Blog

Dicen los militares que en los conflictos todo es distracción y engaño. Recientemente luego de haber visto la última producción de James Cameron (“AVATAR. El camino del agua”) se advierten algunas estrategias y lecciones que los ejecutivos de seguridad/ciberseguridad deben recordar con el fin de tratar de mantenerse un paso delante de los retos de sus adversarios.

Sin pretender hacer un “spoiler” de la cinta cinematográfica, se presentan a continuación algunas reflexiones tomadas de diferentes momentos de esta película, como elementos claves a tener en cuenta por los profesionales de seguridad/ciberseguridad para avanzar en la comprensión del adversario y sus estrategias.

1. El adversario tiene motivación y una misión, por lo tanto persistirá de diferentes maneras para lograr su objetivo.

Esta primera consideración habla de las amenazas que son persistentes (avanzadas o no avanzadas) que se generan por cuenta de una misión, que leído en lenguaje militar se trata de la razón de ser de una operación (que lleva en sí misma una orden) y por lo tanto todo los implicados saben que deberán utilizar todos los medios disponibles para lograr la encomienda. No hacerlo es desobedecer una orden, y comprometer la esencia misma del orgullo de los participantes, que termina con deshonra y afectando la autoestima de los operadores.

Estudiar al adversario, sus motivaciones y misiones permite al profesional de seguridad establecer el marco de trabajo y operación que se requiere para enfrentar al atacante y reconocer sus modos de acción para movilizarse, y así pactar con el incierto que se genera, sus estrategia de disuasión, defensa, contención y respuesta requeridas, más allá de una posición de víctima que sólo se prepara para atender un incidentes y dar cuenta de su nivel de aseguramiento del proceso de gestión de eventos adversos de seguridad, y mostrar su cumplimiento normativo.

2. El adversario usará un tercero para provocarte y que muestres lo que tienes, para tomar sus posiciones.

Los atacantes no sólo son pacientes y estudiosos de sus futuras víctimas, terminan perfilando sus estrategias de defensa y respuesta con el fin de cerrar posibles formas de acción frente a eventos que estén más allá de su preparación. Por tanto, las organizaciones que están ajustadas y enmarcadas exclusivamente en sus buenas prácticas terminarán posiblemente “acorraladas” en sus propios procesos, pues el agresor conoce claramente el siguiente movimiento que hará y por tanto, se adelantará y creará una situación aún más retadora que deje sin oxígeno al equipo de atención de incidentes, y con más dudas que certezas a los ejecutivos corporativos y de seguridad de la información.

En este sentido, el equipo ejecutivo y táctico de seguridad deberá desarrollar escenarios retadores y exigentes que pongan a prueba la capacidad de respuesta de la organización, como una forma de experimentar en primera persona el mismo incierto que se puede generar por cuenta de un ataque desconocido y crear la zona de volatibilidad, que implica sacar a la organización de la zona cómoda de los estándares, y superar la falsa sensación de seguridad que pueden generar las tecnologías de seguridad y control actualmente instaladas.

3. El adversario conoce y explora su territorio, usa la tecnología disponible y se apoya con terceros para lograrlo.

El agresor por lo general, a parte de la motivación que ya trae, cuenta con los recursos necesarios para avanzar y contar con la información que requiere para identificar y sondear de la mejor forma el perímetro de defensa y establecer los tiempos de respuesta de la organización con el fin de conocer el espacio de tiempo que tiene para actuar y no ser detectado. El reto está en tener los suficientes radares e inteligencia avanzada para descifrar y descubrir la estrategia de defensa que se ha planteado en la víctima y desde allí establecer la forma de operación que se mimetice con la dinámica de la operación de su objetivo

Frente a esta realidad, se plantea un juego de inteligencia y contrainteligencia que lleva a la organización a un nuevo nivel el ejercicio de protección, pues en la medida que pueda deteriorar y comprometer los intentos de recolección de información de su adversario, podrá manejar y ajustar sus estrategia de disuasión, confusión y distracción, para crear tanto incierto como el que el atacante quiere lograr cuando ejecute de forma exitosa su posible ataque. De esta forma la corporación podrá avanzar y posicionar una ventaja estratégica mientras puede observar y contener posibles efectos de las agresiones que tenga preparadas el adversario.

4. El adversario sabe dónde te duele y sabrá cómo hacerte daño, no subestime el valor de tus activos.

El agresor sabe y conoce muchas veces mejor que la misma organización, cuáles son los activos más importantes y sensibles que ella tiene. En este sentido, hace la exploración en el entorno de la valoración de dichos activos, sabiendo cuáles son los de mayor facilidad de monetización y cuáles los de mayor valor para otros, con lo cual establece con claridad prioridades y mercados donde estos activos será más apreciados y por lo tanto, mejor recibidos y comprados por terceros de quiénes se desconoce su agenda o motivación. La información es un activo estratégico que tiene muchos usos ilegítimos que terminen afectando los derechos de otros.

5. El adversario no teme equivocarse para lograr su objetivo, sacrifica a sus aliados para asegurar su misión.

El agresor puede terminar cegado por su motivación y llevar hasta el extremo sus operaciones aun sabiendo que podrá ser identificado, más no capturado. El atacante no actúa sin plan y sin conocer los riesgos que va a asumir con sus acciones, es un ejercicio de operaciones definidas que muchas veces termina cambiando en medio de la zona de conflicto. En este sentido, el adversario “no tiene reglas” por lo que puede quebrar las alianzas y comprometer a sus propios aliados para lograr el cumplimiento de la misión. Esto crea mayor escenario de inestabilidad que podrá ser contraproducentes para sus planes e inesperado para su posible víctima.

Las organizaciones deberán estar preparadas para asumir escenarios asimétricos de operaciones cibernéticas, las cuales podrán venir de diferentes lados y puntos de acción, de frentes amigos (posiblemente troyanizados vía la cadena de suministro), basados en desinformación creíble de terceros de confianza o posiblemente de acciones de personal interno debidamente distraído y engañado para generar mayor ruido y confusión que lleve a la organización a la inestabilidad, incierto y caos, escenario ideal para el adversario para concretar su agenda y pasar desapercibido en medio del descontrol y las acciones erráticas de la organización.

Reflexiones finales

Estas cincos declaraciones tomadas de la dinámica de la reciente producción de James Cameron, sólo son una excusa para explorar y profundizar en el estudio del adversario, una forma pedagógica para expandir una ventana de aprendizaje que permita a la función de seguridad y control mantenerse alerta, vigilante y entrenada para encontrarse con la incertidumbre y la volatilidad que representa el contexto actual para las organizaciones modernas.

Un adversario cada vez más entrenado, motivado y con aliados establece una amenaza cada vez más compleja y poco visible, dada su capacidad de mimetización con la realidad circundante que termina creando en las áreas de seguridad y control un superávit de futuro y paranoia, que muchas veces termina funcionando en contra de su propia misión: defender la promesa de valor de las empresas ajustada al apetito de riesgo de la compañía.

El reto más que contar con mayores y mejores tecnologías de seguridad y control, es establecer un equilibrio dinámico con la inevitabilidad de la falla, un pacto con el incierto de la materialización de una vulnerabilidad, con el fin de crear espacios de respuesta resilientes que preparen a la empresa como un todo, para mantenerse operando y viable en el mediano y largo plazo a pesar de la materialización exitosa de eventos cibernéticos inesperados.

Fuente