Di sí a la ciberinmunidad y no al miedo

1 Ago 2019

Llevo más de 15 años en la industria de la ciberseguridad. Durante este tiempo, y junto con otros veteranos de la seguridad informática, experimentamos de primera mano el revuelo por el aumento del FUD (miedo, incertidumbre y duda, por sus siglas en inglés). Debo admitir que funcionó. En esta ocasión, la ciencia del neuromarketing acertó y el miedo ayudó mucho a vender productos de seguridad. Pero, como todo medicamento fuerte, el FUD presentaba un efecto secundario. Y no solo uno, sino muchos.

Nosotros, como parte de la industria, no podemos escapar al FUD porque somos adictos a él. Para nosotros, el FUD se manifiesta en algunos de nuestros clientes que exigen pruebas de que hablamos de peligros reales y no de posibles brechas. Por desgracia, la mejor prueba de que un peligro es real es cuando sucede algo malo. Y por ello, los medios informativos también se han hecho adictos al FUD. Cuantos más sean los millones de dólares (o euros, o la moneda que sea) que alguien pierda, más llamativa será la historia.

Entonces, entran en juego los reguladores, con su tendencia a responder de modo desmedido y a exigir el cumplimiento estricto de las normas y las multas. En la práctica, eso deja atrapados a los investigadores de seguridad, los desarrolladores de un producto, los comercializadores, los medios y los organismos reguladores en una situación que en la teoría del juego se llama el dilema del prisionero: se trata de una situación en la que todos los jugadores deben utilizar estrategias insuficientes porque, de otro modo, equivaldría a perder. En el caso de la industria de la seguridad informática, el uso de estrategias insuficientes equivale a producir incluso más FUD.

Para escapar de esta trampa, debemos comprender una cosa: el futuro no se puede construir a partir del miedo.

El futuro del que estoy hablando no está lejos: ya está aquí. Los robots ya conducen camiones y se pasean por Marte. Escriben música e inventan nuevas recetas culinarias. Este futuro dista mucho de ser perfecto desde muchos puntos de vista, incluyendo el de la ciberseguridad, pero estamos aquí para darle fuerza, no para obstaculizarlo.

Hace poco, Eugene Kaspersky aifrmó que “pronto quedará obsoleto el concepto de ciberseguridad y la ciberinmunidad ocupará su lugar.” Esto puede sonar extraño, pero tiene un significado más profundo que merece la pena explicar. Dejad que profundice un poco en el concepto de ciberinmunidad.


Ciberinmunidad es un gran término para explicar nuestra visión de un futuro más seguro. En la vida real, el sistema inmune de una organización nunca es perfecto y los virus y otros microbios patógenos encuentran modos de engañarlo o incluso de atacarlo. Sin embargo, los sistemas inmunes comparten un rasgo muy importante: aprenden y se adaptan. Se pueden “educar” con vacunas para combatir peligros potenciales. En momentos de peligro, podemos asistirlos con anticuerpos preparados.

En ciberseguridad, solíamos enfrentarnos sobre todo a los segundos. Cuando nuestros clientes de sistemas informáticos eran víctimas de una infección, teníamos que estar preparados con soluciones. Y es allí donde comenzó la adicción al FUD, con los proveedores de seguridad dispuestos a prestar auxilio frente a enfermedades sumamente perjudiciales. Esa sensación de “superpoder” resultó adictiva para los proveedores de seguridad informática. Decíamos “sí, es hora de usar antibióticos potentes porque, créenos, el problema es muy grave.” Pero el uso de antibióticos potentes solo tiene sentido cuando la infección ya se ha afianzado, lo cual, todos estamos de acuerdo, no es ni de cerca un escenario ideal. En nuestra metáfora de ciberseguridad, habría sido mejor si el sistema inmune pudiera haber detenido esa infección antes de que se desarrollara.

Hoy, los sistemas se han vuelto muy heterogéneos y no pueden verse fuera del contexto de los seres humano: quienes operan esos dispositivos y quienes interactúan con ellos. La demanda por “educar el sistema inmune” ha llegado a ser tan grande que estamos viendo una tendencia hacia priorizar la prestación de servicios, incluso por encima del producto, el cual solía ser primario. (En la actualidad, el “producto” es en muchos casos una solución personalizada, algo que se adapta a las especificaciones del sistema informático).

Pero el entendimiento de esta visión no llegó de inmediato. Y como sucede con las vacunas, no se trata de una estrategia con una dosis única, sino de una serie de intentos de vacunación destinados a un mismo objetivo: alcanzar una ciberinmunidad más sólida para un futuro más seguro.

En primer lugar, solo se puede construir un futuro más seguro sobre la base de la seguridad.  Creemos que esto es posible cuando todos los sistemas se diseñan desde el principio teniendo en mente la seguridad. Las aplicaciones reales en las telecomunicaciones y la industria automotriz ya están poniendo a prueba nuestra estrategia visionaria. Los fabricantes de automóviles se interesan particularmente por la seguridad, por lo que nuestra misión declarada de “construir un mundo más seguro” es crítica. En el mundo automotriz, la seguridad significa protección de verdad.

Al igual que con las vacunas biológicas, prevemos que el concepto de ciberinmunidad se recibirá con escepticismo. La primera pregunta que esperaría escuchar es: “¿Podemos confiar de verdad en la vacuna y su vendedor?” La confianza en la ciberseguridad es de gran importancia y creemos que simplemente con nuestra palabra no es suficiente. Si los clientes de una firma de ciberseguridad desean ver la seguridad y la integridad del software, tienen todo el derecho de exigirlo, bajo la forma de código fuente. Lo ponemos a su disposición; todo lo que el cliente necesita es una mirada atenta y un PC en el que analizar cómo funcionan las cosas. Sin embargo, necesitamos un PC en condición sanitaria para que visualice el código para garantizar que los observadores no falsifiquen el código por su cuenta. Y de la misma forma que buscas las opiniones de varios médicos, confiar en un tercero para que vea el código también tiene sentido. Con las soluciones informáticas, los representantes de las cuatro grandes auditoras pueden ser los revisores externos, quienes pueden explicar lo que significan para tu negocio esos bits y bytes.

Otro componente importante es la capacidad del sistema inmune de soportar ataques en su contra. El software de ciberseguridad sigue siendo un software y puede tener defectos. La mejor manera de conocer estos defectos es exponerlos a los llamados hackers de sombrero blanco que encuentran defectos para notificarlos a los proveedores. La idea de ofrecer un premio por encontrar errores en el software, adoptada por primera vez en 1983, fue absolutamente brillante, pues redujo enormemente los incentivos financieros para los hackers de sombrero negro (quienes examinan cuidadosamente los defectos hallados o los venden a otros cibercriminales). Sin embargo, los hackers de sombrero blanco exigen garantías de que la empresa que investigan no tomará acciones contra ellos y los llevará a juicio.

Donde hay demanda, hay oferta, así que recientemente hemos visto sugerencias para los acuerdos entre los investigadores y las empresas, de modo que los primeros puedan intentar invadir a los segundos sin temor a ser acusados de algún crimen y siempre que sigan las reglas. Pienso que al movernos en esta dirección estamos dando un paso hacia un futuro más seguro; uno donde se instigue menos miedo que en el pasado. Este viaje, sin embargo, llevará tiempo.