Revisando los datos de los reportes internacionales, un gran porcentaje de ellos coincide en que los ciberataques exitosos han crecido y que los ciberdelincuentes han aumentado sus arcas con el pago de extorsiones a nivel global. Las noticias y los eventos confirman que los adversarios van avanzando y ganando margen de maniobra frente a las capacidades actuales y modificadas de las organizaciones (WEF, 2024). Pareciera que se adaptan rápidamente a los ajustes y nuevas funcionalidades que se incorporan en las organizaciones para detectar sus nuevas estrategias. En otras palabras, hacen pensar a los analistas que es posible identificarlos, cuando es todo lo contrario, mantienen la atención del defensor en aquello que ellos quieren que se vea. La aplicación del engaño a plena luz del día, como una forma de mantenerse invisible a los controles empresariales.
Esta forma de operación se ha convertido en la norma de los atacantes en la actualidad, un ejercicio de engaño y distracción permanente que las herramientas y los analistas no logran identificar por mantener su atención en aspectos conocidos y estandarizados (que son necesarios observar) de su operación y que al tiempo, generan la opacidad de las acciones de los adversarios comoquiera que la confianza en lo conocido y la comodidad de la detección automática generan un halo de confianza y tranquilidad que deteriora la atención a los detalles y la vigilancia de lo “normal”.
Hasta el momento las buenas prácticas y estándares han marcado la ruta de la estrategia de protección de las organizaciones, lo que les ha permitido avanzar en sus condiciones de aseguramiento de riesgos conocidos y el seguimiento al cumplimiento de sus exigencias frente a los reguladores (Allianz, 2024). No obstante lo anterior, los atacantes han logrado mantenerse activos y exitosos, habida cuenta que la inteligencia que éstos aplican sobre la infraestructura de una organización termina siendo cierta y confirmada, lo que le permite adelantar sus planes con la certeza de que en algún momento, si las cosas no cambian, lograrán superar la visión estandarizada y conocida que ellos saben de las máquinas de la organización, muchas veces mejor que los administradores especializados de las mismas.
Así las cosas, es claro que el reto no está solamente en mantener y asegurar las buenas prácticas conocidas: parchear lo crítico, cambiar las contraseñas (o tener esquemas dinámicos), verificar (y calibrar) los controles, atender los incidentes, cuidar y desarrollar la cultura de protección y claro, clasificar la información (Scherr et al., 2022), sino en reconocer que existe un tablero de juego, que algunos llaman infinito, donde cada movimiento de uno de los participantes demanda y confirma una nueva jugada del contendor. En este sentido, los profesionales de ciberseguridad/seguridad deben cambiar de estrategia y empezar a tomar una perspectiva más holística para no sólo ver el árbol, sino el bosque y cómo se comporta a lo largo del tiempo en diferentes condiciones de tiempo, modo y lugar.
Retando la estrategia actual de ciberseguridad
Al respecto, la sabiduría oriental ofrece algunas ideas para reflexionar y aplicar frente a esta realidad asimétrica que plantea el adversario en la actualidad. Sun Tzu, delinea luces que se pueden adaptar a la realidad de los defensores digitales como fundamento para repensar su estrategia y situar ahora el concepto de defensa, desde la lectura de su adversario y sus capacidades. Se afirma en el libro “El arte de la guerra”: (Tzu, s.f.)
“Un maestro experto en las artes marciales deshace los planes de los enemigos, estropea sus relaciones y alianzas, le corta los suministros o bloquea su camino, venciendo mediante estas tácticas sin necesidad de luchar”.
“Deshacer los planes del enemigo”. El enemigo al igual que su contraparte, en el contexto militar, desarrolla toda estrategia de acción basada en la inteligencia previa. Contar con información concreta, real y cierta es el insumo básico para movilizar acciones que permitan calcular qué tanto es posible afectar al contario, cómo se puede avanzar en un engaño creíble y cómo lograr mantenerlo infiltrado sin que sus mecanismos de defensa lo noten. En este sentido, la inteligencia de amenazas previa y los estudios de patrones inusuales deben convertirse en la carta de navegación base de los defensores cibernéticos, no sólo para estudiar al oponente, sino para diseñar la forma de deteriorar su inteligencia sobre su objetivo, aumentando de esta forma el incierto en su estrategia y por tanto, revaluar sus planes de avance y ataque.
