domingo, 13 de marzo de 2011

Postura individual de seguridad de la información: Un hábito requerido para sobrevivir ante la inevitabilidad de la falla.

Cuando se lee en los principales medios informativos en el mundo sobre la amenaza de ciberguerras, sobre armas no convencionales soportadas en desarrollos tecnológicos, ciberataques y grupos o asociaciones técnicas y/o científicas que comprometen la seguridad de las infraestructuras tecnológicas de los gobiernos y naciones, o se filtran informaciones clasificadas como secretas o ultra secretas, como se presentó recientemente con Francia, se nos viene a la cabeza historias como las de Julio Verne, que en su momento desafiaron nuestro entendimiento y confrontaron nuestra realidad.

Sin embargo, hablar de fraude en un ambiente digital, de cibercriminalidad, de vulnerabilidades e inseguridad de la información ya no es desconocido en nuestro entorno; no obstante lo anterior, seguimos conquistados por la novedad de la tecnología y sus posibilidades, con una extraña confianza en ella, como si el proveedor cuidara de los detalles de seguridad y control, como parte inherente de la entrega del producto. En este sentido, cada uno de nosotros debe advertir que al estar en un ambiente de alta conectividad y componente informático, nos vemos expuestos a operar en un escenario donde se nos “pide” compartir información, detallar configuraciones de nuestros dispositivos móviles y muchas veces entregar las especificaciones de los medios tecnológicos propios para entrar en contacto con aquello que queremos o necesitamos. (GRAGIDO, W. y PIRC, J. 2011)

Como quiera que esta manifestación de una tendencia informática en la que nos encontramos indefectiblemente nos va a atrapar, se hace imperioso desarrollar y aumentar nuestra postura de seguridad de manera proactiva, que nos permita como ciudadanos de las redes, caminar con las medidas mínimas de seguridad y control, no para evitar ser alcanzado por la inseguridad de la información o la infraestructura, sino para ser más responsables y disciplinados en nuestras interacciones en el mundo digital que nos lleva más allá de la realidad en que vivimos. (GIRGENTI, R. y HEDLEY, T. 2011)

Hoy por los CIOChief Information Officer, o llamados Vicepresidentes o Directores de Tecnología de Información o mal llamados de Sistemas, se enfrentan al desafío de una sociedad altamente alfabetizada en temas tecnológicos, la cual le exige día con día mayor velocidad, mayor capacidad y mayor libertad de acción, para hacer de la experiencia de la tecnología en las empresas, una forma de aumentar la productividad de sus empleados. En este tenor, en la aparente libertad y posibilidades que se abren con los desarrollos tecnológicos, se esconden costos humanos, técnicos y procedimentales, que aún estamos por descubrir.

De otra parte, los oficiales de seguridad de la información, como ejecutivos responsables de las estrategias de protección de la información de las empresas, al igual que sus similares (CIO), sufren de las exigencias de los individuos, que demandan servicios y posibilidades que conquisten lo mejor de los dos mundos: la novedad y versatilidad de las tecnologías móviles e interactivas, con lo mejor de las condiciones de seguridad y control disponibles en el mercado. Así las cosas y sin perjuicio de las implicaciones que esta “espinosa” realidad establece, encontrar el balance ideal o al menos requerido para entregar lo mejor a los ansiosos “usuarios” es una labor donde ambos mundos deberán ceder en sus demandas y conciliar una posición intermedia, donde ninguno de los actores sea parte dominante.

Hablar de una sociedad digital, donde día con día se abren posibilidades y negocios novedosos con la información, la movilidad y la vida virtual, es entender una transición de un modelo de sociedad conocida y validada por comportamientos del mundo físico y real, a uno donde la vida transcurre siempre “en línea”, conectado y compartiendo información, donde las distancias no existen y los límites se desdibujan con un “click”.

Este es un momento histórico de transformación de la sociedad que conocemos y abrirnos a una nueva forma de interacción, que no permite demoras en la respuesta y entiende que en la movilidad esta la respuesta a su vida agitada y de comunicación, aún ésta no alcance el sentido real y formal que exige la misma.

