nada más cierto que el empoderamiento evidente de jóvenes y niños, que exigen de las redes mayor velocidad, mayor conectividad y renovados contenidos. Así las cosas, la información en movimiento, como la vida misma, es un reto que demanda de los mejores analistas de seguridad de la información, propuestas innovadoras para comprender ahora que significa “estar seguros” en un ambiente de cambio permanente, altamente impredecible, inalámbrico y de operación 7x24x365.

Entender la realidad actual de servicios y conexiones “sin cables”, es actualizar la reflexión de los retos asociados con los elementos materiales probatorios informáticos, medianamente conocidos y asegurados en un contexto cableado. Si encontrar o identificar a posibles atacantes en infraestructuras de configuraciones y flujos de información conocidos, ha sido un reto evidente durante los últimos 10 años, sumergirse en el desafío forense a través de las redes sociales, en medios inalámbricos y administrados por un tercero en la nube, describe una nueva disciplina y nuevos campos de investigación que exigen repensar la informática forense o computación forense en nuevo nivel, con una vista más sistémica, para establecer elementos sistemáticos que permitan avanzar en nuevos procedimientos estandarizados.

En un primer momento, conociendo esta realidad actual, se tiene la tentación de aplicar los procedimientos conocidos y generalmente utilizados para abordar el reto forense a través del trinomio: red social, móviles y la nube, pues al estar cada uno de ellos articulados y fundados en plataformas tecnológicas, suena coherente desarrollar los aseguramientos de evidencia, siguiendo los protocolos establecidos asociados con datos volátiles y no volátiles. Adicionalmente, poder seguir los rastros en cada uno de estos mundos, no debería ser diferente de lo que actualmente se efectúa cuando de investigaciones informáticas se trata.

Pero la realidad del análisis y reto de las investigaciones forenses en este renovado contexto abierto, de flujo de información permanente y ubicua genera más incertidumbres que certezas, más preguntas que respuestas y más imprecisiones que claridades. Mientras la esencia misma de la computación forense es establecer hechos y datos propios de la realidad que se investiga, una revisión de los diferentes actores de este nuevo escenario, nos propone diferentes perspectivas que confrontan los fundamentos de los procedimientos generalmente aceptados para avanzar en el aseguramiento de evidencias en un proceso forense digital.

En esta primera revisión del tema forense en el contexto actual, trataremos de analizar cada uno de los participantes y aquellos elementos críticos que hacen exigente una validación forense digital en medios sociales, apalancados en tecnologías móviles y convenientemente ubicadas en la nube.

Iniciemos con el usuario, con las personas, que cada vez más se advierte una alta dependencia de las redes sociales y consumo de contenidos y servicios en la web. Con el paso del tiempo los hábitos de las personas, particularmente de los niños y los jóvenes han venido migrando de una necesidad natural de interacción cara a cara, a una mediada por la tecnología, con información instantánea y técnicamente de acceso ágil y prácticamente ilimitado. Esto si bien es una gran ventaja para mantenerse actualizado y en movimiento, estamos debilitando la natural exigencia de explorar y revelar nuevas preguntas que forjen los nuevos investigadores del futuro, con hambre de logro, más allá de un click que hable de lo que “hay disponible”. Pero esta es una reflexión que está fuera del alcance de este análisis.

Desde el punto de vista forense, el caminar por las redes sociales es descubrir un perfil de la persona, sus hábitos para compartir información, sus patrones de conexión, las aplicaciones extra que utiliza y los amigos con los cuales más comparte. De igual forma, es detallar sus habilidades para configurar su interacción, los cuidados para aceptar a nuevos amigos y las particularidades de su personalidad que se describen en cada uno de sus publicaciones.

Analizar a un individuo en una red social, es ir más allá de cuál de ellas utiliza, es entender la interacción que existe entre el navegador y el sitio mismo, sabiendo que éste último está en un ecosistema tecnológico, con dependencias identificadas, bien para los servicios ofrecidos para sus usuarios, como para la infraestructura que los soporta. Así las cosas, una vista de la problemática estará en la forma como los terceros que intervienen han sabido estructurar la interacción de sus aplicaciones para ofrecer lo prometido y otra, la forma como la tercera parte mantiene y asegura los servidores y equipos de cómputo sobre los cuales se ejecutan los programas.

Como quiera que entender estas interacciones demanda una comprensión de un ecosistema que se articula en una malla de relaciones técnicas y de información, incorporar a este escenario, los conceptos de movilidad definen una realidad ampliada, que no es posible comprender sólo desde los elementos naturales de las redes inalámbricas y sus servicios, pues éstas representan sólo un medio adicional que se suma a las interacciones del ecosistema tecnológico que tenemos en la actualidad.

Así las cosas, las investigaciones forenses que conjugan las redes sociales y dispositivos móviles, superan las consideraciones actuales que los investigadores puedan tener, para recabar la información requerida con la profundidad necesaria, y así entender, el cúmulo de relaciones y puntos de contacto que son necesarios para encontrar patrones y respuestas a preguntas que se pueden hacer en una operación sin cables y altamente social digital.

Conjugar estas dos tendencias exige de parte del investigador forense reconocer que su entrenamiento actual se queda corto para asistir a la justicia en la persecución de las nuevas y silenciosas tácticas que la delincuencia viene utilizando a través de las redes sociales y los medios inalámbricos. Mientras los “chicos malos” avanzan diariamente en la búsqueda de nuevas opciones y oportunidades para continuar con su imperio del engaño y defraudación, apoyado bien en nuestras malas prácticas, fallas tecnológicas o de las aplicaciones, poco hacemos nosotros el mismo ejercicio de manera sistemática y formal para asegurar lo requerido en las personas, procesos y tecnología.

