Por varias semanas discutimos el infortunio, si así se puede denominar al incidente que en 2021 sufrió la organización privada “Colonial Pipeline” (https://rb.gy/r7srl2), víctima de un ataque de “Ransomware”.También nos adentramos en el trasfondo real de la inseguridad de los sistemas que gobiernan la infraestructura crítica de una nación.
El primer aspecto referido fue la inseguridad intrínseca en la producción de software, para automatizar el control y gestión técnica de esa infraestructura. El segundo argumento presentado se vincula con la construcción genérica de cualquier producto especializado para infraestructuras críticas y sus premisas de diseño. Esas tareas demandan un trabajo notable, tiempo y alto costo; además con frecuencia algunas de esas suposiciones de diseño, resultan desconocidas para los clientes, quienes en otras ocasiones suponen falsas concepciones y las contradicen durante la configuración o uso, debilitando con ello las arquitecturas.
Además, hay una etapa que exige mucho esfuerzo, ya que con sumo cuidado se debe amoldar el hardware industrial con software dedicado. Por ejemplo, se opera con Controladores de Lógica Programable (PLC), Unidades Remotas bajo Control Central, elementos del tipo Interfaz Humano Computador (HMI), sensores a distancia y otros dispositivos de interacción directa con la planta industrial o servicios. Así que no abundan cientos de alternativas y con naturaleza diversa, que le den a cada cliente facilidad para sustitución. Por el contrario, el margen de maniobra es estrecho y existe más uniformidad de productos que con los sistemas de información modernos. Algo que con frecuencia resulta desventajoso en materia de ciberseguridad.
La tercera y última razón radica en el trabajo del personal de ciberseguridad y es que este va detrás de los cibercriminales. Desde su misma formación académica hasta los presupuestos con los que trabajan a diario, los profesionales están más de manos atadas que los ciberdelincuentes. Históricamente, los pensum de estudios han tratado ciberseguridad como una cenicienta, cursos electivos o relleno al final de las carreras tradicionales de computación, electrónica y telecomunicaciones. Las recetas tecnológicos han predominado en los programas de estudio, relegando la aproximación soportada por la ingeniería. De forma que es en esta última década que se están abriendo carreras dedicadas al área, con profesores actualizados en esta materia, laboratorios de punta y ágiles vínculos con la empresa privada, que faciliten la experiencia que realmente se demanda. Llevamos décadas advirtiendo que no es igual la mente de un ingeniero, que la de un delincuente y que si el ingeniero no es capaz de leer y anticipar las futuras acciones del criminal, nunca podrá estar ni siquiera a su nivel. La generación bien formada viene en camino, pero se estima que necesitará al menos una década para satisfacer la demanda de personal que ya existe en el mercado laboral.
Un cuarto elemento relevante y necesario de señalar es que a la alta gerencia le cuesta pagar por protección y más, si piensa que invierte miles de dólares y estos no se perciben como debidamente justificados. Seguramente los sistemas son atacados y que no caigan, es la primera señal de un retorno de inversión, pero ello no es fácil notar por la alta gerencia. Comúnmente, el personal operativo de tecnología es quien puede ver la traza de los hechos, pero fuera de ese ámbito es difícil visualizar los peligros sorteados. Puede que sea un problema de mala comunicación, visibilidad incompleta, desconocimiento para explicar los riesgos reales o la presión para obtener una ganancia directa e inmediata, tal como muchas gerencias están acostumbradas a procesar. Lo común es que las organizaciones invierten en seguridad después de haber tenido una mala experiencia. Formar empleados en ciberseguridad, cambiar organigramas, alterar reglamentos internos y supeditar el poder de las tradicionales unidades de tecnología, ante una de ciberseguridad que les pueda negar cosas, tiende a tener mucha resistencia corporativa. Y para colmo, en nuestro tiempo algunos de los grupos de criminales parecen colaborar con naciones – estado, por lo que pueden conseguir con facilidad recursos para sus fechorías.
¿Cómo esperar entonces que una organización tenga una buen y efectivo plan de respuesta y/o contingencia ante un grave ataque?
