9,49 €
Mehr erfahren.
- Herausgeber: Marcombo
- Kategorie: Wissenschaft und neue Technologien
- Sprache: Spanisch
- Veröffentlichungsjahr: 2023
Te interesa conocer los verdaderos riesgos de ciberseguridad para tu organización? Deja de lado toda discusión técnica y adquiere una perspectiva estratégica, propia de los líderes que buscan comprender los conflictos y las oportunidades de la era digital. Un futuro cada vez más conectado y complejo requiere una estrategia sólida en ciberseguridad. No se trata solo de protegerse de las amenazas, sino de maximizar las potencialidades transformadoras de la digitalización, de aprovechar la inteligencia artificial, el blockchain y las posibilidades que ofrece la ciberseguridad como un diferenciador y eje innovador del mañana. CyberCEO te prepara para un futuro próximo donde la información es el recurso más valioso, donde los conflictos se presentarán en el ciberespacio y donde los hackers implicarán un riesgo serio para la continuidad del negocio. En este libro, el autor y orador Facundo Mauricio te acompaña en un recorrido inédito, enfocado en el pensamiento crítico y dirigido al por qué de las cuestiones en lugar de al cómo, para que saques tus propias conclusiones. Gracias a su amplia experiencia en grandes organizaciones y a su capacidad de explicar temas complejos de forma sencilla y profunda, Facundo brinda una perspectiva pragmática para directivos sobre los peligros cibernéticos que amenazan a tu organización y a tu persona. Todo esto se suma al distinguido prólogo de Natalia Oropeza, Chief Cybersecurity Officer en Siemens. ¡Deja de ver la ciberseguridad como solo una responsabilidad técnica y comienza a verla como una oportunidad!
Sie lesen das E-Book in den Legimi-Apps auf:
Seitenzahl: 378
Ähnliche
Esta obra ha recibido una ayuda a la edición del Ministerio de Cultura y Deporte del Gobierno de España, por el Plan de Recuperación, Transformación y Resiliencia, Financiado por la Unión Europea (NextGenerationEU)
CyberCEO
Decisiones estratégicas de ciberseguridad
© 2023 Facundo Mauricio
Primera edición, 2023
© 2023 MARCOMBO, S. L.
www.marcombo.com
Diseño de cubierta: ENEDENÚ DISEÑO GRÁFICO
Ilustración de cubierta: Facundo Mauricio
Corrección: Nuria Barroso y Haizea Beitia
Directora de producción: M.a Rosa Castillo
Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización de sus titulares, salvo excepción prevista por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra.
ISBN del libro en papel: 978-84-267-3571-3
ISBN del libro electrónico: 978-84-267-3648-2
Producción del ePub: booqlab
A mi madre,por su apoyo incondicional
Prólogo
Creo firmemente que la digitalización es la única forma que disponemos para aliviar y resolver varios de los problemas mundiales del presente; es nuestra tarea fundamental en ciberseguridad el acelerar este proceso, principalmente incrementando la baja confianza que la gerencia y la sociedad en general tienen al respecto de estas transformadoras tecnologías. Es nuestro objetivo el mitigar los principales riesgos que se perciben a partir de los procesos de digitalización buscando mejorar la calidad de vida de las personas y las organizaciones, atendiendo a problemas como el cambio climático, la producción de alimentos y el acceso a la educación, por solo nombrar alguno de los principales males que aquejan a nuestra sociedad.
El proceso de concientización de los riesgos de la digitalización es relativamente nuevo. Hace apenas diez años que las compañías empiezan a tomar medidas como contratar CISO, nombrados en principio con poca autoridad, prioridad o presupuesto y para atender más a una dinámica de mercado que a un firme compromiso de la organización. A medida que las empresas comienzan a sufrir grandes incidentes de ciberseguridad o malos resultados en sus auditorias (y en mi experiencia solo he conocido estas dos motivaciones), las compañías empiezan a reaccionar con medidas tácticas: invertir en tecnología de defensa, cambiar al CISO o contratar un consultor externo… En esta etapa del top management (CEO, CFO, COO) tienen muy poco entendimiento de los problemas de ciberseguridad; al final del día los resultados no aparecen y los riesgos continúan creciendo.
Habiendo fallado con el enfoque táctico, las organizaciones comienzan a reconocer el valor estratégico y necesario de la ciberseguridad y otorgan a los CISO los recursos y el apoyo necesario para poder transformar la organización. Cuanto antes comprenda la organización que la ciberseguridad debe ser un asunto estratégico, más rápido se podrá proteger a sí misma. El objetivo es el awareness de estos riesgos, y aquí es donde la educación en todos los niveles, incluyendo la publicación de libros como CyberCEO, cumple un rol fundamental.
Necesario en el evolucionar de lo táctico a lo estratégico es el apetito de cambio que disponga el directorio y la gerencia, puesto que se requiere un case-for-change lo suficientemente fuerte como para conseguir el presupuesto y el alineamiento con el negocio. Estas transformaciones requieren ver la ciberseguridad de manera holística, de principio a fin; comprender cuál es el eje central de la organización, cuál es su foco y cómo podemos diseñar una estrategia de ciberseguridad que proteja a ese negocio. Buscamos que las distintas partes de la organización sientan que son parte del cambio y se sumen a esta cruzada por la seguridad en lugar de luchar contra ella. Debemos asegurarnos en todo momento de que nuestra tarea añade valor al negocio y de que los departamentos forman parte del equipo de ciberseguridad, de modo que sus intereses se vean representados en las decisiones que tomamos.
Otra pieza fundamental es formar un gran equipo, y todo gran equipo tiene una característica fundamental: la diversidad. Aquí nos referimos a la diversidad en todos sus aspectos, pues cuanto más diverso es el equipo, tanto en edades, géneros, intereses, limitaciones físicas, orientaciones sexuales (LGBTIQA+), experiencias, orígenes, etc., más alto será el desempeño del grupo y su posibilidad de alcanzar la excelencia (aunque más complejo será también su liderazgo). Este es el desafío que perseguimos en Siemens, pues en ciberseguridad, si queremos continuar liderando en innovación, necesitamos potenciar nuestra diversidad, principalmente atendiendo a incrementar la participación femenina en tecnología. Debemos apoyar el desarrollo de conocimientos sobre ciberseguridad en personas dispuestas a reinventarse al ritmo de la creciente transformación digital y dar oportunidades para cubrir los millones de puestos para profesionales que harán falta. Apostar por el crecimiento de las personas y la diversidad es primordial en un mundo con mayor expectativa de vida y cambio permanente.