No contentos con lo anterior, ahora sumamos a la ecuación, por cierto, desde el punto de vista económico y estratégico, claramente positiva y rentable, la realidad de una relación más dependiente y más flexible de articulación de servicios de infraestructura, plataforma y de aplicaciones, lo que se denomina en el mundo tecnológico computación en la nube.

La computación en la nube es el eslabón “que hacía falta” para contar con la facilidad de almacenamiento prácticamente infinito, disponibilidad permanente y movilidad sin restricciones. La nube se convierte en el nuevo paradigma que “hace transparente” la relación entre los usuarios y los proveedores, la promesa de valor de pagar por lo que se usa, de agilidad para contar con lo que se quiere y desplegar los servicios de acuerdo con el cambio de las tendencias del mercado.

Así las cosas, se completa el cuadro de la complejidad que debe atender el nuevo observador forense digital, que consiste en entender primero las relaciones entre el usuario y su red social, luego la red social y los medios inalámbricos y finalmente los servicios tercerizados y sus accesos desde los medios móviles así como las consideraciones de interacción de los usuarios.

Como podemos ver, adelantar una investigación forense en una realidad como la que hemos analizado no es una extensión de lo que conocemos hoy en forensia digital. Es elevar nuestra reflexión general del análisis de datos que soportan los informes técnicos, por un ejercicio de desdoblamiento de la complejidad entendiendo a los actores comprometidos y sus relaciones en una escena virtual que tiene sentido en un escenario real.

De acuerdo con lo anterior, dejamos planteados los elementos base de una revisión de la computación forense en un ecosistema tecnológico, que demanda una estrategia de análisis y entendimiento renovado para retar y confrontar los modelos conceptuales conocidos para adelantar investigaciones forenses en informática.

Referencias

RUAN, K. (2010) Cloud forensics: Challenges and opportunities. Centre for cybercrime investigation. University College Dublin. Disponible en: http://confluence.jetbrains.net/download/attachments/36015346/Cloud+Forensics+-+Challenges+and+Opportunities.pdf (Consultado: 17-07-2011)

WRIGHT, B. (2010) Digital forensics and social media. Disponible en: http://computer-forensics.sans.org/blog/2010/04/20/digital-social-media/ (Consultado: 17-07-2011)

TRIMINTZIOS, P., HALL, C., CLAYTON, R., ANDERSON, R. y OUZOUNIS, E. (2011) Resilience of the Internet Interconnection Ecosystem. Disponible en: http://www.enisa.europa.eu/act/res/other-areas/inter-x/report/interx-report (Consultado: 17-07-2011)

Amenazas Persistentes Avanzadas. La inseguridad de la información como fuente de inteligencia estratégica para los intrusos

Desarrollando el concepto de las Amenazas Persistentes Avanzadas - APAv

Considerando los impactos que puede tener una fuga de información a nivel corporativo y los constantes intentos de los intrusos por alcanzar las infraestructuras tecnológicas de las empresas, vía la práctica del engaño y manipulación de información disponible en internet, se hace evidente una tendencia o vector de ataque que busca como objetivo contar con un grado de control de la infraestructura atacada, actuando persistentemente para retener el acceso y las posibilidades que este brinda.

En este sentido, Richard Betjlich, detalla los elementos básicos del adversario que actúa siguiendo los elementos de una Amenazas Persistentes Avanzadas - APAv, con el fin de comprender mejor su motivaciones y movimientos que nos permitan, más adelante, establecer algunas contramedidas que permitan limitar el accionar de este tipo de amenazas, que buscan comprometer la esencia misma de la ventaja competitiva de las empresas, como lo es su información: (BEJTLICH, R. 2010)

Amenaza significa que el adversario no es una pieza de código sin sentido, al contrario, es una persona motivada, financiada y organizada, que busca un objetivo particular, para lo cual estará bien rodeada y asistida para lograr la misión designada.

Persistente significa que el adversario tiene una tarea que cumplir y que insistirá en ella hasta lograrla. En este sentido, persistente no significa necesariamente que buscará ejecutar un código malicioso en el computador víctima, sino mantener el nivel de interacción necesario para alcanzar sus objetivos.

Avanzada significa que el adversario puede operar un amplio espectro de posibles intrusiones informáticas, es decir, puede utilizar desde las más evidentes y publicitadas vulnerabilidades, o elevar el nivel del juego, para investigar o desarrollar nuevas debilidades o fallas dependiendo de las prácticas de seguridad y control de la empresa objetivo.

Como quiera que este tipo emergente de amenazas no es nuevo, en cuanto se basa en un componente eminentemente humano y asociado con comportamientos de las personas frente al tratamiento de la información, si representa una importante novedad, cuando se trata de operaciones digitales asistidas con propósitos de espionaje y desinformación, aplicados sobre objetivos gubernamentales, militares o privados.

