jueves, 1 de marzo de 2018

Ciberconflictos en la era digital: Ciber-axiomas y recomendaciones


Introducción

La dinámica global del mundo que conocemos ha cambiado. La acelerada evolución de la tecnología y los nuevos activos digitales, establecen tensiones emergentes entre las naciones para encontrar lugares privilegiados que le permitan influir en sectores no tradiciones y crear condiciones favorables para sus ciudadanos, no sólo en el despliegue de actividades y acciones productivas de alcance internacional, sino en el posicionamiento de una doctrina global de seguridad y control (Choucri, 2012).

Esta nueva realidad, crea escenarios más asimétricos y menos predecibles, como quiera que en un contexto digitalmente modificado, los diversos actores que participan tienen capacidad de influencia y desestabilización, bien por vías conocidas como organismos multilaterales y cumbres políticas, o por rutas alternas como grupos de agresores digitales en las sombras (generalmente patrocinados por estados), que diseñan, desarrollan, despliegan y ejecutan operaciones en el ciberespacio, con propósitos específicos, como pueden ser algunos de ellos APT29, Lazarus, Remsec, entre otros (Kello, 2017).

En razón con lo anterior, no es ingenuo pensar que estamos en medio de un ciberconflicto global, donde las naciones ahora, establecen posturas geopolíticas e infopolíticas (basadas en el manejo de la información) para crear y ganar ventajas estratégicas en el ciberespacio, con el fin de crear un imaginario de “control”, que procure debilitar posiciones de “poder” conocidas, y motivar movimientos de comunidades internacionales para introducir inestabilidades imperceptibles en el ciberdominio, lugar donde las interacciones de los diferentes actores: personas, empresas y estados, se hace realidad, a través del engaño y la disuasión (Green, 2015).

Ciber-axiomas: Verdades transitorias para los ciberconflictos en el entorno digital 

En este contexto, los ciberconflictos establecen una serie de ciber-axiomas en un entorno digitalmente modificado, que permiten reconocer algunos patrones de actuación y efectos que se vienen presentando en el marco internacional, para identificar movimientos de las naciones y sobremanera, consecuencias que deben advertir las empresas, como quiera que son ellas y los ciudadanos, los que están expuestos a las diferentes ciberoperaciones que se adelantan entre los intereses globales.

Los ciber-axiomas, de acuerdo con Sienkiewicz (2017), se pueden resumir como:
  • Efecto de red: Un bien o servicio adquiere valor en la medida que aumenta su utilización y sus flujos de información pueden generar activos digitales interesantes para otros grupos de interés.
  • Guerra sin restricciones: Todos los medios posibles se pueden utilizar para crear inestabilidad y cualquier actor de la sociedad puede ser un objetivo.
  • No confianza: Cualquier elemento en el entorno puede ser utilizado para comprometer o someter a la contraparte. Una persona, un dispositivo, una aplicación y los datos se asumen siempre como no confiables.
  • Omnidireccionalidad: Las acciones pueden venir desde cualquier parte. Mientras la mitigación de vulnerabilidades es relativamente estática, las amenazas potenciales para una nación o empresa pueden generarse en diferentes momentos y lugares.
  • Asimetría: Las capacidades de los actores involucrados no es conocida y sus potencialidades no han sido evaluadas.
  • Barreras de entrada: Todas las barreras que se definan para contener una agresión son para demorar y disuadir, no para proteger.
  • Atemporalidad: En un escenario digitalmente modificado una agresión ocurre sin marco de tiempo reconocido. Las acciones se programan de manera automática para que se ejecuten al mismo tiempo desde lugares distintos y de forma aleatoria.
  • Defecto cero: En un entorno digital y tecnológicamente no existe hardware y software libre de vulnerabilidades. Sólo es cuestión de tiempo averiguarlo.
  • Engaño: El engaño en el contexto digital se traduce como una interacción entre dos o más partes, donde una de ellas quiere que su contraparte acepte como válido, algo que en su origen no lo es. En un ciberconflicto esta es la norma.
  • Atribución: En el ciberespacio establecer la autoría de una agresión digital, es una declaración complicada (y políticamente delicada), dadas las acciones de camuflaje, suplantación y anonimato que los atacantes pueden desarrollar para concretar sus acciones.
  • Desinformar: El uso de información falsa de forma deliberada o difusión de información parcial y manipulada, como estrategia para desviar la atención o engañar a una audiencia. Esto es parte del reportorio de acciones de los agresores.
  • Rizomático: El ciberconflicto tiene la característica biológica de un rizoma, es decir, no tiene una estructura definida, cambia de posición, sus interacciones avanzan distintas direcciones, no comporta un sitio estable y crea nuevas conexiones.
Estos ciber-axiomas, establecen la base de la nueva realidad que las naciones y las organizaciones deben considerar para mantener sus operaciones actuales con los menores impactos posibles y procurar la construcción de alianzas estratégicas entre los participantes de un sector específico para concretar y desarrollar capacidades conjuntas que le permitan una mejor estrategia de defensa activa y pasiva (Archibald et al, 2005), para superar las inestabilidades que la tensiones internacionales revelan en la actualidad.

Así las cosas, si bien es claro que al final, el agresor digital doblegará las “barreras” y superará las estrategias de protección definidas, para lo cual la empresa y las naciones deberán contar con procedimientos y prácticas de atención de incidentes, se detallan a continuación algunas ideas y recomendaciones para mantener una “paranoia debidamente administrada”, en donde los distintos actores de la dinámica de los ciberconflictos desarrollan una “tensión creativa” para sumergirnos en el escenario de lo incierto y desconocido.