Desarrollar una postura real y práctica de seguridad y control en una sociedad como la actual, en transición y concentrada en el movimiento permanente de información y tecnología, requiere integrar a nuestras acciones al menos cuatro elementos conceptuales y sencillos, que nos permitan contar con las alertas mínimas requeridas para caminar por el pedregoso mundo de la inseguridad de la información en un ambiente digital.

Siguiendo los conceptos expuestos por Westerman y Hunter (2007) en su libro, IT Risk. Turning business threats into competitive advantage, publicado por Harvard Business School Press en 2007, el lenguaje de los riesgos de la tecnología de información es una herramienta fundamental y básica que nos debe sensibilizar para avanzar en la construcción de una red de actividades cotidianas para asegurar una adecuada interacción con internet y todo lo que ella conlleva.

Según los autores, los temas de disponibilidad, control de acceso, exactitud y agilidad deben ser el nuevo modelo de entendimiento de nuestra relación con la avalancha de exigencias de movilidad y la realidad de la sociedad digital. Como se puede observar, estas cuatro palabras, no hablan de restricciones o conductas que requieran entendimientos sofisticados, sino más bien de acciones conocidas y disciplinadas para hacer de nuestra experiencia informática y tecnológica, una verdadera renovación permanente de nuestro entendimiento de la red y sus posibilidades.

Cuando hablamos de disponibilidad, no demandamos ni establecemos niveles de exigencia del 99.9% de operación de las plataformas de los proveedores de servicios de información, sino nuestras estrategias y acciones para estar preparados y continuar funcionando cuando el 0.1% se materialice. Esto es, tener la disciplina de mantener resguardados nuestros datos y la forma de tener acceso a ellos, mientras la condición de falla parcial o total se presenta. Así, la disponibilidad vista de esta forma, nos mantiene entrenados en la práctica de la prevención, que a todas luces resulta más económica que una actividad reactiva o de reparación.

De igual forma, cuando de control de acceso se trata, no estamos hablando de restricciones o formas de evitar que la información se conozca, sino de la forma cómo nosotros seleccionamos a quién(es) permitimos conocer nuestra información; hablamos del cuidado que tenemos para cuidar nuestros documentos personales y privados, del algoritmo personal que utilizamos para saber quién digno de nuestra confianza y cómo aseguramos que la información no toma caminos equivocados que terminen comprometiendo nuestra imagen, nuestras acciones e incluso poner en riesgo la vida misma o la de otros.

Revisar el tema de la exactitud, en inglés, accuracy, es advertir la gran huella digital que dejamos al navegar por internet, el conjunto de datos que constantemente estamos registrando en los diferentes sitios, que con el paso del tiempo se confunden y pierden su relación, por la renovación permanente de esta biblioteca 7x24x365 como lo es internet. Al no advertir esta realidad, la sombra digital, es decir, aquellas cosas que se puede decir con nuestra información, inmersa en los registros y documentos que dejamos al visitar la red, podrá ser susceptible de interpretación por los navegantes o utilizada por terceros inescrupulosos para crear los peores momentos de contradicción y riesgo, con un manejo inexacto de nuestra realidad, que cuestione incluso nuestros valores, actividades y manifestaciones dejando en entredicho lo que somos y hacemos.

La exactitud es esa responsabilidad que todos debemos tener con el manejo de nuestra información en cualquier escenario tecnológico, como esa conciencia permanente de nuestro actuar e interacción con la red, que nos permite mantener la prudencia en lo que compartimos, conversamos y revelamos, pues al final del día, todo lo que digamos, compartamos o revelemos será nuestra pesadilla o nuestra redención.

Finalmente la agilidad, es esa condición y característica que la tecnología debe brindar para hacer que las cosas pasen, ese entendimiento de cómo comprender las necesidades de los individuos y articular los modelos de negocios de las empresas. La agilidad, se alcanza sólo si se cuentan con buenos elementos de seguridad y control. Es decir, nadie es tan avezado y temerario (bueno, ¿algunos pocos?) de conducir un vehículo a muy alta velocidad, sin contar con un sistema o mecanismo de control que le permita detenerse cuando es debido. De igual forma, la agilidad en términos tecnológicos y en el paisaje de la red mundial de información, no podrá avanzar más rápido y de manera decidida, sin contar con unos buenos sistemas de seguridad y control, que permitan acelerar su desarrollo e integración con los diferentes actores sociales.