Casos recientemente publicados y ampliamente difundidos dan cuenta que este tipo de amenazas han cobrado importantes organizaciones, poniendo en tela de juicio sus posturas frente a la seguridad de la información. A continuación se detallan algunos de ellos, como fuente de documentación y lecciones aprendidas: (SAVAGE, M. 2011)

• El ataque a la firma RSA inició con dos correos phishing con asunto: “2011 Recruitment Plan”, enviado a dos pequeños grupos de empleados. Un empleado dio click en una de las hojas electrónicas adjuntas en el correo, el cual contenía un exploit de día cero, lo cual abrió una brecha de seguridad dentro de la empresa, lo que permitió que los atacantes tuviesen acceso a los sistemas de información críticos de la empresa y paso a la información relacionada con los productos SecureID, del cual son líderes en la industria de seguridad informática.

• De otra parte tenemos el ataque del grupo “Anonymous” a la firma de seguridad HBGary Federal al inicio de este año. El ataque consistió en efectuar un engaño a un administrador de red, para que se diese acceso al sitio Rootkit.org, sitio web de investigaciones en seguridad informática mantenido por el fundador de la empresa Greg Hoglund, ocasionando desde allí un ingreso no autorizado a la empresa, ganando acceso a los sistemas interno de correo electrónico con datos sensibles y otra información crítica de la misma.

• Finalmente el ataque a Google efectuado el año anterior, donde los atacantes recolectaron información publicada por los empleados de la firma en redes sociales como facebook y linkedid. Luego, configuraron un sitio web con fotos falsas, desde donde enviaban correos electrónicos que contenían enlaces al parecer confiables, dado que venían aparentemente de personas de confianza. Una vez, la personas hacía click sobre el enlace del correo, se descargaba un código malicioso, que abrió una brecha de seguridad que dio acceso a los servidores corporativos de Google.

APAv - Lecciones aprendidas y algunas por aprender

El foco fundamental de una APAv es atacar a los usuarios y no a las máquinas. Es un movimiento psicológico y de comportamiento basado en la información misma de las víctimas, que genera una falsa sensación de seguridad que permite al atacante, tener acceso a la infraestructura interna de las organizaciones. En este sentido, se hace necesario establecer iniciativas de monitoreo de cruce de información, balancear la necesidad natural de los empleados por descargar información, permitir dispositivos móviles en las redes internas y el acceso a redes sociales; un mundo de intereses cruzados que enfrenta los derechos fundamentales de los individuos y la exposición a los riesgos propia de las empresas con presencia en internet.

¿Qué hemos aprendido de los múltiples casos de uso efectivo de las APAv? Hagamos una mirada crítica sobre tres elementos fundamentales:

1. Nuestra naturaleza orientada a confiar en los demás. Esta condición sana y generosa que al interior de las empresas se genera por un ambiente de camaradería y motivación al trabajo en equipo, se ve mancillada y desvirtuada, frente a las APAv, dado que la información expuesta de las personas de la empresa en internet, opera como estrategia de inteligencia que permite abrazar la confianza de una comunidad, que de manera inadvertida acepta y entiende, que de personas conocidas podemos aceptar mensajes o comunicaciones, generando graves brechas de seguridad que comprometen el buen nombre y los activos intangibles de la empresa.

2. Manejo de las expectativas de las personas. Esta situación propia de los seres humanos, que generalmente busca alcanzar y satisfacer de manera natural, se ve oscurecida, cuando un tercero es capaz de conocer o inferir este tipo de deseos o anhelos, en los cuales encuentra el mejor motivador y motor para capturar la atención de sus víctimas. En este sentido, información sobre ascensos, ingresos, nuevos beneficios o incluso retiros de personas de las empresas, se vuelve sensible y clave a la hora de lanzar estratégicamente engaños electrónicos, que hagan sentido con las esperanzas e intereses de las personas en las organizaciones.

3. El afán de compartir información: si no estás en las redes sociales, no existes. Estamos en un mundo donde la información fluyen todo el tiempo. Es nuestro deber, saber que debe circular y que no, que información voy a compartir y cuáles serán sus implicaciones de hacerlo. Debemos tomar mejores decisiones informadas sobre los riesgos derivados de ubicar información en los medios electrónicos, sabiendo que al hacerlo estamos minando nuestro propio derecho a la privacidad y control de la misma. Así, mientras más conscientes seamos de la información que tenemos y compartimos, mejores experiencias tendremos al interactuar en la red.

Todo esto nos lleva indefectiblemente a cuestionarnos sobre el contexto futuro y emergente que nos traen las nuevas tendencias tecnológicas y propuestas de servicios, que no hacen otra cosa que motivarnos a mantener información en otros dominios, compartir información con otras personas y movilizarnos todo el tiempo sin restricciones de cables o lugares. Por tanto, se requiere hacer un pare en el camino y comenzar a desaprender de nuestros comportamientos actuales y concretar algunas recomendaciones que nos permitan disfrutar de manera responsable este nuevo entorno abierto, móvil y dinámico que nos proponen los nuevos desarrollos.

En este contexto, detallamos a continuación algunas lecciones que tenemos por aprender frente a los avances de las APAv, que prometen seguirnos sorprendiendo ahora en un universo personalizado en la nube y con empoderamiento permanente de los usuarios frente al uso de las tecnologías de información y comunicaciones.

1. Insistir en el valor de la información como activo crítico empresarial. ¿Por qué no le duele a las personas la información de la empresa? ¿Por qué sólo hasta cuando algo ocurre nos interesamos en el tratamiento de la información? La respuesta es sencilla, no existe un vínculo formal que permita valorar la información, como las cosas propias que afectan la vida de cada individuo. La información es algo externo a su realidad, que sólo es considerada importante, cuando la misma te afecta como persona en cualquier contexto de la vida.

