EL ADVERSARIO DIGITAL Y EL ARTE DEL ENGAÑO
INTRODUCCIÓN
En el reto de anticipar las amenazas emergentes en un contexto como el actual reconocer y estudiar al adversario se convierte en un elemento clave para continuar abriendo espacios de aprendizaje y deconstruyendo las “verdades” hasta el momento establecidas. En este contexto, el modelaje de amenazas (Cano, 2020) ofrece elementos para detallar las acciones de los agresores y establecer estrategias que movilicen decisiones claves de los ejecutivos de seguridad para mantener la confianza de la alta gerencia en el desarrollo de las promesas de valor de la empresa a sus clientes.
Los adversarios digitales se convierten en un elemento fundamental de los modelos de seguridad y control, como quiera que reconocerlos como tal, implica cambiar la manera como se vienen aplicando las buenas prácticas y los estándares más reconocidos de la industria. Esto es, entender que los movimientos de los agresores muchas veces no responden a los riesgos conocidos definidos y que aseguran los normas internacionales, sino que establecen un escenario de acción que combina y crea zonas de incertidumbre que escapan al control de los mecanismos de protección instalados en las organizaciones.
Por tanto, entrar en la zona de la experimentación y las simulaciones en los temas de riesgos y amenazas emergentes, es entrar en el escenario natural del adversario, para encontrar en el error y los resultados inesperados, formas y estrategias distintas para avanzar y tratar de anticipar sus posibles movimientos, y así crear zonas de incertidumbre en el modelo de gestión de riesgos del propio atacante (Edmondson, 2011). Cuando entendemos que el incierto no es el enemigo o aquello que debemos limitar, cambiamos la lectura de la seguridad preventiva y forense, por una defensiva y anticipativa.
En consecuencia, al igual que las organizaciones cuando quieren cautivar al consumidor, definen una estrategia de “conocimiento del cliente”, con el fin de explorar en sus respuestas sus necesidades, expectativas y exigencias de experiencia (Puromarketing, 2014), de igual forma es importante establecer un marco de preguntas, aun con pocas respuestas, para reconocer los posibles agresores de la empresa, sus expectativas, sus capacidades, sus intereses y motivaciones con el fin de diseñar escenarios y simulaciones que permitan a la organización preparar y anticipar sus respuestas ante los primeros signos o señales débiles de sus movimientos.
El analista debe cambiar su forma de actuar y comprender las acciones de
los agresores con el fin de aumentar su capacidad de defensa y anticipación
ALGUNAS PREGUNTAS PARA EL ADVERSARIO DIGITAL
Haciendo una adaptación de las preguntas que generalmente se le hacen a los clientes para conocerlos, se proponen algunas que permitan explorar las condiciones particulares de los adversarios. Las preguntas son:
• ¿Cuáles son tus objetivos a corto y mediano plazo? Responder esta pregunta muestra la prospectiva de las acciones que tiene prevista y los escenarios de acción que tiene en mente para crear el incierto en las empresas.
• ¿Cuál es tu punto fuerte? Esta pregunta busca indagar sobre aquellas capacidades y fortalezas que el adversario tiene o ha desarrollado generalmente en conjunto con otros apoyos.
• ¿Cómo consiguen captar tu interés? Este interrogante habla de explorar las motivaciones y orientaciones del agresor. Qué es lo que lo mueve y lleva a concretar sus acciones y lograr sus objetivos.
• ¿Qué nivel de agresión estás dispuesto a ejecutar? La respuesta a este cuestionamiento habla de la profundidad del ataque. Hasta dónde está dispuesto a llegar para cumplir con sus objetivos.
• ¿Qué es lo que más te gusta de tu proyecto actual? La respuesta a esta pregunta define y confirma las motivaciones del agresor, su sentido de logro y afectación de la organización objetivo.
