El desafío de anticipar y detener los ciberataques a tiempo

Cada día se revelan nuevos hackeos, con empresas y dependencias gubernamentales siendo vulneradas, afectando a millones de usuarios en todo el mundo. Y a pesar de que existe todo un ecosistema de ciberseguridad compuesto por miles de organizaciones especializadas en seguridad de aplicaciones, gobiernos y ONGs, certificaciones y entrenamientos, seguridad en la nube, gobernanza, cumplimiento, privacidad, protección de datos, seguridad física, blockchain, identidad digital, servicios profesionales, operaciones de seguridad, seguridad de infraestructura, seguridad móvil, inversionistas, medios de comunicación, seguridad de transacciones contra fraudes, mercado laboral, consultoría, etcétera, tal parece que todo lo anterior no ha sido suficiente para detener al cibercrimen.

Como profesionales de la seguridad, es tentador pensar que con suficientes recursos podríamos alcanzar un equilibrio, o incluso superar, a los ciberatacantes. Después de todo, si tuviéramos un equipo completo de expertos altamente capacitados, fondos adecuados para adquirir las mejores herramientas defensivas y una operación defensiva totalmente madura, ¿por qué no podríamos alcanzar un estado de seguridad ideal? Parece una idea bastante lógica.

Sin embargo, no es tan sencillo como parece. Adelantarse a los ciberatacantes, anticipando e interrumpiendo sus ataques a tiempo para evitar su impacto total, parece imposible a gran escala por diversas razones.

En primer lugar, los profesionales de la ciberseguridad intentan obtener ventajas sobre los atacantes al cerrar brechas en sus defensas y prepararse para futuras amenazas. El problema radica en que adelantarse a los actores maliciosos implica que, si hacemos nuestro trabajo de manera impecable, podríamos anticipar sus planes o interrumpir sus actividades antes de que ocurran. Sin embargo, hay varias razones por las cuales esto no es posible.

Mientras las organizaciones deben diseñar, implementar, operar y mantener sistemas que realizan una multitud de funciones para mantener el negocio en marcha, los cibercriminales tienen un solo objetivo: interrumpir estos sistemas. No es una competencia justa: las organizaciones gestionan infraestructuras tecnológicas enormemente complejas, mientras que los ciberatacantes sólo se enfocan en corromperlas. Las probabilidades están abrumadoramente a favor del atacante; las organizaciones deben acertar el 100% del tiempo, mientras que ellos solo necesitan tener éxito una vez.

Otro punto a considerar es que las tecnologías, especialmente las tecnologías de información que los ciberatacantes explotan, están evolucionando tan rápidamente que las organizaciones siempre están rezagadas en su protección. Desde la lucha por parchear vulnerabilidades conocidas hasta la implementación de configuraciones seguras, los defensores siempre están reaccionando; este modelo es inherentemente reactivo y, por lo tanto, siempre presenta retrasos.

Además, es importante considerar que gestionar el riesgo no se trata de eliminarlo por completo, sino de reducirlo, compartirlo, mitigarlo y, en última instancia, aceptar ciertos niveles de riesgo. Debido a la escasez de recursos y a la necesidad de mantener las operaciones en marcha, siempre existirá un riesgo latente que impedirá alcanzar un estado ideal de seguridad, pues las organizaciones siempre estarán esforzándose por prevenir, responder y recuperarse, entre otras acciones.

Asimismo, las personas son una vulnerabilidad crucial en seguridad por varias razones bien conocidas: son propensas a la ingeniería social, cometen errores humanos y pueden representar amenazas internas. Además, a menudo muestran poco interés o incomodidad hacia la seguridad, lo que dificulta adquirir conocimientos básicos sobre ciberseguridad. Además, se ven atrapadas frecuentemente en un ciclo continuo y estresante de descubrir y aplicar soluciones, detectar y mitigar riesgos, y estar alertas y responder de manera activa.

Una estrategia de ciberdefensa avanzada no busca anticiparse a los ataques, sino construir sistemas que sean más robustos y puedan seguir funcionando incluso cuando componentes o sistemas adicionales sean comprometidos, algo que inevitablemente sucederá en algún momento. Al examinar detenidamente la estructura de nuestros sistemas actuales y sus posibles puntos de vulnerabilidad, podemos integrar mayor resiliencia desde el diseño inicial. Esto disminuye la necesidad de depender exclusivamente de la detección y la respuesta ante incidentes.

Es crucial contemplar sistemas autónomos y duplicados para proteger la infraestructura crítica. Aunque puede implicar costos adicionales, este enfoque ha demostrado ser altamente confiable durante extensos períodos en sistemas como la red eléctrica a gran escala o las redes de comunicaciones móviles.

En última instancia, los riesgos futuros son impredecibles. Por eso, la resiliencia implica no solo diseñar sistemas para enfrentar los riesgos conocidos, sino también crear sistemas que puedan mantener su funcionamiento básico incluso cuando componentes o sistemas relacionados fallen por riesgos aún desconocidos. En resumen, es crucial implementar capas de mecanismos de seguridad activables que permitan al sistema principal cumplir con sus funciones esenciales.

Aunque el modelado de amenazas y la planificación defensiva son cruciales, los riesgos teóricos a menudo están limitados por experiencias pasadas y no anticipan los riesgos futuros aún desconocidos. Por lo tanto, desarrollar resiliencia para el futuro implica enfocarse en diseñar sistemas que puedan experimentar fallos o degradación, sin importar la causa, asegurando que puedan mantener su funcionamiento esencial en cualquier circunstancia.

Es cada vez más desafiante igualar la diversidad de atacantes y métodos que utilizan. Los ciclos constantes de descubrimiento y actualización, detección y respuesta son cada vez más rápidos y difíciles de mantener. Cambiar la estrategia de seguridad hacia un enfoque de resiliencia desde el diseño es crucial para que las organizaciones estén preparadas ante los riesgos imprevistos del futuro.

----

* Fundador de SILIKN | Emprendedor Tecnológico | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker | Líder del Capítulo Querétaro de OWASP.

Twitter: https://twitter.com/silikn

Instagram: https://www.instagram.com/silikn

YouTube: https://www.youtube.com/@silikn7599