2. Clasificar la información como práctica natural del tratamiento de la información. Todos sabemos que manejamos información privada y pública. Nadie quiere que se conozca parte de su vida y obra, a menos que cada uno lo autorice formalmente. De igual forma debería funcionar con la información empresarial, toda ella representa la vida y obra de la firma, mucha de ella habla de cosas que sólo le pertenece a la empresa, mientras otra está diseñada para ser compartida con el entorno. Así, mientras este ejercicio intuitivo que hacemos de manera personal, no sea una práctica natural en el entorno corporativo, continuaremos escuchando historias que nunca se debieron contar.

3. Promover sistemas de inteligencia y monitoreo preventivo sobre el flujo de información empresarial. Esta consideración advierte a las organizaciones que deben avanzar en el desarrollo de nuevas capacidades de detección de patrones competitivos y de amenazas informáticas en el contexto de sus relaciones de negocio, para establecer acciones preventivas que permitan anticiparse a futuros ataques o amenazas. Esto significa, que la información no será solamente un activo crítico, sino la fuente misma de las acciones de la organización frente a los retos de seguridad de la información que le sugiera su entorno, teniendo la capacidad de cambiarlo si es necesario.

Reflexiones finales

Conocer y advertir este tipo de estrategias de inteligencia informática, exige de cada una de las organizaciones, afianzar sus esfuerzos de entrenamiento y prácticas asociadas con el tratamiento de la información, dado que cada vez más habrá “comandos especializados”, que adelanten operaciones focalizadas para tener información sensible que requiere un tercero, utilizando como puente a alguno de los empleados. Por tanto, mientras más conciencia se tenga del nivel de exposición que se tiene frente al manejo de la información, mejor será el “mínimo de paranoia administrable” que cada una de las personas debe desarrollar.

En consecuencia y sabiendo que la situación no habrá de mejorar en el corto plazo, desarrolle una función de contrainteligencia informática sustentada en la formación y desarrollo de “firewalls” humanos, que compartiendo información y advirtiendo situaciones fuera de lo establecido, pueda distinguir la asimetría de la inseguridad de la información, a través de patrones de comportamiento emergentes y divergentes.

Finalmente y sabiendo que el adversario será persistente en su misión para lograr el acceso no autorizado, debemos advertirle, que si bien no conocemos qué nuevo movimiento estará planeando, si estaremos vigilantes y perseverantes para hacerles la vida más difícil, aprendiendo de nuestra maestra la inseguridad de la información.

Referencias

BEJTLICH, R. (2010) Understanding the advanced persistent threat. Information Security Magazine. July. Disponible en: http://searchsecurity.techtarget.com/magazineContent/Understanding-the-advanced-persistent-threat (Consultado: 6-06-2011)

SAVAGE, M. (2011) Gaining awareness to prevent social engineering techniques attacks. Information Security Magazine. May. Disponible en: http://searchsecurity.techtarget.com/magazineContent/Gaining-awareness-to-prevent-social-engineering-techniques-attacks (Consultado: 6-06-2011)

Pensar como el atacante: Mente y corazón de la inseguridad de la información

Comenta recientemente un informe publicado en sitio web Darkreading.com: “In the world of cybercrime, bad guys work together. They share information; they build attacks together” cuya traducción podría ser: “En el mundo del cibercrimen, los chicos malos trabajan de manera conjunta. Ellos comparten información; construyen ataques juntos”.

En este contexto, podemos advertir que los atacantes entienden mejor la estrategia de continuar aprendiendo en conjunto, si bien, no con las motivaciones más loables del mundo, si con la consigna de lograr “mover” la línea de lo conocido y enfrentarse a desafíos más interesantes y fuera de lo común. Cuando los “chicos malos” establecen formas de confrontar la incertidumbre o la exigencia de la complejidad de una tecnología o método de protección, estamos asistiendo a una manera renovada de “ver donde otros no ven” y a una estrategia de aprendizaje encarnada en una forma diferente de ver el mundo y reconocer patrones fuera del statu quo.

Revisar esta frase, es revisar nuestros propios patrones de comportamiento y asociación frente al desafío de la inseguridad de la información. Mientras muchos analistas insisten en el paradigma de la seguridad de la información, buscando victorias efímeras y llenas de aplausos, aquellos que siguen el rumbo de la información asimétrica, de las notas al margen de los manuales y reportes, entienden que sólo en el reconocimiento de nuestras propias debilidades, se encuentra la fuerza misma para continuar afianzando nuestra posición frente a la inevitabilidad de la falla.

Pensar como un “atacante” ha sido la consigna que muchas publicaciones y analistas ha sugerido para seguirle la pista a los “chicos malos”. Pero una cosa es sugerirlo y otra volverlo una práctica. Podríamos hacer muchas reflexiones y cuestionamientos éticos sobre invitar a las personas a pensar como “el malvado”, pero se hace necesario transitar en la mente, algunas veces inestables, de estos, para descubrir la lectura paralela que debemos hacer de la realidad, romper la inercia de nuestros modelos mentales y comprender una “realidad” que se escapa a la nuestra.

Pensar como el “enemigo”, no es algo novedoso o restringido para un grupo de personas o especialistas en algunos temas, es una forma de navegar en la mente inquieta de una persona que razona sin restricciones propias de nuestro entender, para revelar patrones de acción que están presente en nuestro contexto, pero que “nuestros lentes” no nos permiten ver. Bien anota, Drucker (2002), cuando menciona que la innovación responde a fuentes básicas, donde se encuentran entre ellas, las incongruencias y las ocurrencias inesperadas.

