Repensando el factor riesgo en un escenario digital

terremoto

Existen habitualmente dos maneras de afrontar el riesgo: la local o la global. Y cada una compete a una serie de potenciales acciones que pongan en peligro un grupo de bienes específicos.

Por explicarlo de otra manera, en una casa puede ocurrir varios sucesos: Un robo, un incendio, un terremoto o una inundación.

Cada uno afecta de una u otra manera a los bienes que hay en la casa, pero su impacto es diametralmente distinto en el caso de los dos primeros y los dos segundos.

Los robos y los incendios ocurren, generalmente, a nivel individual. Y presuponiendo que se controlen a tiempo, no son escalables. Por contra, un terremoto o una inundación no ocurren por separado en un único establecimiento, sino que afectan a un barrio o pueblo entero.

Y cada uno es un riesgo que hay que tener en cuenta. Mientras que los dos primeros tienen un ámbito de actuación individual , los dos segundos son masivos y escalables. Le cuento todo esto porque, pese a la concepción que habitualmente tenemos del riesgo, en el día a día estamos más expuestos a riesgos del segundo tipo que del primero. Y si me apura, con algunos añadidos que los hacen aún más nocivos.

El tren digital

Frente a la figura de un robo, un incendio, un terremoto o una inundación física, los ataques digitales operan en un nivel de abstracción suficiente como para que además de ser profundamente escalables, sean automatizables y dirigidos.

Me explico:

A un cibercriminal únicamente le hace falta encontrar una vulnerabilidad en una tecnología específica (riesgo que podríamos considerar local) para luego automatizarla y distribuirla masivamente (un riesgo global).

Donde antes ese ataque afectaba a una única víctima, ahora lo podrá hacer en todas aquellas a las que de un u otra manera tenga alcance. Y operará a expensas del agresor, cosa que no ocurre con los riesgos físicos, habida cuenta de que ese malware o lo que sea puede seguir funcionando incluso cuando el atacante está durmiendo. Para colmo, el creador del ataque puede automatizarlo hasta el punto de que sean terceros los que se lleven la autoría del mismo (véase CaaS, MaaS y demás servicios bajo demanda de la industria del crimen).

Cuando un ladrón intenta acceder a una casa, puede que se encuentre frente a eventuales problemas que acaben por hacer fracasar el ataque. Esto se debe a que aunque estemos hartos de enfrentarnos ante cerraduras de puertas y ventanas, lo mismo a la que llegamos, y aunque sea semejante al resto, plantee un leve cambio mecánico que hace inoperativas nuestras herramientas.

En el mundo digital esto no pasa, ya que una vulnerabilidad en un sistema digital específico es una vulnerabilidad en cualquier otro terminal que tenga el mismo sistema. Una llave de puerta de apertura magnética de un hotel requiere un código maestro digital que es exactamente el mismo en el resto de puertas de dicho hotel. Sin excepciones.

Para colmo, se puede escalar masivamente. Y para colmo, cuenta con una intencionalidad que no suele estar asociada a riesgos de tipo global.

Volviendo a los ejemplos anteriores, lo más normal es que una inundación o un terremoto vengan dados por criterios puramente aleatorios (climáticos y medioambientales), ajenos afortunadamente al interés humano. Un ataque digital no, lo que significa que dicho ataque puede evolucionar según evolucionen las medidas que la víctima ponga para defenderse.

Hay por tanto arbitrariedad, y eso los vuelve aún más peligrosos.

¿Cuál el problema entonces?

Lo definía muy bien Schneier en un comentario en Edge (EN).

El problema de todo esto es que seguimos pensando en riesgo local, y eso se ve reflejado en la manera que tenemos de afrontar los ataques digitales.

Todavía pensamos en la seguridad del automóvil en términos de ladrones de automóviles que roban automóviles manualmente. No pensamos en que los hackers tomen remotamente el control de los coches a través de Internet. O bien, deshabiliten remotamente cada coche a través de Internet. Pensamos en el fraude electoral como personas no autorizadas que tratan de votar. No pensamos en una sola persona u organización que manipule remotamente miles de máquinas de votación conectadas a Internet.

El riesgo, y por ende, la seguridad de cada vez más elementos críticos en nuestra vida está siendo diseñada bajo criterios que no cubren las características reales de los ataques:

  • Automatizables.
  • Delegables.
  • Escalables.
  • Omnipresentes.
  • Arbitrarios.
  • Evolutivos.

Es el mismo problema al cual acudía para explicar en una revista corporativa (todavía no ha salido el número, así que no puedo enlazar) las diferencias con el robo físico antes y después de la llegada de los transportes públicos.

Gracias al carro, y más adelante al ferrocarril, pudimos prosperar como sociedad, acercando a los que estaban lejos y generando un entorno más rico en cuanto a sinergias poblacionales. Pero con ello también facilitamos la vida a los ladrones, que de pronto pasaron de poder realizar sus fechorías a nivel individual (atracar en un camino a una familia), a hacerlo a la vez con varias de ellas (una caravana de carros), o incluso con decenas (todo un tren).

Internet es un tren con cinco mil millones de pasajeros. Basta con que haya un ladrón capaz de encontrar la manera de entrar en uno de sus vagones para exponer la seguridad de millones de potenciales víctimas.

Y pese a que somos conscientes de ello, estamos desarrollando un entorno regido por dispositivos permanentemente conectados que son incapaces de actualizarse automáticamente. Que en la mayoría de los casos, vienen preconfigurados por defecto, y no ofrecen al usuario o cliente la manera de parametrizarlos a su gusto.

Un Internet de las Cosas que tan pronto nos cuenta los pasos o nos permite pedir papel higiénico con un solo click, como controla la insulina en sangre de un diabético o el ritmo del corazón de paciente cardiovascular.

Hablamos de infraestructuras críticas expuestas a la red que, de ver comprometida su seguridad, podrían acabar con la carrera económica de todo un país, o envenenar a todos los habitantes de una ciudad.

Tenemos que empezar a tomarnos en serio el riesgo global de los sistemas digitales. En pensar en todas esas características de las cuales hablaba unos párrafos más arriba (automatizable, delegable,…), y obrar en consecuencia con defensas que como mínimo estén pensadas en su fase de diseño para un escenario semejante.

Nos va literalmente la vida en ello, por cierto.