Definir qué es lo que tenemos que proteger incluye considerar cuáles son los activos más valiosos y los riesgos más altos (no es posible proteger todo al 100 %), así como qué servicios o capacidades necesitamos desarrollar, siempre guiados por estándares internacionales como el NIST. Existe una similitud entre la estrategia de ciberseguridad y el cuidado de nuestra salud: como servicios se enfocan en protección (comer bien o hacer ejercicio para estar sano), detección (pruebas de salud para detectar enfermedades) y, finalmente, defensa (cuarto de emergencia) cuando se busca solucionar la urgencia rápidamente (porque cada segundo cuenta en la vida de un ser humano y un enfoque similar es el que tomamos para nuestra organización).
Con los servicios o capacidades definidas, el paso más importante es comenzar a medir efectos, pues sin medición no hay control, y sin control no hay progreso ni confianza. Nos costó mucho definir cómo medimos la ciberseguridad y que el board comprendiera y estuviera de acuerdo con estas métricas, pero esto era fundamental para aumentar la confianza de los directivos en nuestros procesos y nuestra estrategia.
Mi experiencia muestra que por pequeña que sea la empresa, debe tener una estrategia de ciberseguridad. No sabemos si el futuro presentará la ciberseguridad como una commodity o como un factor diferencial, pero lo que es seguro es que tomará un rol de altísima importancia. A medida que aumente el interés en la Digital Supply Chain Security (la protección de la cadena de suministros digitales), las empresas medianas y pequeñas necesitarán mejorar sus posiciones de seguridad para mantenerse competitivas. Iniciativas como el Chapter of Trust permiten a varias empresas coordinar esfuerzos de seguridad y organizar propuestas para proteger las empresas de riesgos comunes, compartiendo información y coordinando el progreso y la innovación en materia de seguridad.
Finalmente, algo muy cerca de mi corazón es el influir que más mujeres se decidan por la ciberseguridad, ya que la tecnología, y en particular esta disciplina, protege de manera directa a la sociedad digital que tenemos y que requiere que todos nos comprometamos con su defensa. Las mujeres tenemos las capacidades para poder llevar adelante de manera exitosa la tarea de la ciberseguridad. Nunca he recibido rechazo por ser mujer o mexicana y debo decirles que las empresas están ávidas por darnos la bienvenida. Nos necesitamos. Necesitamos el componente femenino en ciberseguridad y las mujeres son bienvenidas, especialmente en Siemens.
Natalia Oropeza
Chief Cybersecurity Officer & Chief Diversity Officer Siemens AG
ÍNDICE
Prólogo
Introducción
Capítulo 1. En la mente de un hacker
1.1 Introducción
1.2 Dentro de su mente
1.3 Tipos de hackers
1.4 Afiliaciones y grupos organizados
1.5 El negocio del hacking
1.6 Anonimato y libertad
1.7 Creador de historias
1.8 Pensamiento lateral
1.9 Preguntas para reflexionar
Capítulo 2. Confiar pero verificar
2.1 Introducción
2.2 Confianza y poder
2.3 Confianza en procesos
2.4 Los equipos de tecnología y de ciberseguridad
2.5 Confianza en las personas
2.6 Confianza cero (Zero Trust)
2.7 Preguntas para reflexionar
Capítulo 3. El valor de la información
3.1 Introducción
3.2 Transformación digital y privacidad
3.3 Amenazas de ciberseguridad
3.4 Valoración de los datos
3.5 Presencia online y persona digital
3.6 Preguntas para reflexionar
Capítulo 4. Ciclo de vida de un ciberataque
4.1 Introducción
4.2 Previo al ciberataque
4.3 Ciberataque promedio
4.4 Simulando un ciberataque
4.5 Preguntas para reflexionar
Capítulo 5. Camino a la digitalización de activos
5.1 Introducción
5.2 Camino a la digitalización
5.3 Servicios y la nube
5.4 Comprendiendo la blockchain
5.5 Metaverso, propiedad y riesgos
5.6 Inteligencia Artificial
5.7 Preguntas para reflexionar
Capítulo 6. Mercados Y Geopolítica
6.1 Introducción
6.2 Dispositivos
6.3 Más allá de la ciberseguridad
6.4 El nuevo Internet
6.5 Estado y vigilancia
6.6 Nuevo paradigma de protección
6.7 Transformaciones de mercado
6.8 Guerra 3.0
6.9 Palabras finales
Agradecimientos
"No es el más fuerte de la especie el que sobrevive, tampoco el más inteligente, sino aquel que responde mejor al cambio.”
Charles Darwin, The Origin of Species.
INTRODUCCIÓN
¿Cuánto tiempo transcurrirá hasta que la organización que diriges sea la próxima víctima de un ciberataque? El éxito genera asimetrías, y estar a cargo de una compañía es una posición de riesgo, no solo para sus miembros más prominentes, sino para amigos, cónyuges e hijos, que pueden ser utilizados como vectores de ataque. Proteger una organización, una familia, una comunidad, no depende de conocimientos técnicos, sino de incorporar la ciberseguridad en la visión estratégica mediante la comprensión de las amenazas que nos acechan. Ser víctima de un ciberataque no implica solo el coste material, sino la pérdida de privacidad, el sentimiento de culpa y la constante duda sobre cómo ingresaron, si pueden volver o si aún están ahí. [1]
Las empresas son el objetivo más buscado en ciberataques, con un incremento del 435 % de ataques de ramsonware solo durante 2020, atribuido en un 95 % [2] de los casos a un error humano. Vemos que la solución debe venir por la gestión y el liderazgo, en lugar de comprar productos mágicos. Los CEO comprenderán que, como menciona Warren Buffet, “No le preguntes al peluquero si necesitas un corte de pelo”, por lo que harán bien en desarrollar una visión de las amenazas reales y sus impactos antes de consultar a los expertos sobre cómo gastar su presupuesto.
