Materias Seguridad de la Información: Verdades Impugnables

Parece que todo lo que tenía cómo algo verdadero en mi juventud, ha sido revocado, refutado, rechazado o bien revisado.¹ Parte de esta situación la he tomado como algo difícil de entender, especialmente desde que tuve noticias sobre Santa Claus. Por otro lado, aprender a ver el mundo de una manera diferente, ha sido toda mi vida una fuente constante de excitación intelectual. En el campo de la seguridad de la información he visto una gran revolución desde los días del “Esto no se puede hacer”, hasta el actual “Esto debe hacerse”. Mi entusiasmo por nuestra profesión no sólo no ha disminuido sino que, más bien, ha aumentado enormemente en los últimos años - todavía unos pocos años - en los cuales ha sido reconocida la realidad de la amenaza de los ataques cibernéticos. Cuando aprendí mi profesión hubo ciertos principios que me cautivaron:

• Los recursos de información deben ser utilizados solo por las personas autorizadas para hacerlo.
• El cifrado es la forma más efectiva para proteger a la información de un uso indebido.
• La autenticación de la identidad es la base del control de acceso.

Estas y muchas otras verdades son parte de la sabiduría tribal del clan InfoSec, pero; ¿quién soy yo para desafiarlas? Sin embargo, puesto que los gobiernos, las bandas criminales y los terroristas se han puesto como objetivo atacar la seguridad de los sistemas de información, ya sea de individuos, corporaciones o gobiernos, me he visto forzado a revisar, y en algunos casos a abandonar, todo lo que tengo conocido como cierto.

Autorización, Cifrado e Identificación

¿El uso autorizado de la información es un principio inmutable? Este es un tema actual y controversial entre la Unión Europea y los Estados Unidos. En octubre de 2015, el Tribunal Europeo de Justicia dictaminó que la información de propiedad de los ciudadanos de la UE no estaba segura de la mirada indiscreta de las organizaciones de seguridad de los Estados Unidos, especialmente de la Agencia Nacional de Seguridad (NSA). Aunque la NSA no lo ha dicho oficialmente, pareciera que sus líderes sienten que la seguridad, frente a actos de terrorismo, se debe sobreponer a las preocupaciones acerca del uso autorizado o no de la información. Sin expresar mi opinión sobre esta materia, creo que los profesionales de la seguridad de la información necesitan, o bien, abandonar el principio de que sólo el uso autorizado de la información tiene permitido o defender esta posición. En este contexto, ya no es más una verdad indiscutible.²

Lo mismo puede decirse del cifrado. ¿El cifrado es un medio de seguridad verdaderamente eficaz si chicos malos pueden utilizarlo para alterar la misma seguridad? Muchas agencias de policía piensan que no mientras que muchos, del campo de la seguridad de la información, rechazan el argumento de proveer “puertas traseras” en los algoritmos de cifrado. Llego a pensar que la falta de estas puertas traseras hace más fácil a los delincuentes burlar a la policía; aunque aun así no puede ser descartado completamente el punto de vista de la Oficina Federal de Investigaciones (FBI) y de la comunidad de inteligencia.³

Los derechos de acceso y los privilegios son otorgados a individuos, presumiblemente basados en sus requerimientos laborales. Cada vez más, se están perpetrando más ataques cibernéticos, no solo por la intrusión de malware sino también por el robo y mal uso de las credenciales de los usuarios, especialmente de aquellos que tienen acceso privilegiado. Tal como lo señaló el Consejo de Examinación de Instituciones Financieras de US (US Federal Financial Institutions Council), “estos ataques incluyen el robo de credenciales de usuarios–tales como contraseñas, nombres de usuario y direcciones de correo electrónico–y otras formas de identificación que utilizan los clientes, empleados y terceros para autentificarse en los sistemas. Los ataques también incluyen el robo de credenciales del sistema, tales como certificados”.⁴ En resumen, una identidad autenticada no siempre es confiable.

No más evaluaciones de los riesgos de ciberseguridad

Todo lo anterior me conduce a cuestionarme dos de los capítulos del Libro de la Sabiduría Convencional, empezando por: Las evaluaciones de riesgo no deben ser realizadas como una parte componente de la seguridad cibernética.

Oh, sí, hay otros libros que insisten en las evaluaciones de riesgo, siendo no menor la propuesta por el Cybersecurity Framework del Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos.⁵ Todas las técnicas que se describen para llevar a cabo una evaluación de riesgo se basan en la probabilidad y la suposición de que el riesgo es igual a la probabilidad multiplicada por el impacto.⁶ Esta fórmula simplista ha sido totalmente destruida por el magistral libro de Nassim Nicholas Taleb, “El Cisne Negro: El Impacto de lo Altamente Improbable”.⁷

El argumento de la probabilidad se viene abajo debido a que es altamente improbable que una organización sea golpeada por una ataque cibernético el día de hoy. Incluso dentro de los 365 días que tiene el año la probabilidad sería de minutos, así que el riesgo anualizado utilizando la fórmula tradicional es extremadamente bajo. Por lo tanto, para muchas organizaciones, el resultado de realizar una evaluación de riesgo sería para concluir que los ataques cibernéticos no son una amenaza para ellos y que, por lo tanto, no es necesario hacer algo.⁸

El factor determinante no es la probabilidad de la amenaza de un ataque cibernético, sino su credibilidad. Si una amenaza es creíble, la Administración debe hacer algo al respecto, aún si esto implica informar la aceptación del riesgo. Lamentablemente, los ataques cibernéticos son una amenaza cierta para todas las organizaciones. En la época actual, nadie de la administración de una empresa de tamaño mediano puede decir, “Oh, sin duda, podríamos ser atacados, pero oh, qué diablos, juguémonos nuestra posibilidad de no ser atacados”.⁹

Así que, si usted igual tiene que realizar una evaluación del riesgo, aquí está el proceso que sugiero para hacerlo:

1. ¿Los ataques cibernéticos son un riesgo cierto? (Sí/No)
2. En caso afirmativo, aplique suficientes controles de seguridad.
3. Si no, repita el paso de la letra A.