En este sentido, se hace necesario entender la agilidad en el contexto de los sistemas de protección y prácticas de seguridad de la información, que permitan tanto a los habitantes de la red, como a los proveedores, encontrar rutas alternas, que utilizando las condiciones básicas de aseguramiento de sus plataformas y las buenas práctica de protección y control de la información, establezcan la plataforma de aceleración que beneficie tanto a los individuos como a las empresas para alcanzar mayores niveles de desarrollo y generación de valor para sus accionistas y grupos de interés.

Considerando estas cuatro condiciones o elementos de reflexión, podemos establecer lo que podríamos llamar una postura individual de seguridad de la información que nos permitan mantener un nivel mínimo de paranoia administrable, que mantenga un sistema de alertas prudente y proactivo; que exija de nosotros una adecuada protección de la información, entendida como el hábito en el que desarrollamos una disciplina permanente para entender los riesgos a los cuales está expuesta, como parte natural de nuestro diario vivir en medio de una sociedad de la información y el conocimiento.

En consecuencia, cuando nos apropiamos de las prácticas de seguridad de la información, de nuestra preparación ante los sucesos inesperados, de nuestra responsabilidad sobre la circulación de la información, de nuestra forma de cómo brindamos acceso a ella, y entendemos que la velocidad de nuestra interacción con la red, depende de nuestros sistemas de seguridad y control, estamos creando un sistema de detección de amenazas inherente a las interacciones sociales digitales, que evoluciona conforme la exigencia de la red lo requiere, no como un estrategia de regulación impuesta por un tercero, sino como referente natural del mismo sistema, que cuestiona, enfrenta y descubre las intenciones de aquellos que quieren atentar contra el orden que balancea las más exigentes necesidades de los individuos y las condiciones de seguridad y control requeridas para su adecuado desempeño.

Si bien aún estamos muy distantes de este ideal, sea esta reflexión una excusa académica para cuestionar nuestra zona de confort y poner a tambalear la inercia misma donde descansa nuestra postura individual frente a la protección de la información.

Referencias
WESTERMAN, G. y HUNTER, R. (2007) IT Risk. Turning business threats into competitive advantage. Harvard Business School Press.
GIRGENTI, R. y HEDLEY, T. (2011) Managing the risk of fraud and misconduct. Meeting the challenges of a global, regulated, and digital environment. McGraw Hill
GRAGIDO, W. y PIRC, J. (2011) Cybercrime and espionaje. An analysis of subsersive multivector threats. Syngress.

domingo, 6 de marzo de 2011

Cibercrimen: Evolución y desafíos en una sociedad digital

Hablar de cibercrimen, de delitos informáticos, de ciberdelicuencia, de crímenes por computador, u otra denominación semejante, pareciera que detallara reflexiones en terrenos desconocidos, efímeros o contradictorios para una sociedad de la información y el conocimiento, una sociedad donde estamos acostumbrados a la conectividad, donde somos adictos a la información y sobre manera nos encanta estar en movimiento.

En este sentido, comprender las conductas punibles en este contexto requiere analizar un perfil diferente de delincuencia, que si bien mantiene los viejos hábitos del crimen en el mundo real, propiciados muchas veces por nuestra constante exposición e inadecuado manejo de los riesgos, establece un reto interesante para todos aquellos que deseamos entender el modus operandi de estos nuevos actores y sus oscuros propósitos en una sociedad digital.

Siguiendo algunos apuntes del libro de GRAGIDO y PIRC (2011) en sus capítulos siete y ocho, trataremos de plantear algunas ideas sobre cómo estos nuevos ciberactores del mal, encuentran en algunas variables sociales nuevas motivaciones para marcar una nueva diferencia en el desarrollo de actividades delictivas, utilizando a la tecnología como cómplice y medio para materializar sus acciones.