Aquí no aspiramos a dar una lista de soluciones o una receta genérica para que la organización sea segura, principalmente porque no suscribimos a tal idílico enfoque. Si existiera una solución concreta para la ciberseguridad, no veríamos gobiernos encarcelando hackers con penas más duras que las de los criminales comunes; no veríamos como los ciberataques están cambiando la doctrina de la guerra de forma comparable a como los aviones cambiaron la doctrina militar en la Segunda Guerra Mundial; no veríamos empresas como Apple apelando decisiones que buscan bajar la seguridad de sus dispositivos, ni a empresas como Huawei acusadas de operar equipos de espionaje, y ciertamente no veríamos las tecnologías asociadas a blockchain y criptomonedas ser utilizadas por gobiernos, criminales, activistas y ciudadanos en una contienda por el futuro de la identidad y la propiedad digital.
Herbert Spencer comenta que cuando los primeros ferrocarriles aparecieron en España, no era infrecuente que los campesinos fueran atropellados por los trenes, y atribuye esta situación no a la impericia de los conductores, sino a que la vida rural de la época no permitía conceptualizar el poder destructivo de un objeto de semejante masa moviéndose a tan alta velocidad [3]. Me permito realizar un paralelismo con muchas de las tecnologías que encontramos en la modernidad y el limitado marco conceptual disponible para el público en general para concebir sus consecuencias. Tecnologías como la Inteligencia Artificial (AI), el Machine Learning, Biohacking, IoT, Blockchain, Big Data y tantas otras definirán en gran medida el desarrollo del siglo XXI y muchos de sus potenciales usos destructivos en el presente y en el futuro aún no son ampliamente comprendidos y discutidos a nivel organizacional. Tan es así que continuamos pagando con nuestros datos y privacidad por los servicios gratuitos que usamos: desde Instagram a WhatsApp, desde Google a Twitter, desde TikTok hasta LinkedIn, y aún en 2022 “password” y “123456” siguen siendo las contraseñas más utilizadas. [4]
Nos hemos transformado en personas dependientes de la tecnología, nuestras empresas, negocios, vínculos y organizaciones avanzan hacia una mayor digitalización, y esta complejidad nos hace pensar que hay que ser un experto en tecnología para poder seguirle el ritmo. No es cierto. En las manos de líderes, directivos y empresarios hay más potencial de ciberseguridad que en cualquier programador o administrador de sistemas; las empresas hoy son los principales objetivos de cibercriminales y sus problemas no son solo técnicos, sino estratégicos. Con la importancia que cobra la ciberseguridad en nuestras vidas, no es posible continuar delegándosela a quienes se limitan a centrarse en los aspectos operativos y los tecnicismos. Recordemos las palabras del gran Andrew S. Grove “delegar sin seguimiento as abdicar” [5]. Debemos dar un paso adelante e incorporar la ciberseguridad en nuestra forma de gestionar la estrategia de negocio.
La ciberseguridad no se limita simplemente a proteger nuestros equipos o redes, los dispositivos que nos rodean están conectados a Internet y pronto asociaremos procesos de protección digital con la libertad individual y organizacional. La ciberseguridad es hoy una herramienta fundamental en campañas políticas, en la guerra, en las elecciones, en los medios de comunicación, en lo que consumimos y en cómo nos manifestamos, y es parte de la batalla por definir cómo pensamos. Existe un famoso proverbio Yiddish: “provisiona para lo peor, porque lo mejor se puede ocupar de sí mismo”. Entonces, te propongo que consideres la ciberseguridad como un pequeño escudo que podemos desarrollar para maximizar la posibilidad de construir organizaciones más seguras, espacios de acción más libres, más privados, donde facilitar el desarrollo de los individuos y negocios, limitando ataques y posibles intervenciones externas.
Este libro está dirigido a quienes no tienen tiempo o no les interesa saber cómo se solucionan los problemas de seguridad informática. Es para aquellos que quieren entender el problema y delegar la solución, para aquellos que ostentan un pensamiento estratégico, político y mercantilista en lugar del vacío lenguaje técnico que pasa de moda tras la incorporación de nuevas tecnologías. Se dice que en la antigüedad no se temía a los cambios de estaciones o de ciclos (naturales o sociales), sino que el verdadero temor era a la ausencia de cambio, el miedo a un mundo en un perpetuo estado de calma, de silencio [6]. La modernidad hace que nuestro mundo acelere la velocidad de cambio y obliga tanto a lideres como a políticos, en palabras de Klaus Schwab, a que aquellos que toman decisiones, si bien tienen mucha más información y análisis que antes, posean mucho menos tiempo para decidir. Y esto obliga a requerir una mayor perspectiva estratégica. [7]
Nos encontramos frente a nuevos tipos de amenazas y nuevos tipos de atacantes. Son más difíciles de identificar porque ya no se limitan a nuestros ordenadores, sino que pueden afectar a los dispositivos que usamos, de los que dependemos, donde se encuentra toda nuestra información y que son una extensión de nuestra persona, además de un vínculo con nuestras organizaciones y negocios. Los atacantes ya no son simplemente criminales que buscan una ganancia rápida, en la actualidad son organizaciones delictivas, estados y naciones extranjeras, agencias de inteligencia, activistas, terroristas y modernas combinaciones de estos grupos que no se ciñen a una definición estándar. La buena noticia es que aún un alto porcentaje del cibercrimen es oportunista y simplemente tomar algunas medidas por encima del promedio puede reducir significativamente las posibilidades de ser una víctima. Por otro lado, aquellos elegidos como objetivos por un atacante avanzado, tienen prácticamente nulas posibilidades de defenderse sin una fuerte comprensión de la ciberseguridad.
En este contexto internacional de creciente conflicto en el ciberespacio, de discusiones sobre libertad de expresión, sobre privacidad, sobre criptomonedas, activos digitales, activismo, censura y geopolítica, es cada vez más difícil encontrar información verídica y las interdependencias entre cadenas de suministros e intereses comerciales, políticos y sociales hacen extremadamente difícil encontrar lideres al frente de organizaciones grandes y pequeñas que comprendan la problemática de esta transformación digital y el impacto en los nuevos mercados.