Recomendaciones

Recomendaciones para las personas:
·         La contraseña en un punto único de falla. Por tanto, debe ser en la medida de lo posible dinámica y multifactor (validación por medios alternos: mensaje de texto o pines de autenticación a cuentas alternas).
  • Haga un uso responsable de las redes sociales. A mayor exposición de información personal, mayor “sombra digital” disponible y manipulable.
  • Proteja sus archivos personales y sensibles. Haga respaldos de información en medios locales, alternos y remotos. Mantenga su actualización al menos una vez al mes.
  • Concientice, apropie y asegure las prácticas de protección de la información en cada uno de los miembros de la familia, considerando los riesgos y retos de su manejo en internet. A mayor resistencia y preparación, mayor disuasión para el agresor.
  • Disminuya el número de puntos vulnerables en sus equipos y dispositivos. Entre menor sea la ventana exposición mayor exigencia para el atacantes y sus estrategias de acción.
  • Asegure la información sensible a la que tiene acceso. Si es necesario transmitirla, use canales cifrados extremo a extremo, verificando origen y destino de forma aleatoria.  De igual forma, si se requiere usarla, mantenga su custodia cercana y verificable de ésta, de lo contrario deberá estar guardada y en la medida de lo posible, cifrada.
  • Otras recomendaciones las puede encontrar en: Endureciendo el cortafuegos humano. El arte de la contrainteligencia social. Disponible en: http://insecurityit.blogspot.com.co/2014/06/endureciendo-el-cortafuegos-humano-el.html

Recomendaciones para las organizaciones:
  • Asegurar la madurez de la cultura organizacional de seguridad de la información: mayor capacidad para detectar situaciones desconocidas, monitorear acciones inestables y reportar posibles fallas o vulnerabilidades a nivel de personas, procesos, dispositivos o datos.
  • Pruebas y valoraciones permanentes de los controles vigentes, estrategias de vulneración novedosas, ataques ciegos y semiciegos, simulaciones y escenarios conocidos y desconocidos, y en la medida de lo posible, ejercicios o juegos de guerra, coordinados con autoridades nacionales.
  • Monitorear, correlacionar, detectar y anticipar patrones y amenazas emergentes en el entorno que puedan comprometer las operaciones y la promesa de valor de la empresa.
  • Observar el cumplimiento normativo y legal requerido por su sector de negocio y las entidades del orden nacional e internacional que sea requeridas para mantener la confiabilidad de la comunidad internacional y el aseguramiento de los procesos de negocio.
  • Crear alianzas con terceros confiables, organizaciones nacionales de defensa cibernética y centros de atención de incidentes, para compartir información y aumentar la resiliencia de las empresas frente a agresiones digitales no identificadas.
Recomendaciones para los gobiernos:
Establecer mandatos y directrices en temas como:
  • Persecución y judicialización de cibercrímenes, con el apoyo de la comunidad internacional.
  • Proveer anuncios preventivos permanentes de amenazas y vulnerabilidades tanto a la ciudadanía como a las empresas.
  • Definir estándares de responsabilidad demostrada que establezcan el debido cuidado y diligencia de las empresas frente a las infraestructuras críticas que tiene a cargo y reportar su nivel de cumplimiento.
  • Revelar y comunicar a la ciudadanía las brechas de seguridad que afecten a los diferentes grupos de interés como parte de su responsabilidad digital empresarial.
  • Diseñar y aplicar estándares de resiliencia digital que incluya pruebas y simulaciones coordinadas con los diferentes sectores de la sociedad.
  • Establecer currículos educativos, estudios de caso y desarrollo de competencias en temas de ciberseguridad, ciberdefensa, seguridad y privacidad de la información en los colegios y los diferentes niveles académicos de las instituciones de educación superior.
  • Habilitar espacios y canales para compartir información sobre tendencias y amenazas detectadas tanto en el sector público como privado para crear una red extendida y proactiva de seguridad.
  • Establecer incentivos y presupuestos de inversión para la investigación, desarrollo e innovación en temas de ciberseguridad, ciberdefensa, seguridad y privacidad de la información.
Reflexiones finales

Si bien las reflexiones que se han desarrollado en este documento no son exhaustivas, si hacen evidente el escenario incierto y poco visible que se tiene en la actualidad sobre los ciberconflictos, para motivar acciones y cambios en la manera de concebir los negocios en la era digital. En este sentido, las noticias sobre del desarrollo de una “ciberguerra global” no deben ser tratadas como “ciencia ficción”, sino como “hechos verificables”, que han de ser entendidos, analizados e incorporados en las actividades ejecutivas de las empresas como parte natural de sus actuaciones y decisiones de gobierno corporativo.

Finalmente y no menos importante, en la medida que aumente la sensibilidad para comprender y analizar los ciberconflictos, mejores oportunidades tendrán las naciones, empresas y ciudadanos para crear estrategias que les permitan disfrutan el ciberespacio y sus posibilidades, creando zonas confiables de interacción en el ciberdominio que, sin llegar a ser invulnerables, cuentan con la suficiente resistencia y resiliencia, que le dice a los posibles agresores digitales, que están dispuestos a defender su derecho a la “no agresión” y a la “paz digital”, para motivar transformaciones digitales que cambien la manera de hacerlas cosas y concebir el mundo.

Referencias
Archibald et al (2005) Agressive network self-defense. Rockland, MA. USA: Syngress Publishing.
Choucri, N. (2012) Cyberpolitics in international relations. Boston, MA. USA: MIT Press
Green, J.  (Editor) (2015) Cyber Warfare. A multidisciplinary analysis. New York, USA: Routledge.
Kello, L. (2017) The virtual weapon and international order. New Heaven, CT. Yale University Press.
Sienkiewicz, H. (2017) The art of cyber conflicts. Indianapolis, USA: Dog Ear Publishing.