Ejercitarse en el razonamiento de los atacantes informáticos, es encontrarse con la forma como entienden la tecnología, las motivaciones para su explotación y las condiciones en las cuales ellos se hacen uno con ella. Dentro de las múltiples formas de alcanzar la mente de un “chico malo”, está la revelación y gusto por la incertidumbre. Mientras un analista de seguridad, claramente bien fundado en las modelos generalmente aceptados, puede limitar la incertidumbre en su actuar, para ser prudente y estar alineado con las normas internas y externas; un atacantes busca expandir el nivel de incertidumbre para crear con nuevas posibilidades, que bien sabe su contraparte no podrá ver por estar atendiendo restricciones propias de su rol.

Para lograr pasar de la sugerencia de pensar como los atacantes y hacerlo una práctica evidente en las organizaciones, se requiere un escenario experimental que cuente con recursos propios y alcances determinados, donde se pueda abrir la mente a renovadas fuentes de ideas, sin que se exijan resultados inmediatos o esperados. Un sitio como estos, deberá está fundado en un real compromiso de aprendizaje de la organización, que declarando que no sabe y quiere aprender, es capaz de asumir el costo que exige lanzarse a tener una “incubadora de innovación para la inseguridad de la información”, que no sabe qué efectos tendrá, pero que será un observatorio privilegiado del negocio, para divisar, al menos en un contexto conocido, cuáles pueden ser los patrones que se pueden advertir frente a los riesgos en sus flujos de información.

Pensar como el “atacante”, es una estrategia arriesgada, en la que no podemos dimensionar el retorno de la inversión de la forma como lo espera la lógica conocida, sino que puede hacerlo en cualquier momento y de manera inusual. De igual forma, es una estrategia que con supervisión inadecuada puede romper los límites de su diseño y ser víctima de sus propios deseos, una tentación natural cuando nos acercamos a la esencia misma de nuestra naturaleza caída.

Si la inseguridad de la información reconoce en la sabiduría del error, de la sorpresa, de lo inesperado, la fuente misma de conocimiento y renovación de su propia esencia; el pensar como el atacante nos confirma en nuestra pasión por desaprender, por dejarnos sorprender y encontrar con las contradicciones entre la tecnología, los procesos y las personas; nuevas excusas para revisar y analizar aquellas relaciones que hacen de nuestra realidad, un mundo más asincrónico, asimétrico y orquestado por un caos aparente, donde la vulnerabilidad o la falla escribe derecho con letras torcidas.

Experimentar y practicar “pensar como el atacante” debe ser más que una filosofía o un buen deseo; debe ser una necesidad y una forma de cuestionar nuestros modelos de protección, que nos permita retar los marcos metodológicos actuales, para fundar una cátedra paralela y exigente que apalanque las estrategias de generación de valor de la empresa, no como un agregado de la misma, sino como factor crítico de éxito y movilizador de nuevos negocios.

En este punto de la reflexión, muchos estarán pensando “¿no será muy arriesgado aplicar esta estrategia?”, “¿será que esto realmente se puede dar en una empresa?” o cuestionamientos semejantes, que hacen evidente nuestro sistemas de alertas propios de la sana prudencia y el analista de seguridad que todos llevamos dentro. No obstante lo anterior, este tipo de iniciativas responden a un nivel de madurez de la función de seguridad de la información y al posicionamiento de la misma en las organizaciones, pues los márgenes de utilidad que se puedan alcanzar con esta iniciativa, no se podrán evidenciar en el corto plazo, sino en el mediano y largo plazo, dadas las condiciones en las cuales se manifiesta la “innovación propia” de la inseguridad.

Dicen algunas personas que “no es bueno siempre tener la razón”, pues nos perdemos la oportunidad de ver otros puntos de vista y dejamos “líneas ocultas” en nuestras reflexiones. En este sentido, pensar como el atacante, es buscar siempre buenas razones para revisar las “consideraciones de otros”, encontrar las limitaciones de los argumentos y aprender a ver lo que subyace entre las líneas de código, los comportamientos humanos y diseños de los procesos. Un atacante no va sugerirte un forma de actuar, va a actuar para retarte a pensar, es decir, más allá de las motivaciones contrarias que este pueda tener, pondrá en la mesa de juego sus mejores habilidades para jugar con la incertidumbre y hacerte parte de su ecuación de análisis.

No hemos querido con este documento hacer una apología o defensa de los atacantes informáticos, sino asomarnos de manera silenciosa y prudente a su mente diferente y activa para comprender algunos de sus patrones y referentes, que puedan ser de utilidad para los responsables de la seguridad de la información, no como simples espectadores de sus acciones, sino como una forma de abrir la mente y el corazón, para que como se describe en las Sagradas Escrituras, podamos afirmar “por sus obras los conoceréis”.