En este libro analizaremos qué piensa, cómo opera y quién puede ser un hacker, cómo la confianza juega un rol fundamental en la ciberseguridad y la tecnología en general, cómo las organizaciones y las personas asignan valor a la información y qué tipo de asimetrías estratégicas se presentan entre atacantes y defensores, cómo se materializa un ciberataque, cuál es su ciclo de vida, qué esperar y qué hacer al respecto para gestionarlo y, finalmente, avanzando sobre el futuro, definiremos nociones en cuanto a activos digitales, privacidad, identidad, geopolítica, economía y mercados, combinando estos aspectos para presentar los desafíos técnicos y sociales de las próximas décadas.
Acompáñame a recorrer el camino que te llevará a conocer nuevas perspectivas estrategias de ciberseguridad y empieza hoy a liderar una organización más segura, más privada y más libre.
[1] N. N. Taleb, Antifragile: Things That Gain From Disorder, Random House, 2012.
[2] S. G. Z. I. G. Marsh McLennan, The Global Risks Report 2022 17th Edition, World Economic Forum., 2022.
[3] H. SPENCER, The Man versus the State, CALDWELIJ, IDAHO: THE CAXTON PRINTERS, LTD, 1960.
[4] Nordpass, «Top 200 most common passwords,» 28 11 2022. [En línea]. Available: https://nordpass.com/most-common-passwords-list/.
[5] A. S. Grove, High Output Management, Knopf Doubleday Publishing Group, 1983.
[6] N. H. William Strauss, The Fourth Turning, Broadway Books, 1997.
[7] T. Malleret y K. Schwab, COVID-19: The Great Reset, Amazon Digital Services LLC - KDP Print US, 2020.
CAPÍTULO 1
EN LA MENTE DE UN HACKER
1.1 Introducción
Detrás de todo ataque, detrás de toda víctima, existe siempre un personaje en las sombras, una figura difícil de descifrar, un partícipe necesario en todo crimen. En su mente, en su forma de pensar y en sus motivaciones radican las claves para comprender la criminalidad en el ciberespacio, y nos permitirán obtener una perspectiva única para desarrollar estrategias más seguras dentro de nuestras organizaciones. El pragmatismo con el que trataremos las amenazas y los riesgos frente a ciberataques nos lleva a comenzar por el eslabón más relevante: el hacker.
Este recorrido nos permitirá comprender cómo opera un potencial agresor y qué factores tener en cuenta para evitar ser un blanco fácil. Revisaremos también algunas de las motivaciones y tendencias en el crecimiento de esta industria.
Comencemos por evaluar la mente de los hackers, por considerar que puede llevar a una persona a convertirse en un atacante. Nótese que aquí nos referimos a hackers o atacantes de forma indistinta para simplificar el lenguaje y centrarnos en lo importante desde el punto de vista defensivo. Cabe destacar que a título personal no identifico el concepto de hacker con una connotación puramente negativa; por el contrario, creo que es un excelente término para referirse a una forma de pensar creativa, desafiante, alternativa y valiosa para cualquier sociedad u organización. Sin embargo, conociendo la definición tradicional que los medios y los diccionarios han otorgado a esta palabra, en el resto del libro emplearemos de forma indistinta los términos hacker y atacante, relacionándolos con un carácter criminal y malintencionado.
1.2 Dentro de su mente
Comencemos por considerar que el propio Steve Jobs menciona que “es mejor ser un pirata que alistarse en la armada” y que nuestra modernidad llena de distracciones rara vez ofrece el tipo de desafío intelectual al que se enfrenta con frecuencia un hacker. El propio Voltaire ya establecía que no hay problema que pueda resistir el asalto del pensamiento sostenido, y esto básicamente es hackear. Contrario a lo que nos muestran las películas que solo duran dos horas de pura acción, el hacker es un solucionador de problemas, un experto en pacientemente buscar dónde está la vulnerabilidad, dónde se ha presentado el error humano que permite ingresar en un sistema o cumplir un objetivo.
En su libro El pensamiento lateral, De Bono menciona que mientras la gente “sabe lo que está buscando”, quien piensa lateralmente “está buscando pero no sabe qué está buscando hasta que lo encuentra” [1] y esto representa con bastante precisión el esfuerzo de un hacker en recorrer y recolectar datos sobre su víctima, su organización, sus allegados y otros canales para lograr encontrar esa pequeña ventana que abre la puerta a un ataque. Una vulnerabilidad que puede ir desde un equipo que no fue correctamente configurado hasta encontrar una razón válida para comunicarse con la víctima vía correo electrónico y enviar un link contaminado.
Es importante destacar estas diferencias con el criminal tradicional porque, al menos en mi experiencia, la mayoría de los hackers avanzados que me he encontrado se ven más motivados por el desafío que por la recompensa económica. Estos expertos han encontrado en el ciberataque la adrenalina de lo prohibido y el desafío intelectual que otros encuentran en el ajedrez, el deporte, las apuestas o las drogas. Shelley menciona sobre la determinación del Dr. Frankenstein que nada contribuye tanto para tranquilizar la mente como un propósito firme, y es posible que este mismo patrón se repita en muchos de los hackers, quienes encuentran en estas aventuras un propósito y una jugosa recompensa por sus esfuerzos. [2]
Si el lector realmente busca comprender al tipo de atacante que posiblemente domine las noticias de los próximos años y de los cercanos conflictos internacionales, es necesario quitarnos la idea que Hollywood nos ha presentado sobre los hackers. No solo con respecto a su apariencia física, sino con respecto a su origen e intereses. Particularmente me refiero a que hoy muchos hackers alrededor del mundo están sentados en bases militares y operando equipos provistos por diversos gobiernos, en lugar de en el sótano de la casa de sus padres. Gran parte de las operaciones actuales de inteligencia, de espionaje y de ataques no convencionales se presentan en forma de ciberataques, y quizá sorprenderá al lector considerar a un hacker en uniforme militar, pero debería.
