Los adversarios cambian cosas
Atacar la debilidad, no la fuerza…Sun Tzu en “El arte de la guerra”.
En su constante búsqueda por acceder a nuestra información, los adversarios no dejan de innovar y adaptarse para sortear nuestras defensas.
En este artículo, analizaremos cómo la forma de los ataques evoluciona en función de las debilidades presentes en los sistemas de (ciber)defensa y cómo el enfoque de los adversarios se ha desplazado hacia las vulnerabilidades humanas y del comportamiento.
En términos prácticos, la forma del ataque será dictada por los puntos débiles presentes en los sistemas de (ciber)defensa. Después de todo, nadie en su sano juicio intentaría derribar un muro a cabezazos.
Si el objetivo del adversario es subvertir o adquirir un recurso de información, entonces la forma más fácil de lograrlo sería a través del camino de menor resistencia.
Este enfoque fue descrito en los 70s, como el principio del Factor de Trabajo (Saltzer y Schroeder, 1974). En esencia, el adversario adoptará el enfoque más fácil de ejecutar y con más probabilidades de éxito, buscando siempre el menor costo de eludir las defensas.
La capacidad humana para resolver problemas es asombrosa, siempre encontramos la manera de solucionar los problemas, es una simple cuestión de tiempo. La superficie de ataque es muy grande, es muy difícil cubrir todo de una manera óptima el 100% del tiempo.
Hace 20 años, la mayoría de ataques eran mayormente técnicos, es decir, por explotación de componentes "técnicos", sea en su diseño o en su implementación.
En la última década, se ha visto un aumento de ataques de comportamiento o "behavioral" (C. Herley, 2014). Los ataques no técnicos se dirigen cada vez más a las debilidades físicas o de comportamiento existentes en las organizaciones. Después de todo, su superficie de ataque es cada vez mayor.
Debido a que el comportamiento humano es distintivo, creativo e impredecible, hay un número infinito de formas en que se puede ejecutar un ataque no técnico. Los ejemplos más populares incluyen ataques tan familiares como los ataques de ingeniería social y de información privilegiada. Pero los impactos no técnicos también pueden ser el resultado de errores operativos cotidianos, como la mala ejecución de los procedimientos e incluso la simple negligencia (Hadlington 2017).
Anotar la contraseña en un papel es un patrón de comportamiento que tiene un impacto en la ciberseguridad, pequeño o grande, depende del contexto, pero es uno de los ejemplos más simples.
En muchas ocasiones, he encontrado casos de gobierno de TI y de Seguridad deficientes, falta de cumplimiento, debilidades en la aplicación de políticas de contraseñas, en gestión de vulnerabilidades, poca concienciación en ciberseguridad y una gestión del riesgo de terceros prácticamente inexistente, por mencionar algunos ejemplos. Es más común encontrar estos problemas en organizaciones grandes, donde se invierten miles de dólares en soluciones y servicios, pero se descuidan los aspectos más fundamentales de la seguridad.
Referencias
Saltzer y Schroeder, 1974. The Protection of Information in Computer Systems. Fourth ACM Symposium on Operating System Principles.
C. Herley, 2014. More is not the answer. IEEE Security & Privacy ( Volume: 12, Issue: 1, Jan.-Feb. 2014).
Lee Hadlington, 2017. Human factors in cybersecurity; examining the link between Internet addiction, impulsivity, attitudes towards cybersecurity, and risky cybersecurity behaviours.