jueves, 1 de marzo de 2018

Ciberconflictos en la era digital: Ciber-axiomas y recomendaciones


Introducción

La dinámica global del mundo que conocemos ha cambiado. La acelerada evolución de la tecnología y los nuevos activos digitales, establecen tensiones emergentes entre las naciones para encontrar lugares privilegiados que le permitan influir en sectores no tradiciones y crear condiciones favorables para sus ciudadanos, no sólo en el despliegue de actividades y acciones productivas de alcance internacional, sino en el posicionamiento de una doctrina global de seguridad y control (Choucri, 2012).

Esta nueva realidad, crea escenarios más asimétricos y menos predecibles, como quiera que en un contexto digitalmente modificado, los diversos actores que participan tienen capacidad de influencia y desestabilización, bien por vías conocidas como organismos multilaterales y cumbres políticas, o por rutas alternas como grupos de agresores digitales en las sombras (generalmente patrocinados por estados), que diseñan, desarrollan, despliegan y ejecutan operaciones en el ciberespacio, con propósitos específicos, como pueden ser algunos de ellos APT29, Lazarus, Remsec, entre otros (Kello, 2017).

En razón con lo anterior, no es ingenuo pensar que estamos en medio de un ciberconflicto global, donde las naciones ahora, establecen posturas geopolíticas e infopolíticas (basadas en el manejo de la información) para crear y ganar ventajas estratégicas en el ciberespacio, con el fin de crear un imaginario de “control”, que procure debilitar posiciones de “poder” conocidas, y motivar movimientos de comunidades internacionales para introducir inestabilidades imperceptibles en el ciberdominio, lugar donde las interacciones de los diferentes actores: personas, empresas y estados, se hace realidad, a través del engaño y la disuasión (Green, 2015).

Ciber-axiomas: Verdades transitorias para los ciberconflictos en el entorno digital 

En este contexto, los ciberconflictos establecen una serie de ciber-axiomas en un entorno digitalmente modificado, que permiten reconocer algunos patrones de actuación y efectos que se vienen presentando en el marco internacional, para identificar movimientos de las naciones y sobremanera, consecuencias que deben advertir las empresas, como quiera que son ellas y los ciudadanos, los que están expuestos a las diferentes ciberoperaciones que se adelantan entre los intereses globales.

Los ciber-axiomas, de acuerdo con Sienkiewicz (2017), se pueden resumir como:
  • Efecto de red: Un bien o servicio adquiere valor en la medida que aumenta su utilización y sus flujos de información pueden generar activos digitales interesantes para otros grupos de interés.
  • Guerra sin restricciones: Todos los medios posibles se pueden utilizar para crear inestabilidad y cualquier actor de la sociedad puede ser un objetivo.
  • No confianza: Cualquier elemento en el entorno puede ser utilizado para comprometer o someter a la contraparte. Una persona, un dispositivo, una aplicación y los datos se asumen siempre como no confiables.
  • Omnidireccionalidad: Las acciones pueden venir desde cualquier parte. Mientras la mitigación de vulnerabilidades es relativamente estática, las amenazas potenciales para una nación o empresa pueden generarse en diferentes momentos y lugares.
  • Asimetría: Las capacidades de los actores involucrados no es conocida y sus potencialidades no han sido evaluadas.
  • Barreras de entrada: Todas las barreras que se definan para contener una agresión son para demorar y disuadir, no para proteger.
  • Atemporalidad: En un escenario digitalmente modificado una agresión ocurre sin marco de tiempo reconocido. Las acciones se programan de manera automática para que se ejecuten al mismo tiempo desde lugares distintos y de forma aleatoria.
  • Defecto cero: En un entorno digital y tecnológicamente no existe hardware y software libre de vulnerabilidades. Sólo es cuestión de tiempo averiguarlo.
  • Engaño: El engaño en el contexto digital se traduce como una interacción entre dos o más partes, donde una de ellas quiere que su contraparte acepte como válido, algo que en su origen no lo es. En un ciberconflicto esta es la norma.
  • Atribución: En el ciberespacio establecer la autoría de una agresión digital, es una declaración complicada (y políticamente delicada), dadas las acciones de camuflaje, suplantación y anonimato que los atacantes pueden desarrollar para concretar sus acciones.
  • Desinformar: El uso de información falsa de forma deliberada o difusión de información parcial y manipulada, como estrategia para desviar la atención o engañar a una audiencia. Esto es parte del reportorio de acciones de los agresores.
  • Rizomático: El ciberconflicto tiene la característica biológica de un rizoma, es decir, no tiene una estructura definida, cambia de posición, sus interacciones avanzan distintas direcciones, no comporta un sitio estable y crea nuevas conexiones.
Estos ciber-axiomas, establecen la base de la nueva realidad que las naciones y las organizaciones deben considerar para mantener sus operaciones actuales con los menores impactos posibles y procurar la construcción de alianzas estratégicas entre los participantes de un sector específico para concretar y desarrollar capacidades conjuntas que le permitan una mejor estrategia de defensa activa y pasiva (Archibald et al, 2005), para superar las inestabilidades que la tensiones internacionales revelan en la actualidad.