Referencias

DRUCKER, P. (2002) The discipline of Innovation. The innovative enterprise. Harvard Business Review. August. Disponible en: http://www.engr.pitt.edu/mac/images-t/articles%20and%20docs/DisciplineofInnovation.pdf (Consultado: 6-12-2010)

Las nuevas posibilidades para el cibercrimen: el desafío de un ecosistema tecnológico

Los gerentes de seguridad de la información deben reconocer que ahora se encuentran en un ecosistema tecnológico, donde terceros hacen parte de su ecuación de seguridad y continuidad, dado que grandes jugadores como Microsoft, Google, Amazon, entre otros, hacen parte de los elementos fundamentales de la malla de interacción y operación que no deben descuidar so pena de encontrarse con pérdidas de la eficiencia de la operación y compromisos, posiblemente, de sus datos frente a la demanda de servicios crecientes en las organizaciones. (MATHER, T., KUMARASWAMY, S. y LATIF, S. 2009)

De otra parte, con el creciente uso de las redes sociales, los ambientes tridimensionales (second life) y las interacciones comerciales vía internet, se advierte un tráfico de información e intereses ocultos de terceros para identificar información de carácter financiero útil para alimentar redes criminales, que articuladas en contactos con operadores internacionales, son capaces de generar avanzados y sofisticados ataques con programas espías o códigos móviles a través de los navegadores de uso común sin despertar sospechas entre los cibernautas. Un escenario donde el dinero real, circula y se usa en un mundo virtual, generando una confusión evidente que pierde los límites entre lo que se vive en un ambiente simulado y las transacciones virtuales con flujo de autorizaciones de patrimonios reales.

El cuadro de la ciberdelincuencia en los próximos 10 años se expande con una tendencia que desde hace más de cinco años se viene desarrollando, apalancada en programas zombies que toman control de las máquinas de los usuarios, generalmente fruto de lo que podríamos denominar una pobre higiene informática, haciéndolos vulnerables a las trampas y artilugios de los desadaptados informáticos. Si bien, estas acciones de redes de programas “zombies” denominadas “botnets”, se ha manifestado con importantes ataques a infraestructuras de diferentes partes del mundo, se prevé que estas mismas posibilidades, se extiendan en un concepto semejante al de computación en la nube, generando nuevas posibilidades más profundas y menos rastreables, que podríamos denominar “fraude como servicio”.

Esta nueva tendencia del “fraude como servicio” es una estrategia de la criminalidad organizada que busca ofrecer al mejor postor las redes y posibilidades de interrupción o penetración masiva de infraestructuras o sitios, con el fin de llevar a cabo importantes ataques que muestren las nuevas capacidades de los delincuentes informáticos para ser un brazo armado de la ilegalidad del mundo real, ahora en el mundo virtual, donde las zonas de monitoreo y control son limitadas y donde pocas veces, las naciones llevan sus acciones con alcance trasnacional, pues saben de las barreras y diferencias jurisdiccionales que las restringen.

Complementario al escenario anterior, el fuerte desarrollo de las comunicaciones móviles y el empoderamiento de las personas con mayor capacidad de cómputo en sus manos, nos movemos rápidamente hacia el concepto del “locker digital en la nube”, cuya llave será el dispositivo móvil que podamos tener: iphone, ipad, smart phones, entre otros, lo que hace que los datos y la información personal comience a migrar a sitios diversos en la infraestructura dispuesta en internet, sin un aparente control por parte de sus dueños, retando a los proveedores de servicios para desarrollar buenas prácticas de seguridad y control que permitan aumentar la confianza de sus clientes frente a las amenazas constantes de pérdida de confidencialidad y/o disponibilidad de dicha información.

En consecuencia, una falta de atención a las amenazas de seguridad en un ambiente abierto e interconectado, crea un vector de ataque impredecible, que articulado con una “confianza inusual” de los jóvenes de ciudadanos digitales en los medios informáticos, establece un tejido oculto y desafiante que mimetiza a los atacantes, creando un ecosistema paralelo y dependiente donde los cautivos usuarios serán objeto de acciones indeseadas o en el peor de los casos, actos que atenten contra su integridad física. (COUNCIL OF EUROPE 2007, CANO, J., CAVALLER, V. y SABILLON, R. 2008)

Al tener un colectivo de visiones en un espacio prácticamente infinito como lo es internet, podemos tener grandes beneficios como alto niveles de transparencia y responsabilidad por lo que se hace o deja de hacer, pero de igual forma, una puerta para abandonar y evadir cualquier investigación (CANO, J. 2009) que trate de llegar a la verdad. Por tanto, construir una visión de seguridad global o al menos local, exige la creación de un espacio de confianza psicológica y tecnológica, que motive en los participantes, la aplicación de prácticas que limiten las acciones de los terceros no autorizados.

Por tanto, si queremos alcanzar un resultado evidente en la gestión de la inseguridad de la información y lucha contra el cibercrimen, debemos entender la brecha entre nuestra realidad y la visión deseada en un ecosistema tecnológico sano, resiliente y autocontrolado, para construir de esta forma, una ruta de medios ajustados con la exigencia de la inevitabilidad de la falla y la pasión por un fin, que no es otra cosa que “sobreponernos a nosotros mismos, descubrir las virtudes de otros y potenciar nuestros talentos y dones” y así poder responder con oportunidad, cuando nuestros maestros “la inseguridad y el cibercrimen” nos presenten una nueva lección.

Referencias

MATHER, T., KUMARASWAMY, S. y LATIF, S. (2009) Cloud Security and Privacy. O’Reilly.

CANO, J., CAVALLER, V. y SABILLON, R. (2008) Cibercrimen y ciberterrorismo. Dos amenazas emergentes en un contexto global. (2008) Memorias del I Congreso Nacional de Inteligencia. Universidad Rey Juan Carlos. Madrid, España.

COUNCIL OF EUROPE (2007) Cyberterrorism. The use of internet for terrorist purposes. Counter-terrorism Task Force. Council of Europe Publishing.

CANO, J. (2009) Computación Forense. Descubriendo los rastros informáticos. Editorial AlfaOmega.