Gobiernos de todo el mundo están ampliando sus capacidades ofensivas y defensivas en el ciberespacio y no debe asombrar que muchos ataques que terminamos leyendo en las noticias son directa o indirectamente el resultado de una operación de información ejecutada por medios digitales, desde los Panama Papers hasta campañas de desinformación durante elecciones. Naturalmente, el ciberespacio ofrece asimetrías de poder que permiten a naciones más débiles o incluso a grupos terroristas o de activistas montar un espectáculo que transmita un mensaje con muchos menos recursos y riesgos que una operación convencional.
Sorprende pensarlo, pero al igual que una pequeña unidad de soldados de élite se adentra en territorio enemigo, de forma similar un grupo de soldados especializados en ciberseguridad se dispone a realizar una misión desde su base de operaciones. Contarán con un comandante que tomará las decisiones pertinentes durante la operación, quien conoce y es responsable de los objetivos. Contarán con un experto en armas, quien, manteniendo la analogía, es comparable a un francotirador, capaz de utilizar armas específicas de forma efectiva. En nuestro caso es un experto en diversas técnicas de hacking seleccionado especialmente por su conocimiento en los métodos específicos que requiere la situación (desde sabotaje hasta la captura de información confidencial). Contarán con un observador (spotter), quien sentado detrás del especialista y viendo la misma pantalla, tomará notas, dará indicaciones y mantendrá la visión global de la operación. Finalmente, el equipo contará con un navegador, quien también estará detrás del hombro del experto (hacker en uniforme) y quien se ha especializado en investigar a su objetivo durante meses o años. El navegador ha estudiado y conoce toda la historia del objetivo, sus palabras clave, los códigos que usa, sus allegados, los nombres de las empresas en las que está involucrado, sus familiares, todo lo que se puede saber del objetivo y más. Mientras el experto va accediendo a los distintos sistemas, el navegador va interpretando la información que van encontrando, analizando qué significa y cómo se conecta con el resto de la información recolectada, y toda la unidad avanza de forma coordinada para cumplir su misión en el ciberespacio enemigo sin salir de sus escritorios.
Este tipo de atacante sofisticado, como buen miembro de la doctrina militar y con amplio presupuesto para operar, procederá a planear al detalle toda la operación, el minuto a minuto de cómo acceder y desplazarse dentro de la red del enemigo, y de ser posible recreará el ambiente y los dispositivos de la víctima para validar sus formas de ingresar (desde comprar un ordenador de la misma marca y modelo que la víctima hasta un mismo teléfono, aire acondicionado o aspiradora conectados a Internet, o incluso un brazo robótico). Lo que sea necesario para validar la operación en un ambiente seguro antes de su ejecución. Tampoco se limitará a la víctima en sí, sino que también accederá a cualquier persona o espacio físico cercano a su objetivo, incluyendo su red hogareña o la del café donde algunos días va a teletrabajar, el móvil de su pareja o la consola de su hijo; todas son opciones válidas para cumplir una misión.
Erich Fromm describe ya en 1941 que la estructura de la sociedad moderna afecta a las personas de dos formas simultáneamente: los convierte en más independientes, autosuficientes y críticos y los vuelve más aislados, solitarios y temerosos. [3] Encontramos en la mentalidad del hacker, por lo general, a un individuo o grupo que encaja con esta descripción y que encuentra un justificado desinterés y descontento con la modernidad o la sociedad en general. El presente nos enfrenta con fuertes asimetrías en la disponibilidad de recursos materiales, pero facilita la dispersión y el acceso a conocimientos de hacking para todas las regiones por igual.
El hacker puede representar una voz frente al statu quo, y no es casualidad que veamos penas más duras aplicadas a este tipo de criminales que a delincuentes comunes, pues el hacking puede escalar exponencialmente, mientras que el robo tradicional tiene limitaciones físicas. Similar a lo que descubrimos con respecto a la producción de software, un hacker puede escribir un virus o un ramsonware que afecte a millones, mientras que un ladrón tradicional encontrará varios problemas técnicos intentando robar millones de casas.
Veamos entonces los distintos tipos de hackers en detalle, pues no todos los hackers son idealistas o grupos organizados, muchos, como veremos, son simplemente oportunistas aprovechando las profundas malas prácticas de seguridad que encontramos en individuos y organizaciones.
1.3 Tipos de hackers
Mucha de la literatura tradicional sobre ciberseguridad incorpora nociones sobre hackers con diversos sombreros de colores que buscan representar qué tipo de hacker es y cuál es su actitud frente a los buenos y los malos. Existen los tradicionales hackers de sombrero blanco, negro y gris. A nivel personal considero estas categorías infundadas y que añaden matices a un término que ya ha sido teñido de criminalidad. Al final, el buen hacker debe tener habilidades que le permitan romper la ley, así como las barreras impuestas por la sociedad y la tecnología, alineado con la mentalidad de Thomas Edison: aquí no hay reglas, estamos tratando de lograr algo. Similar a como un policía debe saber disparar un arma o un cerrajero abrir una cerradura, no llamamos policías de sombrero negro a los ladrones, ni cerrajeros de sombrero gris a los que pueden trabajar en ambos bandos.
El hacker es simplemente un individuo orientado a comprender en sus fundamentos prácticos cómo funcionan las cosas y cómo pueden ser intervenidas para que hagan lo que el hacker quiere. Es una mente que no se conforma con el conocimiento otorgado por la sociedad y decide ir más allá a descubrir por cuenta propia y experimentar aquello que los manuales de usuario no presentan. El uso positivo o negativo que se le dé a este tipo de habilidades e intereses dependerá del individuo, de su moral y de los incentivos que lo rodean.