Ese valor es elevado para las infraestructuras críticas y ello contribuye a la alta tasa de empresas que prefieren pagar los bitcoins que le piden los ciberdelincuentes. Por supuesto que hay alternativas a cancelar el rescate y también existen modos más precisos de aguantar la arremetida. Pero todo inicia con varias decisiones significativas que deben tomarse y una de las primeras es definir ¿cuánto está usted dispuesto a pagar?. Si usted piensa cancelar hasta la terapia psicológica de su personal de Tecnología de la Información, que pudiese verse afectado tras un ataque de Ransomware, entonces la suma será notable. En la práctica, llegamos al punto donde todo empresario pone dinero, pero exige ver la utilidad y beneficio de cada moneda invertida. ¿Se imagina haber gastado anualmente en productos especializados, auditorías, personal calificado, certificaciones y tras varios años de esfuerzo caer como víctima?. Fue el caso de Colonial Pipeline y es para poner los pelos de punta a más de un gerente.
Ciberseguridad es más un asunto parecido a leer bien las amenazas, trabajar con ellas y preparar escenarios. Eso no lo hace cualquiera, aquí usted puede salvarse por cosas tan variadas como son una cadena de cálculos de probabilidad condicionada, una simulación de contención del daño o un artificio propio, que escondió para despistar a su atacante. Aquí no hay soluciones mágicas, ni tónicos que lo curan todo. Las herramientas a usar se enmarcan en un sistema y hacer eso bien cuesta, al igual que el trabajo de quien las concibe, aplica, configura o supervisa. Y es que este negocio de proteger es más un asunto de imaginación, que de repetir soluciones o una lista de recomendaciones que leyó en Internet. En efecto, el conocimiento es muy valioso, pero sin experiencia real, puede volverse en su contra. Tal como ocurriría con un revólver que usted llevaba para su seguridad y le fue silenciosamente extraído. Así que con esta materia no se trata de adquirir o usar tecnología costosa, es más un tema de lo que los humanos hacen con la tecnología. El académico Matt Bishop lo resumió muy bien: “El corazón de cualquier sistema de seguridad es la gente”.
De forma que, contar con el personal apropiado es el punto de buen inicio. No lo es todo, pero sin gente que comprenda verdaderamente lo que enfrenta su empresa y no le diga verdades, lo cual puede resultar desagradable, es difícil que pueda estar al margen de las ciberamenazas de nuestro mundo moderno. Y preste atención a esto, hay profesionales que hacen este trabajo y bien, pero si busca ayuda, asegúrese de que su interlocutor lo sea. Evite caer en manos de simples vendedores de tecnología o de quienes le harán comprar hasta el Taj Mahal para que duerma tranquilo. Cuídese de los vendedores de humo, ya que creer que por estar frente a un sujeto con un alto cargo, o porque el mismo llegó recomendado por una firma reconocida, incluso verificar su expediente y notar que ha acumulado muchos estudios, no le garantiza estar frente al profesional idóneo para su caso. Este negocio se llama seguridad y aquí se caen las máscaras cuando los archivos desaparecen o las conexiones se bloquean. Los verdaderos expertos saben la fragilidad de las cosas y nunca van por allí, vociferando que pueden construir barcos que el mismo Dios no puede hundir.
Use su sentido común y mucha malicia cuando contrate o adquiera algo. Exija resultados, pida que las cuentas les cuadren y ponga pruebas inesperadas (“pop quiz”), para descubrir quién es quien. Puede usar esta misma historia, que le relaté por entregas, como un examen más para separar quien verdaderamente sabe y quien no le podría ayudar. Discrimine entre el grano bueno del que lo parece, a fin de contar con apoyo y experiencia de verdadera utilidad.
Por si esta serie de escritos aún no le queda del todo claro, cerraremos con una frase de Bruce Schneier, matemático, criptógrafo y reconocido consultor de ciberseguridad, que esperamos le despeje sus dudas:
“Si usted piensa que la tecnología puede resolver sus problemas de seguridad, entonces usted no comprende los problemas y no entiende la tecnología”.
Autor: Miguel Torrealba Sánchez.
Universidad Simón Bolívar
Departamento de Computación y Tecnología de la Información
mtorrealba@usb.ve