Postura individual de seguridad de la información: Un hábito requerido para sobrevivir ante la inevitabilidad de la falla.

Cuando se lee en los principales medios informativos en el mundo sobre la amenaza de ciberguerras, sobre armas no convencionales soportadas en desarrollos tecnológicos, ciberataques y grupos o asociaciones técnicas y/o científicas que comprometen la seguridad de las infraestructuras tecnológicas de los gobiernos y naciones, o se filtran informaciones clasificadas como secretas o ultra secretas, como se presentó recientemente con Francia, se nos viene a la cabeza historias como las de Julio Verne, que en su momento desafiaron nuestro entendimiento y confrontaron nuestra realidad.

Sin embargo, hablar de fraude en un ambiente digital, de cibercriminalidad, de vulnerabilidades e inseguridad de la información ya no es desconocido en nuestro entorno; no obstante lo anterior, seguimos conquistados por la novedad de la tecnología y sus posibilidades, con una extraña confianza en ella, como si el proveedor cuidara de los detalles de seguridad y control, como parte inherente de la entrega del producto. En este sentido, cada uno de nosotros debe advertir que al estar en un ambiente de alta conectividad y componente informático, nos vemos expuestos a operar en un escenario donde se nos “pide” compartir información, detallar configuraciones de nuestros dispositivos móviles y muchas veces entregar las especificaciones de los medios tecnológicos propios para entrar en contacto con aquello que queremos o necesitamos. (GRAGIDO, W. y PIRC, J. 2011)

Como quiera que esta manifestación de una tendencia informática en la que nos encontramos indefectiblemente nos va a atrapar, se hace imperioso desarrollar y aumentar nuestra postura de seguridad de manera proactiva, que nos permita como ciudadanos de las redes, caminar con las medidas mínimas de seguridad y control, no para evitar ser alcanzado por la inseguridad de la información o la infraestructura, sino para ser más responsables y disciplinados en nuestras interacciones en el mundo digital que nos lleva más allá de la realidad en que vivimos. (GIRGENTI, R. y HEDLEY, T. 2011)

Hoy por los CIO – Chief Information Officer, o llamados Vicepresidentes o Directores de Tecnología de Información o mal llamados de Sistemas, se enfrentan al desafío de una sociedad altamente alfabetizada en temas tecnológicos, la cual le exige día con día mayor velocidad, mayor capacidad y mayor libertad de acción, para hacer de la experiencia de la tecnología en las empresas, una forma de aumentar la productividad de sus empleados. En este tenor, en la aparente libertad y posibilidades que se abren con los desarrollos tecnológicos, se esconden costos humanos, técnicos y procedimentales, que aún estamos por descubrir.

De otra parte, los oficiales de seguridad de la información, como ejecutivos responsables de las estrategias de protección de la información de las empresas, al igual que sus similares (CIO), sufren de las exigencias de los individuos, que demandan servicios y posibilidades que conquisten lo mejor de los dos mundos: la novedad y versatilidad de las tecnologías móviles e interactivas, con lo mejor de las condiciones de seguridad y control disponibles en el mercado. Así las cosas y sin perjuicio de las implicaciones que esta “espinosa” realidad establece, encontrar el balance ideal o al menos requerido para entregar lo mejor a los ansiosos “usuarios” es una labor donde ambos mundos deberán ceder en sus demandas y conciliar una posición intermedia, donde ninguno de los actores sea parte dominante.

Hablar de una sociedad digital, donde día con día se abren posibilidades y negocios novedosos con la información, la movilidad y la vida virtual, es entender una transición de un modelo de sociedad conocida y validada por comportamientos del mundo físico y real, a uno donde la vida transcurre siempre “en línea”, conectado y compartiendo información, donde las distancias no existen y los límites se desdibujan con un “click”.

Este es un momento histórico de transformación de la sociedad que conocemos y abrirnos a una nueva forma de interacción, que no permite demoras en la respuesta y entiende que en la movilidad esta la respuesta a su vida agitada y de comunicación, aún ésta no alcance el sentido real y formal que exige la misma.

Desarrollar una postura real y práctica de seguridad y control en una sociedad como la actual, en transición y concentrada en el movimiento permanente de información y tecnología, requiere integrar a nuestras acciones al menos cuatro elementos conceptuales y sencillos, que nos permitan contar con las alertas mínimas requeridas para caminar por el pedregoso mundo de la inseguridad de la información en un ambiente digital.

Siguiendo los conceptos expuestos por Westerman y Hunter (2007) en su libro, IT Risk. Turning business threats into competitive advantage, publicado por Harvard Business School Press en 2007, el lenguaje de los riesgos de la tecnología de información es una herramienta fundamental y básica que nos debe sensibilizar para avanzar en la construcción de una red de actividades cotidianas para asegurar una adecuada interacción con internet y todo lo que ella conlleva.

Según los autores, los temas de disponibilidad, control de acceso, exactitud y agilidad deben ser el nuevo modelo de entendimiento de nuestra relación con la avalancha de exigencias de movilidad y la realidad de la sociedad digital. Como se puede observar, estas cuatro palabras, no hablan de restricciones o conductas que requieran entendimientos sofisticados, sino más bien de acciones conocidas y disciplinadas para hacer de nuestra experiencia informática y tecnológica, una verdadera renovación permanente de nuestro entendimiento de la red y sus posibilidades.