Sorprenderá al lector saber lo recomendable que es rodearse de gente con estos talentos, con esta apertura intelectual y con esta capacidad de no aceptar limitaciones, similar a la mentalidad del emprendedor. Emprendedores, políticos, empresarios, periodistas, empleados, abogados, contadores… todas las profesiones harían bien en existir con sombreros blancos, grises y negros; por alguna razón que desconozco, solo los hackers ostentan estas categorías. Os invito a considerar acercarse a individuos con estas habilidades, pues mejor contar con ellos en una crisis que tenerlos en el equipo contrario, y cuanto antes las organizaciones se den cuenta del valor de estos perfiles, antes encontrarán mejores formas de protegerse. Además, comprender a estos individuos y organizaciones ayudará a tu posición, pues en palabras de Robert Mnookin en Negociando con el Diablo, “en una negociación, el problema del otro lado también es tu problema”. [4]
Retomando un enfoque más tradicional del concepto de hacker, revisemos algunas de las categorías típicas a tener en cuenta para ayudarnos a visualizar sus características, especialmente útil para tener una visión más amplia cuando diseñemos un plan de ciberseguridad:
Hacktivistas: Categoría en amplio crecimiento en los últimos años, orientada a demostraciones o ataques que simplemente buscan enviar un mensaje pero que pueden tener serias consecuencias para la organización, afectando o saboteando sus operaciones. Se espera que este tipo de operaciones crezcan en volumen e impacto a medida que una creciente masa crítica de jóvenes formados en tecnología note el potencial disruptivo de sus conocimientos, similar a cuando los trabajadores percibieron el poder de la organización, las huelgas y los sabotajes como parte de su estrategia para exigir cambios laborales. Hemos visto ya el comienzo de estas operaciones en redes sociales y en algunos sabotajes muy puntuales. Lógicamente, al igual que la gremialización de trabajadores en la segunda mitad del siglo XX, en ocasiones es muy difícil identificar si estos movimientos cuentan con apoyo y financiación de intereses extranjeros que buscan desestabilizar una región. Este tipo de hacker también puede ser un individuo con fuertes ideales, que puede ir desde una visión más personalista al estilo expresado por Dostoyevski y llevar a cabo un ataque para gritar “¡Soy único, mientras ellos son todos!” [5] o estar más orientado a lo social, económico o político, similar a los activistas arruinando obras de arte para atraer la atención a una temática en particular. El libro The Gift of Fear nos da una idea del posible razonamiento en esta dirección del activista que decide pasar a la acción mencionando que “una persona que siente que no hay alternativas va a luchar, incluso cuando la violencia no esté justificada, incluso cuando las consecuencias se perciben como desfavorables, e incluso cuando las posibilidades de éxito son bajas”. [6]
Script Kiddies: De difícil traducción al español, implica a personas con limitado conocimiento o talento técnico pero que utilizando los programas (códigos, scripts, virus, malware, etc.) creados por otros logran llevar a cabo exitosos ataques. Con una técnica similar a la de un estudiante que escribe una tesis con un copia y pega de Wikipedia, estos atacantes reciclan código que ya existe y son poco respetados por la comunidad. Sin embargo, su limitada habilidad técnica no debe confundirse con su capacidad de producir un daño inmenso en organizaciones e individuos. Muchos de los programas maliciosos disponibles en Internet llevan años de desarrollos y mejoras por parte de atacantes que los adaptan a sus usos. Este tipo de aplicativos maliciosos tiene un ciclo de vida corto, porque al final los antivirus los pueden detectar con facilidad o porque los parches que los previenen han sido ampliamente difundidos por el fabricante del producto que presenta la vulnerabilidad (por ejemplo, en los updates de Windows). Dicho software es publicado o vendido en foros en la Deep Web, donde otros atacantes pueden usarlos y modificarlos para sus ataques. No olvidemos que herramientas de la propia NSA se encuentran al alcance de estos principiantes. Mucho del hacking actual es oportunismo realizado por este tipo de atacantes con limitado talento técnico pero amplio impacto. Phill Knight, en Shoe Dog, nos cuenta que su entrenador Bowerman decía: “El tigre caza mejor cuando tiene hambre” [7], y en un mundo donde nos acercamos a una posible recesión económica, no debemos descartar el impacto del incremento en incentivos que esto implica en las varias regiones desfavorecidas que pueden considerar el hacking como alternativa.
Hackers apoyados por gobiernos: Junto con el hacktivismo esta es una de las categorías que más está creciendo y cuya popularidad ha aumentado en parte por la imposibilidad de probar que un gobierno está detrás de un grupo particular de hackers. Estas operaciones de carácter estratégico-militar se desarrollan con frecuencia entre organizaciones y empresas, quienes normalmente son las víctimas de estos ataques en lugar del gobierno en sí. Si un país quiere limitar la capacidad de procesar combustible de otro país, es mucho más efectivo atacar una refinadora de petróleo o un puerto. Esta dinámica de ataques encubiertos se ve con bastante frecuencia y es parte de una guerra silenciosa que se da entre varios gobiernos, grupos de operaciones y agencias de inteligencia. Al contrario de lo que pensamos, el espionaje no terminó con la Guerra Fría, sino que ha evolucionado de agentes al estilo James Bond fotografiando documentos con minicámaras a hackers que roban PDF en servidores enemigos desde sus oficinas. Podemos apreciar la importancia de esta situación contemplando aquellos gobiernos que disponen políticas de ingreso y egreso a sus países según las cuales legalmente pueden intervenir, analizar y copiar dispositivos electrónicos, obligando a sus usuarios a desbloquearlos o a entregar las contraseñas si los equipos están bloqueados. Tan generalizado es este problema que muchas empresas cuentan con ordenadores portátiles especiales que se llevan consigo cuando los empleados visitan países como China, Rusia, Australia o EE. UU. Anteriormente, la mayor preocupación era un explosivo o un patógeno al cruzar una frontera, pero, posiblemente, los próximos años estén marcados por el temor a dispositivos electrónicos y a la información que contienen. Veremos con el tiempo que este argumento será utilizado para incrementar los controles fronterizos de nuestros dispositivos, en particular si tecnologías como las criptomonedas se vuelven populares y permiten mover grandes sumas de dinero de forma digital. En un futuro cercano, solo bastará algún incidente de tipo ciberterrorista para que se incrementen los sistemas de seguridad en los aeropuertos, y no veo lejano el día en que tendremos que conectar nuestros teléfonos u ordenadores con algún dispositivo o aplicación que realice verificaciones de seguridad al cruzar de un país a otro.