De acuerdo con los autores para comprender mejor el fenómeno del cibercrimen, se hace necesario considerar al menos tres variables básicas, que responden primordialmente a modelos generales de comprensión de esta realidad, al cual se le agrega un elemento denominado vector de ataque, que busca incorporar en la ecuación planteada, el abuso de los servicios tecnológicos o los usos de técnicas de hacking tradicionales y elaboradas, con el fin de materializar sus actos y generar la zozobra y la inestabilidad en el entorno donde se manifiesten.

(1) Experiencia + Motivación + Vector de Ataque = Resultado

La experiencia es una variable que mide la habilidad del ciber actor, su nivel de exposición a la tecnología y sus usos, las habilidades que posee para desarrollar sus actividades, sus contactos personales y capacidad de diseño de ataques que permitan o no su posterior nivel de rastreo. La experiencia nos dice con quién estamos tratando, quién es la persona que debemos comprender y qué destrezas requerimos para avanzar en su seguimiento, análisis y estrategias para su judicialización.

De otra parte y de manera complementaria tenemos la motivación, esa fuerza interior que mueve al posible delincuente para adelantar sus acciones, esa movilización de la voluntad bien centrada en el reto con la máquina, o en las creencias o racionalizaciones válidas en su mundo, que permiten encontrar en la acción punible una respuesta a sus necesidades o reflexiones más íntimas. De igual forma, a través de la motivación, es posible explicar aquellos modus operandi planteados por el delincuente, siempre y cuando sea posible estudiar el contexto de sus relaciones con otras personas o círculo de influencia, que de manera importante determinan las actuaciones de estos individuos.

El vector de ataque es una variable interesante, pues vincula tanto la experiencia como la motivación en el escenario de ataque, con el fin de validar cómo las habilidades y móviles personales o grupales, hacen evidente la aplicación de las técnicas y tecnologías para lograr sus propósitos. Comprender con claridad la experiencia o el expertise del atacante, así como sus motivaciones, establece un claro contexto para desarrollar acciones que permiten tomar acciones proactivas para prevenir futuros movimientos, sin embargo, no es suficiente pues los vectores de ataque son los que establecen los móviles de operación que al final hacen la diferencia en las investigaciones de sus acciones de manera posterior.

Se dice que actualmente el cibercrimen responde a intereses de mafias organizadas y organizaciones criminales internacionales, que tienden sus redes a través de comunicaciones abiertas y tradicionales para evadir el cerco de las autoridades internacionales. Si bien comprenden que las conductas tradicionales como robo, falsificación, manipulación, asalto, suplantación entre otras, son verbos que conocen y conjugan muy bien, se están moviendo en el diseño de nuevas redes de apoyo y servicios para hacerlo de manera masiva, a bajo costo y de difícil rastreo.

En consecuencia, estamos observando cómo cada vez más advertimos organizaciones criminales, perfectamente instaladas, con roles y responsabilidades que articulan las diferentes habilidades y potencialidades de sus integrantes con el fin de alcanzar sus acciones de manera efectiva con las consideraciones planteadas en el párrafo anterior. Así, se pueden encontrar hoy en las organizaciones de este estilo las mulas electrónicas, programadores o codificadores, distribuidores, hackers, defraudadores (ingenieros sociales), los recolectores de cuentas de correo o cuentas bancarias, por supuesto, los líderes de la organización. (GORMAN, S. 2010)

Esto lo que nos dice es que el “crimen está organizado”, que se prepara para competir en un entorno digital no solamente contra los desprevenidos ciudadanos “de a pie”, sino para entrar en la grandes ligas, como son las empresas y los estados. No por nada, cada vez que se presenta en público un nuevo producto tecnológico o una estrategia comercial de apoyo a la gestión de la empresa, se encuentran nuevas propuestas de “aprovechamiento” por parte de la delincuencia, pues ellos entienden que hacer significa ganar una diferencia importante para consolidar sus estrategias en esta sociedad digital.