Caídas del sistema

Otra revisión de las creencias provocadas por la aparición de las amenazas cibernéticas es la siguiente: tratar a todas las fallas del sistema como si estas se hubieran originado por ataques cibernéticos.

Desde que existen las tecnologías de la información, ha habido caídas del sistema. Estoy seguro que Alan Turing¹⁰ bajó su cabeza sobre sus tubos de vacío preguntándose qué había salido mal. Pero incluso en tiempos de guerra, dudo que Turing nunca haya pensado que la causa del fracaso en su sistema hubiera sido un ataque del enemigo. Aún hoy en día, cuando un sistema se va a pique, casi todo el mundo piensa en “error” antes que decir, “oh, esto debe ser un ataque cibernético”.

Esta forma de pensar tiene que cambiar. En vez de asumir que algo malo ha ocurrido, hasta el momento en que se pruebe que la causa de la falla fue realmente un ataque cibernético, las organizaciones deben reaccionar, primero, como si hubiesen sido atacadas hasta que esa presunción pueda ser descartada. Sí, habrá muchas falsas alarmas pero esto no debería afectar mucho el tiempo promedio necesario para reparar el sistema caído. Cualquiera sea la causa de una caída o falla, los técnicos deben localizar el error que causó la falla, pero si ellos no tiene una disposición mental tal que les permita anticipar una causa maligna, es poco probable que la vean aun si ésta está allí presente. El tiempo que toma eliminar un ataque cibernético como causa de la falla del sistema es, mínimo en comparación con el tiempo que toma revertir el daño que podría causar un ataque real. (Tal vez las fuerzas militares asumen que están bajo ataque cuando sus sistemas se caen. Si se me permite, me gustaría escuchar de alguien que pueda describir el pensamiento militar en esta materia.)

Supuestos imperfectos

En los últimos años, he estado enfocándome en varios aspectos de los ciber riesgos más que en cualquier otro tema. En parte, porque actualmente éste es el mayor desafío en el dominio de la seguridad de la información. La paz mundial y el cambio climático son retos mayores pero nosotros, los profesionales de la seguridad, no tenemos mucho que aportar a la solución de estos problemas. La Ciberseguridad, como he dicho anteriormente en este mismo espacio, está sobre y más allá de la seguridad de la información.¹¹

Los ataques dirigidos por enemigos poderosos, nos están obligando a reconsiderar casi todo lo que pensábamos y sabíamos acerca de la protección de los recursos de información. La idea central de lo que he escrito aquí es que, deberíamos estar abiertos a revisar lo que hoy creemos que es una verdad, porque los delincuentes son muy buenos en encontrar defectos en nuestras creencias compartidas, pero de supuestos imperfectas.

Notas

¹ He parafraseado –o francamente robado– esta línea de la obra “Da” del dramaturgo irlandés Hugh Leonard.
² Farrell, Harry; “Safe Harbor and the NSA”, Washington Monthly, 17 de diciembre de 2015
³ Sanger, David E.; “Las Nuevas Tecnologías le dan al Gobierno amplias formas para rastrear Sospechosos, Estudiar Hallazgos”, New York Times, 31 de enero de 2016, www.nytimes.com/2016/02/01/us/politics/new-technologies-give-government-ample-means-to-tracksuspects-study-finds.html
⁴ Departamento del Tesoro (Hacienda), “Los Cyber Ataques comprometen las Credenciales de Declaración Conjunta”, Office of the Comptroller of the Currency, USA, 30 de marzo de 2015, www.occ.treas.gov/news-issuances/bulletins/2015/bulletin-2015-19.html
⁵ National Institute of Standards and Technology, “Marco para la mejora de la Infraestructura Crítica de la Ciberseguridad”, 12 de febrero de 2014, USA, p. 22-23, www.nist.gov/cyberframework/
⁶ Ross, S.; “Técnicas Efectivas para la Gestión del Riesgo de Continuidad, Métricas”, TechTarget, 2009, http://searchcompliance.techtarget.com/tip/Effective-techniques-for-continuity-risk-management-measurement.
⁷ Taleb, N. N.; “El Cisne Negro: El impacto de lo altamente Improbable”, Random House, USA, 2007
⁸ Ibíd., p. 40
⁹ Gustke, F.; “Ningún Negocio es Demasiado Pequeño para no ser Hackeado”, The New York Times, 13 de enero de 2016, www.nytimes.com/2016/01/14/business/smallbusiness/no-business-too-small-to-be-hacked.html?_r=0.
¹⁰ Alan Turing, 1912-1954, fue uno de los grandes genios del siglo 20^th. El conceptualizó la computadora tal como hoy la conocemos, en la década de 1930 y, durante la II Guerra Mundial, automatizó la ruptura del código Alemán Enigma.
¹¹ Ross, S.; “Frameworkers del Mundo, Uníos, Parte 2”, ISACA Journal, vol. 3, 2015, www.isaca.org/resources/isaca-journal/issues