Criminales tradicionales: No debemos descartar un numero de criminales tradicionales y de individuos que comienzan su carrera criminal y deciden que el ciberespacio ofrece mejores posibilidades que el crimen tradicional. El mercado negro y el crimen en general es propenso a experimentar con nuevas tecnologías, como se aprecia en los primeros mercados en la Deep Web que utilizaban criptomonedas como instrumento de cambio en la compra y venta de artículos ilegales, principalmente estupefacientes. El cibercriminal puede tener amplias ventajas comparado con un criminal tradicional; en países menos desarrollados, vemos limitado interés y capacidad de los gobiernos y policías locales de perseguir este tipo de crímenes digitales, en especial cuando son cometidos contra ciudadanos de otros países y no tienen un impacto local negativo. Ese es el motivo del aumento de centros de tipo callcenter enfocados a realizar estafas a los ciudadanos más vulnerables de otros países más desarrollados. La venta de estupefacientes también ha sido radicalmente transformada gracias a la posibilidad de hacer publicidad y disponer de mensajería instantánea para comunicarse directamente con los traficantes. Ya no es necesario meterse en una zona peligrosa de la ciudad para adquirir drogas, basta con identificar un vendedor en Twitter, Instagram, Facebook o Telegram y solicitar un pedido, el cual recibiremos en el domicilio indicado, con similares o mejores tiempos que los provistos por el propio Amazon. Mercados de segunda mano en Internet (eBay, Facebook Marketplace, Wallapop, MercadoLibre…) son los que inconscientemente facilitan movilizar los millones de artículos robados alrededor del mundo. Otros crímenes más serios como el tráfico de personas, la explotación de menores y los secuestros, entre otros, consecuentemente ven en Internet una plataforma para facilitar su labor y extender su alcance, si bien no debemos considerar este tipo de crimen como hacking. Debemos saber que estos criminales han ido adquiriendo lentamente algunas habilidades asociadas al ciberespacio necesarias para operar de forma segura, como el uso de la Deep Web, el anonimato, la encriptación, etc.
Terroristas: Esta categoría aún no particularmente desarrollada puede verse incrementada en los próximos años acompañada de sabotajes industriales que pueden terminar en explosiones, cortes de suministro, daños a equipamiento especializado o alta toxicidad en productos alimenticios o bebidas, por nombrar algunos ejemplos. Es difícil identificar, monitorizar o clasificar qué grupos pueden ser considerados terroristas, y los que hoy luchan por una causa positiva pueden ser los mismos que mañana se encuentren del otro lado de la historia etiquetados como terroristas, pues tal es la dinámica histórica de estas narrativas, que solo parece haberse acelerado en nuestros tiempos de redes sociales y constante consumo de noticias. En cuanto al terrorismo en formato digital con consecuencias devastadoras, podemos afirmar de momento que está muy poco desarrollado y no vemos grupos particularmente activos en esta dirección; sin embargo, crecientes conflictos internacionales pueden motivar la gestación de este tipo de organizaciones, así como conflictos de autonomía y separatismo pueden también motivar el surgimiento de sectores radicalizados que decidan volcarse al ciberespacio para transmitir sus mensajes y aterrorizar a la población.
Crimen organizado: Cualquier grupo criminal internacional o local que busque expandir sus operaciones probablemente ya se encuentre operando una rama cibernética. La dificultad actual radica en encontrar talento, pero hemos visto cárteles de tráfico de estupefacientes trasladando parte de sus operaciones y comunicaciones hacia el ciberespacio, donde pueden operar con mayor eficiencia. Es poco probable que la rama técnica del crimen organizado tenga un impacto directo en empresas y organizaciones, pero dependiendo de la industria y del tipo de negocios puede ser un factor a considerar. De momento, las operaciones del crimen organizado se limitan a facilitar la entrega de bienes ilegales, a implementar nuevas estrategias de lavado de dinero, a colaborar en la generación de comunicaciones seguras y anónimas y a financiarse con ilícitos en el ciberespacio. La democratización de conocimientos técnicos (tanto positivos como negativos) puede cambiar el panorama de lo que conocemos como mafias, quizá volviendo menos relevantes a las mafias existentes y reemplazándolas por una nueva mafia digital más flexible, distribuida, joven y que gestiona negocios similares a la mafia existente, como la prostitución, los casinos y las casas de apuestas, pero transformados en su versión digital. Presupongo que parte del crimen organizado ya se encuentra realizando esta transformación, como podemos apreciar en la Deep Web y en la cantidad de recursos que agencias de inteligencia y policías de todo el mundo destinan a tener presencia en la Deep Web para monitorizar sus actividades.
Creadores de malware: Si bien no son hackers, sino más comúnmente programadores orientados al desarrollo de aplicativos utilizados con fines maliciosos, como virus, ramsonware, herramientas que facilitan el hacking, etc., este grupo de talentosos desarrolladores especializados en identificar y explotar vulnerabilidades en el software y los dispositivos que utilizamos tiene un fuerte impacto en la industria de la ciberseguridad. Estos programadores venden sus servicios, su tiempo o sus productos, pero generalmente no participan activamente en los ataques. Existe todo un mercado negro de venta de herramientas de hacking, y para este tipo de desarrolladores es mucho más rentable y menos arriesgado simplemente vender los aplicativos, o llevarse una comisión por su uso, que ser parte activa de un ataque y exponerse. Muchos hackers también pueden optar por desarrollar sus propios programas en lugar de comprarlos o por utilizar programas ya existentes y modificarlos para la tarea puntual. Parte del desafío de la compra de código es que, una vez utilizado, la “huella” del programa es identificada por las empresas de seguridad o de antivirus, lo que reduce su eficacia para sus futuras víctimas y obliga a constantes mutaciones de una misma idea. Ambas caras de este mercado, tanto atacantes como quienes buscan identificar ataques, se verán transformadas por el uso de la Inteligencia Artificial, tanto sea para mejor esconder software malicioso como para identificarlo basado en su comportamiento.