Algunos ejemplos de esta situación lo podemos ver en reciente incidente con el troyano denominado ZEUS, el cual estaba orientado hacia los temas financieros, cuyo modus operandi conocía claramente los controles financieros y las estructuras de seguimiento a las transacciones bancarias, para lo cual se utilizaron diferentes pasaportes de diferentes nacionalidades para materializar el ilícito, una estrategia que se sustenta en la habilidad para usar los controles establecidos en contra de sus propios diseñadores. La mayoría de las transacciones efectuadas tuvieron como actividades básicas el robo de identidad, el robo de números de tarjetas de crédito, el lavado de dinero, la explotación de vulnerabilidades y la venta de servicios. (SCARBOROUGH, T. 2010)

Así como este caso, se tienen documentadas actividades más elaborados alrededor de temas como negación de servicios gubernamentales, espionaje militar, desarrollo de capacidades basados en ciberarmas (botnets avanzadas para negación de servicios y espionaje, armas de pulsos electromagnéticos, modificaciones de hardware y software con fines destructivos o espionaje, bombas lógicas avanzadas, virus a la medida: polimórficos, de hipercontagio, multiplataforma y cifrados), las cuales nos hablan de un nuevo escenario de guerra y diferenciación estratégica de estados y organizaciones, que se mueven entre lo legal y lo ilegal.

Si durante la década de los 90’s internet era una biblioteca en línea, donde podíamos encontrar lo que necesitábamos, así como tener una experiencia diferente para ser parte de un nuevo mundo, de una realidad extendida y llena de oportunidades, durante la primera década del nuevo milenio, internet es una capacidad necesaria para competir en un terreno global y estar en permanente contacto con los clientes, quienes ahora están más informados, empoderados y demandantes de nuevos servicios para seguir una experiencia extrema en el uso de la red y así retar a diario su modelo de operación y de negocios.

En los albores de una nueva década (2010 – 2020) estamos a la espera de un nuevo amanecer de posibilidades como dinero electrónico, banca totalmente móvil, locker digital en la nube, medicina basada en telemetría, mundos tridimensionales extendidos y móviles, redes inalámbricas en la nube, servicios de telecomunicaciones planos y gratuitos, redes extendidas de contenidos agregados y personalizados, en fin una gama abierta de oportunidades, que estarán monitoreadas por la delincuencia digital organizada, que se ha venido preparando para competir en estos mismos terrenos (fraude como servicio, hacking como servicio, virus como servicio, entre otros), entendiendo estos desafíos y cómo evolucionan las motivaciones de sus posibles objetivos, para de la mano con su cómplice, la inseguridad de la información, nos pueda sorprender y cuestionar frente a nuestros comportamientos, hábitos, rutinas y posturas frente a la protección de la información.

Si bien aún nos falta mucho camino por recorrer en el entendimiento del cibercrimen, debemos estar atentos a los rastros que se advierten en cada incursión de la delincuencia organizada, para que podamos de manera conjunta continuar analizando sus patrones de actuación, capitalizando nuestro conocimiento del enemigo y así, afirmar como lo advirtió Kennedy en su momento:

“Los problemas no están todos resueltos y las batallas no están todas ganadas; y estamos hoy al borde de una nueva frontera, una frontera de desconocidas oportunidades y peligros, una frontera de esperanzas y amenazas no cumplidas”.

Por tanto, se hace necesario mantenernos extraviados y confundidos en nuestro camino, para poder desaprender en medio del incertidumbre y así, enfrentar la contradicción que nos propone la delincuencia frente a nuestros controles y la confianza que debemos desarrollar frente a los medios y posibilidades en las plataformas basadas en tecnologías de información y comunicaciones.

Referencias
SCARBOROUGH, T. (2010) Electronic Fraud and the Evolution of Cybercrime. Disponible en: http://www.kasbo.com/documents/2010_Spring_Handouts/8B-Electronic%20Fraud%20&%20the%20Evolution%20of%20CyberCrime%20Optimized.pdf (Consultado: 7-03-2011)
GORMAN, S. (2010) 'Hackers' atacan a miles de empresas y agencias gubernamentales en 196 países. http://sonicwallblog.blogspot.com/2010/02/hackers-atacan-miles-de-empresas-y.html (Consultado: 7-03-2011)
GRAGIDO, W. y PIRC, J. (2011) Cybercrime and espionaje. An analysis of subsersive multivector threats. Syngress.