Cuando hablamos de disponibilidad, no demandamos ni establecemos niveles de exigencia del 99.9% de operación de las plataformas de los proveedores de servicios de información, sino nuestras estrategias y acciones para estar preparados y continuar funcionando cuando el 0.1% se materialice. Esto es, tener la disciplina de mantener resguardados nuestros datos y la forma de tener acceso a ellos, mientras la condición de falla parcial o total se presenta. Así, la disponibilidad vista de esta forma, nos mantiene entrenados en la práctica de la prevención, que a todas luces resulta más económica que una actividad reactiva o de reparación.

De igual forma, cuando de control de acceso se trata, no estamos hablando de restricciones o formas de evitar que la información se conozca, sino de la forma cómo nosotros seleccionamos a quién(es) permitimos conocer nuestra información; hablamos del cuidado que tenemos para cuidar nuestros documentos personales y privados, del algoritmo personal que utilizamos para saber quién digno de nuestra confianza y cómo aseguramos que la información no toma caminos equivocados que terminen comprometiendo nuestra imagen, nuestras acciones e incluso poner en riesgo la vida misma o la de otros.

Revisar el tema de la exactitud, en inglés, accuracy, es advertir la gran huella digital que dejamos al navegar por internet, el conjunto de datos que constantemente estamos registrando en los diferentes sitios, que con el paso del tiempo se confunden y pierden su relación, por la renovación permanente de esta biblioteca 7x24x365 como lo es internet. Al no advertir esta realidad, la sombra digital, es decir, aquellas cosas que se puede decir con nuestra información, inmersa en los registros y documentos que dejamos al visitar la red, podrá ser susceptible de interpretación por los navegantes o utilizada por terceros inescrupulosos para crear los peores momentos de contradicción y riesgo, con un manejo inexacto de nuestra realidad, que cuestione incluso nuestros valores, actividades y manifestaciones dejando en entredicho lo que somos y hacemos.

La exactitud es esa responsabilidad que todos debemos tener con el manejo de nuestra información en cualquier escenario tecnológico, como esa conciencia permanente de nuestro actuar e interacción con la red, que nos permite mantener la prudencia en lo que compartimos, conversamos y revelamos, pues al final del día, todo lo que digamos, compartamos o revelemos será nuestra pesadilla o nuestra redención.

Finalmente la agilidad, es esa condición y característica que la tecnología debe brindar para hacer que las cosas pasen, ese entendimiento de cómo comprender las necesidades de los individuos y articular los modelos de negocios de las empresas. La agilidad, se alcanza sólo si se cuentan con buenos elementos de seguridad y control. Es decir, nadie es tan avezado y temerario (bueno, ¿algunos pocos?) de conducir un vehículo a muy alta velocidad, sin contar con un sistema o mecanismo de control que le permita detenerse cuando es debido. De igual forma, la agilidad en términos tecnológicos y en el paisaje de la red mundial de información, no podrá avanzar más rápido y de manera decidida, sin contar con unos buenos sistemas de seguridad y control, que permitan acelerar su desarrollo e integración con los diferentes actores sociales.

En este sentido, se hace necesario entender la agilidad en el contexto de los sistemas de protección y prácticas de seguridad de la información, que permitan tanto a los habitantes de la red, como a los proveedores, encontrar rutas alternas, que utilizando las condiciones básicas de aseguramiento de sus plataformas y las buenas práctica de protección y control de la información, establezcan la plataforma de aceleración que beneficie tanto a los individuos como a las empresas para alcanzar mayores niveles de desarrollo y generación de valor para sus accionistas y grupos de interés.

Considerando estas cuatro condiciones o elementos de reflexión, podemos establecer lo que podríamos llamar una postura individual de seguridad de la información que nos permitan mantener un nivel mínimo de paranoia administrable, que mantenga un sistema de alertas prudente y proactivo; que exija de nosotros una adecuada protección de la información, entendida como el hábito en el que desarrollamos una disciplina permanente para entender los riesgos a los cuales está expuesta, como parte natural de nuestro diario vivir en medio de una sociedad de la información y el conocimiento.

En consecuencia, cuando nos apropiamos de las prácticas de seguridad de la información, de nuestra preparación ante los sucesos inesperados, de nuestra responsabilidad sobre la circulación de la información, de nuestra forma de cómo brindamos acceso a ella, y entendemos que la velocidad de nuestra interacción con la red, depende de nuestros sistemas de seguridad y control, estamos creando un sistema de detección de amenazas inherente a las interacciones sociales digitales, que evoluciona conforme la exigencia de la red lo requiere, no como un estrategia de regulación impuesta por un tercero, sino como referente natural del mismo sistema, que cuestiona, enfrenta y descubre las intenciones de aquellos que quieren atentar contra el orden que balancea las más exigentes necesidades de los individuos y las condiciones de seguridad y control requeridas para su adecuado desempeño.

Si bien aún estamos muy distantes de este ideal, sea esta reflexión una excusa académica para cuestionar nuestra zona de confort y poner a tambalear la inercia misma donde descansa nuestra postura individual frente a la protección de la información.

Referencias

WESTERMAN, G. y HUNTER, R. (2007) IT Risk. Turning business threats into competitive advantage. Harvard Business School Press.

GIRGENTI, R. y HEDLEY, T. (2011) Managing the risk of fraud and misconduct. Meeting the challenges of a global, regulated, and digital environment. McGraw Hill

GRAGIDO, W. y PIRC, J. (2011) Cybercrime and espionaje. An analysis of subsersive multivector threats. Syngress.