Ladrones de identidad: Como su nombre indica, esta categoría se refiere a criminales principalmente orientados a adquirir identidades que pueden ser usadas para estafas o bien para cometer otros actos ilícitos sin exponer su identidad real. Con los millones de datos personales filtrados cada año por empresas que fueron víctimas de ciberataques, realmente nadie está a salvo de tener su identidad robada y utilizada por un criminal. Es posible que esta tendencia obligue a países a generar un nuevo tipo de identidad digital que permita a sus propietarios tener un mayor control sobre su información, a la vez que presenta un futuro potencialmente distópico con gobiernos capaces de interrelacionar todas las acciones online y offline de un individuo. Es probable que veamos la implementación de este tipo de tecnologías en conjunto con la promulgación de Monedas Digitales emitidas por Gobiernos Centrales (CBDC, Central Bank Digital Currency), correlacionando una identidad universal con monedas asignadas para ser solo utilizadas por la identidad seleccionada, durante un periodo preestablecido, en una región habilitada y en los bienes y servicios autorizados centralmente. Existen alternativas descentralizadas para solucionar el problema de la gestión de identidad, pero de momento no hemos visto mayor tracción en esta dirección y parece seguro asumir que resolveremos la situación mediante la centralización de la validación de identidades. La motivación de limitar este problema obedece también a la creciente cantidad de dispositivos, cuentas, servicios, procesos y tantos otros usos donde disponemos de diversos correos y contraseñas, muchos dispersos, redundantes y ya filtrados en ciberataques anteriores.
Proveedores de infraestructura: Una categoría que no suele mencionarse con frecuencia es la de aquellos criminales que proveen la infraestructura que otros criminales utilizan para ejecutar ataques. Por ejemplo, los ataques de denegación de servicio (DDoS, en los que miles de ordenadores tratan de conectarse con un servicio o web en particular, colapsando el sitio, que es incapaz de tolerar el enorme volumen de solicitudes) requieren de un proveedor que pueda facilitar estos miles de equipos. Estos grupos se dedican a infiltrar millones de equipos conectados a Internet de forma masiva, desde ordenadores hasta lavadoras, monitores de bebé, tostadoras, aires acondicionados, aspiradoras, asistentes, teléfonos móviles, luces inteligentes y cámaras de seguridad. Cualquier equipo conectado a Internet puede colaborar en esta tarea, creando una red de equipos zombis que pueden ser alquilados para atacar, como distracción en un ataque o bien para cubrir las huellas del verdadero atacante. Este tipo de proveedores de servicios para criminales están solo interesados en conquistar infraestructura para ser utilizada o alquilada en ataques propios o de terceros, y viven del enorme volumen de dispositivos con mínima (o nula) seguridad. Aquí vale destacar también una responsabilidad del consumidor, que mientras no exija y elija productos con mayor ciberseguridad y se limite a comprar la cámara de vigilancia, el monitor para bebés, las luces de colores o los calentadores de agua más económicos para controlar desde el teléfono móvil, los hackers seguirán utilizando estos dispositivos como zombis para sus ataques. La responsabilidad aquí también es compartida con proveedores que fabrican dispositivos sin el menor interés por la seguridad digital de los usuarios.
Nuevas categorías de criminalidad aparecen a medida que más personas se acercan a la informática, dado que siempre existirá un porcentaje ínfimo pero no nulo de individuos que utilizarán lo aprendido para sacar ventaja del resto. Las dificultades que presenta para las organizaciones conseguir personal idóneo en ciberseguridad son las mismas que en el mundo del crimen; la diferencia radica en los incentivos disponibles en cada región y las asimetrías entre atacantes y defensores, particularmente cuando consideramos a qué riesgos están expuestas las organizaciones y a qué riesgos están expuestos los atacantes.
Es un desafío intentar generalizar el mundo del hacking, de igual manera que sería complejo intentar definir el mundo del crimen en general. Sin embargo, es tal es desconocimiento y la desinformación generalizada sobre el mundo del cibercrimen que considero que este enfoque dará al lector al menos una base más sólida para comprender a sus potenciales oponentes, y quizá visualizar con mayor realismo quién se encuentra del otro lado del teclado y qué lo motiva. Cada persona encontrará sus propias motivaciones para dedicarse al hacking, y como bien menciona Bruce Bueno de Mesquita, “el hombre tiene dos razones para actuar, una buena razón y la verdadera razón”. [8] Esperemos que el futuro presente oportunidades para que estas personas interesadas en la mentalidad del hacking puedan aplicar sus talentos y conocimientos en causas positivas para sí mismas y para la sociedad, así como también esperemos que el aumento del hacking no sea utilizado para amplificar nuevos miedos en la sociedad y facilitar la implementación de mayores controles y mecanismos de vigilancia diseñados para “proteger” a la población.
1.4 Afiliaciones y grupos organizados
Esta característica es de notable importancia y sensibilidad, puesto que cuando se realiza un ciberataque no solo se busca identificar al culpable, sino identificar a la organización que está detrás del ataque, en especial cuando alcanza un elevado nivel de complejidad y coordinación. Los ataques más complejos requieren, por lo general, de una organización que coordina y financia y que naturalmente define los objetivos concretos de la operación.
Sin entrar en detalles técnicos, es útil comprender que los ataques más sofisticados requieren una fuerte inversión y coordinación para ser ejecutados. Requieren dinero que se invierte en infraestructura para tener equipamiento de última generación, que, por ejemplo, puede ser utilizado para romper encriptaciones o para encontrar contraseñas probando billones de combinaciones (en lo que se conoce como ataques de fuerza bruta). Esta financiación también se usa para comprar el equipamiento necesario para incursiones físicas en edificios o para realizar tareas de vigilancia, equipamiento que sube de precio si se desea comprar en el mercado negro sin dejar rastro de las compras. Mucho del equipamiento debe ser descartado luego del ataque. En ocasiones es necesario comprar o fabricar identidades y documentación legal. Operar y mantener seguros estos equipos también requiere una fuerte inversión, así como pagar nodos donde rebotar conexiones para dificultar el rastreo. Estas operaciones pueden durar meses, con varios expertos en diversas áreas, desde los que escriben malware hasta los que obtienen fotos o planos del lugar. También se necesita dinero para comprar información, complacencia por parte de empleados o insiders y hasta para montar empresas falsas. Si los objetivos son industriales, se necesitará una gran cantidad de capital para comprar equipamiento gemelo al que se busca destruir o afectar con el objetivo de realizar pruebas de concepto e identificar (o comprar si existen) nuevas vulnerabilidades en el software o hardware del equipo. Puede ser tan simple como una válvula electrónica en una tubería de petróleo o tan complejo como una centrifugadora usada en reactores nucleares. Tal es la importancia de estos grupos que el propio FBI tiene en su lista de cibercriminales más buscados a hackers iraníes y rusos en sus primeros puestos.
