Di sí a la ciberinmunidad, no al miedo

7 Ago 2019

He estado en la industria de la ciberseguridad durante más de 15 años. Durante este tiempo, y junto con otros veteranos de la seguridad informática, experimentamos de primera mano el revuelo por el aumento del FUD (miedo, incertidumbre y duda, por sus siglas en inglés). Es algo que funcionó, debo reconocer. La ciencia del neuromarketing acertó esta vez. El miedo realmente ayudó a vender productos de seguridad. Pero, como cualquier medicina potente, el FUD presentaba un efecto secundario. Y no solo uno, sino muchos.

Nosotros, como parte de la industria, no podemos escapar al FUD porque somos adictos a él. Para nosotros, el FUD se manifiesta en algunos de nuestros clientes que exigen pruebas de que estamos hablando de un peligro real y no solamente una posible brecha. Desafortunadamente, la mejor prueba de que un peligro es real es cuando algo malo sucede. Y por esta razón, también los medios informativos se hicieron adictos al FUD. Mientras más sean los millones de dólares (o euros, o la moneda que sea) que alguien pierda, más llamativa es la historia.

Luego entonces, aparecen las autoridades, con su tendencia a responder de modo desmedido y a exigir el cumplimiento estricto de normas y multas. En la práctica, eso deja atrapados a los investigadores de seguridad, los desarrolladores de un producto, los comercializadores, los medios y los organismos reguladores en una situación que en la teoría del juego se llama el dilema del prisionero: se trata de una situación en la que todos los jugadores deben utilizar estrategias deficientes porque, de otro modo, equivaldría a perder. En el caso de la industria de la seguridad informática, el uso de estrategias deficientes equivale a producir incluso más FUD.

Para escapar de esta trampa, necesitamos entender una cosa: el futuro no se puede construir a partir del miedo.

El futuro del que estoy hablando no está lejos: ya está aquí. Los robots ya están conduciendo camiones y rondando por Marte. Escriben música e inventan nuevas recetas culinarias. Este futuro dista mucho de ser perfecto desde muchos puntos de vista, incluyendo el de la ciberseguridad, pero estamos aquí para empoderarlo, para no obstaculizarlo.

Eugene Kaspersky recientemente dijo que “el concepto de ciberseguridad pronto será obsoleto, quedando en su lugar el de ciberinmunidad.” Esto puede sonar extraño, pero tiene un significado más profundo que vale la pena explicar. Déjenme profundizar un poco en el concepto de ciberinmunidad.


Ciberinmunidad es un gran término para explicar nuestra visión de un futuro más seguro. En la vida real, el sistema inmune de una organización nunca es perfecto, y los virus y otros microbios patógenos encuentran modos de engañarlo o incluso de atacarlo. Sin embargo, los sistemas inmunes comparten un rasgo muy importante: Aprenden y se adaptan. Pueden ser “educados” a través de la vacunación contra peligros potenciales. En tiempos de peligro, podemos asistirlos con anticuerpos preparados.

En ciberseguridad, solíamos enfrentarnos sobre todo a los segundos. Cuando nuestros clientes de sistemas de TI caían víctimas de una infección, teníamos que estar preparados con soluciones. Y es allí donde comenzó la adicción al FUD, con los proveedores de seguridad dispuestos a prestar auxilio frente a enfermedades sumamente perjudiciales. Esa sensación de “superpoder” resultó adictiva para los proveedores de seguridad informática. Decíamos “sí, es hora de usar antibióticos potentes, porque, créenos, el problema es realmente grave.” Pero el uso de antibióticos potentes solamente tiene sentido cuando la infección ya se ha afianzado, lo cual, todos estamos de acuerdo, no es ni de cerca un escenario ideal. En nuestra metáfora de ciberseguridad, habría sido mejor si el sistema inmune pudiera haber detenido esa infección antes de que se desarrollara.

Hoy, los sistemas se han vuelto muy heterogéneos y no pueden verse fuera del contexto de los seres humano: quienes operan esos dispositivos y quienes interactúan con ellos. La demanda por “educar el sistema inmune” ha llegado a ser tan grande que de hecho estamos viendo una tendencia hacia priorizar la prestación de servicios, incluso por encima del producto, el cual solía ser primario. (Actualmente, el “producto” es en muchos casos una solución personalizada, algo que se adapta a las especificaciones del sistema de TI).

Pero el entendimiento de esta visión no llegó de inmediato. Y lo mismo que la vacunación, no se trata de una estrategia con una dosis única, sino de una serie de intentos de vacunación destinados a un mismo objetivo: alcanzar una ciberinmunidad más sólida para un futuro más seguro.

Primero que todo, solamente sobre la base de la seguridad se puede construir un futuro más seguro.  Creemos que esto es posible cuando todos los sistemas se diseñan desde el principio teniendo en mente la seguridad. Las aplicaciones reales en las telecomunicaciones y la industria automotriz ya están poniendo a prueba nuestra estrategia visionaria. Los fabricantes de automóviles están particularmente interesados por la seguridad, en la que es crucial nuestra misión declarada “construir un mundo más seguro”. En el mundo automotriz, la seguridad realmente significa protección.

Lo mismo que las vacunas biológicas, prevemos que el concepto de ciberinmunidad se recibirá con escepticismo. La primera pregunta que esperaría escuchar es: “¿Realmente podemos confiar en la vacuna y su vendedor?” La confianza en la ciberseguridad es de gran importancia y creemos que simplemente empeñar nuestra palabra no es suficiente. Si los clientes de una firma de ciberseguridad desean ver la seguridad y la integridad del software, tienen todo el derecho de exigirlo, bajo la forma de código fuente. Lo ponemos a su disposición; todo lo que el cliente necesita es una mirada atenta y una PC donde analizar cómo funcionan las cosas. Sin embargo, requerimos una PC en esterilizada para que visualice el código para garantizar que los observadores no falsifiquen el código por su cuenta. Y de la misma forma que buscas las opiniones de varios médicos, confiar en un tercero para que vea el código también tiene sentido. Con las soluciones de TI, los representantes de las cuatro grandes auditoras pueden ser los revisores externos, quienes pueden explicar lo que significan para tu negocio esos bits y bytes.

Otro componente importante es la capacidad del sistema inmune de soportar ataques en su contra. El software de ciberseguridad sigue siendo un software, y puede tener defectos propios. La mejor manera de conocer estos defectos es exponerlos a los llamados hackers de sombrero blanco, quienes encuentran defectos y las notifican a los proveedores. La idea de ofrecer un premio por encontrar errores en el software, adoptada por primera vez en 1983, era absolutamente brillante, pues redujo enormemente los incentivos financieros para los hackers de sombrero negro (quienes examinan cuidadosamente los defectos hallados o los venden a otros cibercriminales). Sin embargo, los hackers de sombrero blanco exigen garantías de que la empresa que investigan no se volverá contra ellos y los llevará a juicio.

Donde hay demanda, hay oferta, así que hemos visto recientemente sugerencias para los acuerdos entre los investigadores y las empresas, de modo que los primeros puedan intentar invadir a los segundos sin temor a ser acusados de algún crimen y siempre que sigan las reglas. Pienso que al movernos en esta dirección estamos dando un paso hacia un futuro más seguro; uno donde se instigue menos miedo que en el pasado. Este viaje, sin embargo, tomará un tiempo.