Si bien estas cinco preguntas y sus respuestas serían material de estudio e interés para los analistas de seguridad y control, es poco probable que las podamos tener de manera anticipada. Luego, considerando aquellos activos de información sensibles, la arquitectura de tecnología de información disponible, los flujos de información entre procesos, los retos de la amenaza interna y la visibilidad y nivel de atracción de la empresa en su contexto actual, es necesario diseñar escenarios para darle respuesta a estas preguntas.
Diseñar un escenario en prospectiva, no busca anticipar el futuro, ni menos tratar de predecirlo. Es plantear un marco de análisis y revisión para ver posibles formas de actuación y experiencia de los adversarios, con el fin de ajustar las prácticas actuales y anticipar los cambios que se deben dar al interior de la organización para preparar la respuesta frente a los eventos inciertos que se puedan presentar (Cano, 2014).
Muchas organizaciones pueden ver señales débiles en el entorno que pueden ocasionar daños o afectaciones para sus negocios, y no actuar o explorar con mayor detalle sobre las mismas. Esta actuación lo que configura y cultiva con el tiempo es un escenario de sorpresa predecible, que termina afectando la empresa y sus objetivos a mediano y largo plazo. Es decir, al sobrevenir lo que se observó previamente como algo “débil” en el horizonte, no es posible tener margen de actuación que amortigüe sus efectos adversos (Bazerman & Watkins, 2004).
Estudiar al adversario, más allá de entrar en la dinámica de la mente del enemigo y sus motivaciones, es darle forma a un mapa de comportamientos y de información asimétrica sobre un territorio desconocido, con el fin de identificar algunos archipiélagos de certezas sobre sus próximos movimientos. No es un ejercicio de perfilación o caracterización que encuadre sus acciones, sino una zona de encuentros y desencuentros con la dinámica de los ataques, así como una oportunidad para desconectar lo que sabemos a la fecha y conectar nuevos puntos para superar la zona cómoda que nos dan las “buenas prácticas”.
El atacante establece un puesto de observación “seguro”
en el que aprende y espera el momento oportuno
donde la ventana de oportunidad le dé la mayor eficiencia de sus acciones,
con el menor desgaste y la mínima posibilidad de ser identificado
POCAS RESPUESTAS PARA EL ANALISTA DE SEGURIDAD Y CONTROL EN EL CONTEXTO DIGITAL
Sin lugar a dudas entender la asimetría de los ataques digitales ofrece una oportunidad para mejorar y potenciar las capacidades de los analistas, por tanto, es clave que dicho contexto se traduzca en el cuestionamiento de las certezas que proveen las normas de seguridad y control disponibles a la fecha.
Lo anterior se traduce en que no podemos estar mirando hacia el futuro y diseñando prospectiva, con indicadores que miran al pasado y a las lecciones aprendidas. Mirar lo que ocurrió es una manera de entender qué hicimos, qué dejamos de hacer y sobremanera qué ignoramos. Todo esto es parte de lo que se denomina lecciones aprendidas, las cuales están basadas sobre hechos ciertos que posiblemente no se den nuevamente en el futuro de la misma forma y por lo tanto, cimentar las siguientes acciones sobre estos eventos, pueden generar nuevas sorpresas (algunas predecibles) que frustren los esfuerzos de los analistas.
Por consiguiente, los profesionales de seguridad deben cambiar sus métricas de gestión desde una perspectiva forense (o feedback) que busca explicar qué pasó, a una de prospectiva (o feedforward) donde empiecen a mirar posibles eventos y afectaciones emergentes para la empresa, número de escenarios que se han simulado, los impactos y ajustes que se hicieron a los mecanismos de protección actuales, los nuevos adversarios identificados, las tendencias que se están evaluando y los prototipos de nuevas estrategias de seguridad que se van a probar.