“Estropear sus relaciones y alianzas”. Las acciones de los ciberdelincuentes están fundadas en equipos de trabajo y relaciones estratégicas que articulan un conjunto de acciones que terminan doblegando cualquier esfuerzo de defensa que se pueda plantear. En este sentido, estudiar la dinámica del ecosistema digital donde operan, los diferentes participantes de las operaciones y cómo se articulan las acciones adversas, permite identificar los puntos más vulnerables de dicha cadena, que si se pueden aprovechar, pueden comprometer o interrumpir sus objetivos. A pesar de la flexibilidad que pueda tener el ecosistema en mención, lograr infiltrar o enfrentar a los socios estratégicos, puede generar una superioridad cognitiva (Paulauskas, 2024) que podrá ser capitalizada desde la perspectiva de la defensa activa.
“Cortar los suministros”. Tanto adversario como defensor cuenta con una cadena de suministro donde participan distintos actores que hacen realidad sus planes. En este sentido, los proveedores de tecnología de seguridad/ciberseguridad, sus apuestas en la nube y los algoritmos basados en inteligencia artificial, se convierten en objetivos naturales por parte de los adversarios, para lograr desestabilizar la organización y su dinámica de negocio al concretar la explotación de vulnerabilidades o generación de comportamiento no previstos en dichos productos o servicios. Cortar los suministros a los adversarios, implica tener un estudio específico de la amenaza que implica para la organización, detallando sus capacidades y acciones previas, para encontrar la manera de interrumpir sus planes o revelarlos antes de que tengan éxito. Esto se puede lograr a través de tecnología de blanco móvil (Cai et al., 2016), que permite a la organización ver y estudiar al adversario en tiempo real, para desde allí, ajustar la estrategia de defensa basada en distracción, engaño, demora y disuasión.
“Bloquear su camino”. Si hay algo que reta todo el tiempo a un adversario es, “cuando todos los caminos están bloqueados, siempre se encuentra una manera”. En este ejercicio, no se juega con la capacidad de hacer daño del adversario, sino con su comportamiento, con el tiempo y necesidad que tiene, y particularmente con el logro de su objetivo. No es una carrera de velocidad, sino una maratón donde cada participante sabe “cuando entrar en velocidad de crucero”, “cuando acelerar”, “cuando desacelerar”. Es un desafío de tranquilidad y perseverancia, que se debe imponer por encima de la desesperación y la falta de claridad de las acciones. Bloquear un camino, más que limitar un acceso y festejar que no tuvo éxito, es afectar la cadena de suministro y motivar movimientos que rompan el manto de la invisibilidad tan cuidado y perseguido por el atacante.
Un quinto elemento de reflexión, se puede extraer de una frase de Napoléon Bonaparte: “Cuando tu enemigo esté ejecutando un movimiento en falso, nunca lo interrumpas”. Si se han aplicado las condiciones previas, el defensor tiene a su favor las condiciones para confundir a su adversario y hacerle creer que tiene control y margen operacional sobre la infraestructura. Este ejercicio deberá ser creíble y viable para el adversario, comoquiera que si no se adelanta de forma estratégica, planeada y dirigida, podrá exponer su estrategia y crear un escenario adverso para la organización. En palabras de la sabiduría oriental: “deja que tu enemigo suba al tejado, una vez este ahí, quita la escalera”, crear la ilusión del control en tu adversario es el reto que permite habilitar la inteligencia de amenazas permanente eficaz en la estrategia de defensa cibernética.
De esta forma, las capacidades de la ciberseguridad empresarial deberán estar orientadas al desarrollo de un perfil estratégico de sus talentos en ciberseguridad para que centrados en la promesa de valor del cliente, la declaración del apetito de riesgo de la empresa, los terceros que acompañan la estrategia de la compañía y las capacidades cibernéticas disponibles, puedan plantear un tablero de juego con sus adversarios donde es posible ver el juego de forma global, hacer un seguimiento de sus movimientos y plantear alternativas de jugadas que sorprendan a su adversario, esto es, en palabras de Sun Tzu (s.f.)
Fuente: Jeimy Cano, Ph.D, CFE