De esta manera, los analistas, si bien no van a tener todas las respuestas, sí van a ampliar su espectro de análisis y sus ventanas de oportunidad para poder anticipar y defender a las organizaciones, frente a los embates novedosos e inciertos que puedan generar los atacantes. Entrar en un cambio de perspectiva como el que se menciona en esta reflexión, es cambiar la forma como se concibe la seguridad y el control en la organización, y entender que los riesgos evolucionan y se transforman de igual forma que evoluciona y cambia el entorno.
Los analistas de seguridad y control deben tener ahora en su base conceptual de trabajo el concepto de los riesgos líquidos, que son aquellos que se “nos escapan entre las manos” que son viscosos y se desplazan sobre cualquier superficie, afectando diferentes elementos y grupos de interés. Riesgos cuyo tratamiento no es estandarizado y que requiere una manera distinta para su identificación y aseguramiento (Ray, 2019).
Si lo anterior es correcto, habrá que pasar de una estrategia que busca asegurar el éxito de la gestión de riesgos de seguridad basada en el menor número de ataques exitosos, a una donde el umbral de agresiones exitosas está previsto y cómo la organización sabe responder y aprender rápidamente de dichos eventos, sin perjuicio del normal y exigente afinamiento de los mecanismos tradiciones de seguridad y control instalados y vigentes en las empresas.
Esta nueva vista para los analistas demanda de las organizaciones y de las expectativas de los ejecutivos de las empresas, salir del entendimiento del “cero riesgo” o “seguridad 100%”, para entrar en la lectura del error como parte del proceso, lo que permite y habilita la construcción y consolidación de una estrategia de resiliencia organizacional y digital frente a las apuestas novedosas de los atacantes (Woods, Dekker, Cook, Johannesen & Sarter, 2010).
En concreto se busca (Edmonson, 2018):
• Enmarcar los esfuerzos de las prácticas, procesos y tecnologías de seguridad y control: esto es establecer las expectativas sobre los errores y fallas que se pueden encontrar, la incertidumbre inherente de vulnerabilidad que hay en la infraestructura y la latente amenaza interna, y el reconocimiento de la interdependencia de los diferentes elementos de la organización frente a la promesa del valor de cara al cliente.
• Enfatizar el propósito de protección como un ejercicio de umbrales y aseguramiento: es decir, identificar aquello que es de interés para el adversario, por qué es tan atractivo para él y cuáles son sus objetivos finales. Esto implica poner sobre la mesa los objetivos estratégicos de la empresa, la lectura de los intereses corporativos, qué riesgos se van a tomar y cuál es la capacidad requerida para enfrentar una situación adversa.
Un paso a paso que los atacantes conocen y saben que por lo general van a seguir los encargados
de seguridad con el fin de restablecer el servicio, dejando ventanas de operación para
los agresores, donde pueden tomar posiciones claves dentro de la organización, sin ser detectados
REFLEXIONES FINALES
Los analistas y los adversarios en el entorno digital están enfrentados en un escenario real que generalmente no conocen completamente. Mientras los analistas reconocen sus estadísticas y capacidades para identificar y controlar posibles acciones de los atacantes, los adversarios poco les preocupa tales características, pues su objetivo es estudiar y analizar los puntos ciegos de los modelos de seguridad y control para poder pasar desapercibidos, o generar la suficiente distracción y confusión, para procurar acciones erróneas por parte de los profesionales de seguridad.
La economía del atacante es la base conceptual de sus acciones. El atacante no se desgasta en aquellos lugares de mayor concentración de seguridad, explota todo el tiempo las cegueras cognitivas de los analistas y las organizaciones, para actuar debajo de los radares de las tecnologías de seguridad y control instaladas en las empresas. Su mejor estrategia consiste en poder ingresar sin ser visto y permanecer allí sin ser detectado, todo el tiempo que sea necesario para aprender la dinámica de la organización y sus propias debilidades y limitaciones.
Muchas veces la respuesta a un ataque digital termina siendo una estrategia de contención que limita los daños o efectos en una organización. Un paso a paso que los atacantes conocen y saben que por lo general van a seguir los encargados de seguridad con el fin de restablecer el servicio, dejando ventanas de operación para los agresores, donde pueden tomar posiciones claves dentro de la organización, sin ser detectados y permanecer allí luego de concluidas las actividades de retorno a la normalidad.
Si lo anterior es cierto, el atacante establece un puesto de observación “seguro” en el que aprende y espera el momento oportuno donde la ventana de oportunidad le dé la mayor eficiencia de sus acciones, con el menor desgaste y la mínima posibilidad de ser identificado. Esto permite al agresor preparar bien su siguiente jugada, mientras logra confundir con los mismos patrones de ataques que la organización espera y sabe cómo controlar, mientras él toma una nueva posición que permanece invisible a los ojos de los analistas.
Así las cosas, el analista debe cambiar su forma de actuar y comprender las acciones de los agresores con el fin de aumentar su capacidad de defensa y anticipación. Esto significa, deconstruir el guión que se tiene desde las “buenas prácticas”, para proponer un tablero de juego con reglas que cambian todo el tiempo con el fin de generar suficiente incertidumbre en el modelo del atacante y así equilibrar los resultados en favor de los analistas.
En resumen podemos decir, que conocer al adversario debe ser una nueva “buena práctica” que exige al menos experimentar y simular escenarios que revelen al estratega que hay detrás de las agresiones y aprender del “arte del engaño” como base de la evolución y madurez de la gestión de la seguridad y el control de las organizaciones.
Finalmente recuerda algunas reflexiones del famoso libro del “Arte de la guerra”, no como recetas de acción, sino como propuestas para desarrollar simulaciones y proyecciones (Cleary, 1994):
• Seduce a los adversarios con la perspectiva de un beneficio y sorpréndelos mediante la confusión.
• Desespera a los adversarios para confundirlos y luego movilízate.
• Deja que la arrogancia surja en tus adversarios, para que sus descuidos te habiliten para obtener lo que deseas.
REFERENCIAS
- Bazerman, M. & Watkins, M. (2004) Predictable surprises. The disasters you should have seen coming and how to prevent them. Boston, MA. USA: Harvard Business School Press.
- Cano, J. (2014) Proteger, defender y anticipar. Tres competencias claves para enfrentar la inseguridad de la información en el siglo XXI. Blog IT-Insecurity. De: https://insecurityit.blogspot.com/2014/09/proteger-defender-y-anticipar-tres.html
- Cano, J. (2020) Modelo SOCIA. Una reflexión conceptual y práctica desde la perspectiva del adversario. Actas X Congreso Iberoamericano de Seguridad Informática 2020. Universidad Politécnica de Madrid - Universidad del Rosario. Enero. Doi: 10.12804/si9789587844337.09
- Cleary, T. (1994) El arte de la estrategia. Lecciones de negociación basadas en la antigua sabiduría china. Madrid, España: EDAF Editores.
- Edmondson, A. (2011) Strategies for learning from failure. Harvard Business Review. April. De: https://hbr.org/2011/04/strategies-for-learning-from-failure
- Edmondson, A. (2018) The fearles organization. Creating psychological safety in the workplace for learning, innovation, and growth. Hoboken, New Jersey. USA: John Wiley & Sons.
- Puromarketing (2014) El conocimiento del cliente es cada vez más importante para pequeñas y medianas empresas. De: https://www.puromarketing.com/53/19098/conocimiento-client-cada-importante-para-pequenas-medianas-empresas.html
- Ray, A. (2019) Amenazas nuevas y líquidas. Linkedin. De: https://www.linkedin.com/pulse/amenazas-nuevas-y-l%25C3%25ADquidas-alberto-ray/
- Woods, D., Dekker, S., Cook, R., Johannesen, L. & Sarter, N. (2010) Behind human error. Second Edition. Farnham, Surrey. England: Ashgate Publishing Limited.