Así las cosas, si bien es claro que al final, el agresor digital doblegará las “barreras” y superará las estrategias de protección definidas, para lo cual la empresa y las naciones deberán contar con procedimientos y prácticas de atención de incidentes, se detallan a continuación algunas ideas y recomendaciones para mantener una “paranoia debidamente administrada”, en donde los distintos actores de la dinámica de los ciberconflictos desarrollan una “tensión creativa” para sumergirnos en el escenario de lo incierto y desconocido.

Recomendaciones

Recomendaciones para las personas:
·         La contraseña en un punto único de falla. Por tanto, debe ser en la medida de lo posible dinámica y multifactor (validación por medios alternos: mensaje de texto o pines de autenticación a cuentas alternas).
  • Haga un uso responsable de las redes sociales. A mayor exposición de información personal, mayor “sombra digital” disponible y manipulable.
  • Proteja sus archivos personales y sensibles. Haga respaldos de información en medios locales, alternos y remotos. Mantenga su actualización al menos una vez al mes.
  • Concientice, apropie y asegure las prácticas de protección de la información en cada uno de los miembros de la familia, considerando los riesgos y retos de su manejo en internet. A mayor resistencia y preparación, mayor disuasión para el agresor.
  • Disminuya el número de puntos vulnerables en sus equipos y dispositivos. Entre menor sea la ventana exposición mayor exigencia para el atacantes y sus estrategias de acción.
  • Asegure la información sensible a la que tiene acceso. Si es necesario transmitirla, use canales cifrados extremo a extremo, verificando origen y destino de forma aleatoria.  De igual forma, si se requiere usarla, mantenga su custodia cercana y verificable de ésta, de lo contrario deberá estar guardada y en la medida de lo posible, cifrada.
  • Otras recomendaciones las puede encontrar en: Endureciendo el cortafuegos humano. El arte de la contrainteligencia social. Disponible en: http://insecurityit.blogspot.com.co/2014/06/endureciendo-el-cortafuegos-humano-el.html

Recomendaciones para las organizaciones:
  • Asegurar la madurez de la cultura organizacional de seguridad de la información: mayor capacidad para detectar situaciones desconocidas, monitorear acciones inestables y reportar posibles fallas o vulnerabilidades a nivel de personas, procesos, dispositivos o datos.
  • Pruebas y valoraciones permanentes de los controles vigentes, estrategias de vulneración novedosas, ataques ciegos y semiciegos, simulaciones y escenarios conocidos y desconocidos, y en la medida de lo posible, ejercicios o juegos de guerra, coordinados con autoridades nacionales.
  • Monitorear, correlacionar, detectar y anticipar patrones y amenazas emergentes en el entorno que puedan comprometer las operaciones y la promesa de valor de la empresa.
  • Observar el cumplimiento normativo y legal requerido por su sector de negocio y las entidades del orden nacional e internacional que sea requeridas para mantener la confiabilidad de la comunidad internacional y el aseguramiento de los procesos de negocio.
  • Crear alianzas con terceros confiables, organizaciones nacionales de defensa cibernética y centros de atención de incidentes, para compartir información y aumentar la resiliencia de las empresas frente a agresiones digitales no identificadas.
Recomendaciones para los gobiernos:
Establecer mandatos y directrices en temas como:
  • Persecución y judicialización de cibercrímenes, con el apoyo de la comunidad internacional.
  • Proveer anuncios preventivos permanentes de amenazas y vulnerabilidades tanto a la ciudadanía como a las empresas.
  • Definir estándares de responsabilidad demostrada que establezcan el debido cuidado y diligencia de las empresas frente a las infraestructuras críticas que tiene a cargo y reportar su nivel de cumplimiento.
  • Revelar y comunicar a la ciudadanía las brechas de seguridad que afecten a los diferentes grupos de interés como parte de su responsabilidad digital empresarial.
  • Diseñar y aplicar estándares de resiliencia digital que incluya pruebas y simulaciones coordinadas con los diferentes sectores de la sociedad.
  • Establecer currículos educativos, estudios de caso y desarrollo de competencias en temas de ciberseguridad, ciberdefensa, seguridad y privacidad de la información en los colegios y los diferentes niveles académicos de las instituciones de educación superior.
  • Habilitar espacios y canales para compartir información sobre tendencias y amenazas detectadas tanto en el sector público como privado para crear una red extendida y proactiva de seguridad.
  • Establecer incentivos y presupuestos de inversión para la investigación, desarrollo e innovación en temas de ciberseguridad, ciberdefensa, seguridad y privacidad de la información.
Reflexiones finales

Si bien las reflexiones que se han desarrollado en este documento no son exhaustivas, si hacen evidente el escenario incierto y poco visible que se tiene en la actualidad sobre los ciberconflictos, para motivar acciones y cambios en la manera de concebir los negocios en la era digital. En este sentido, las noticias sobre del desarrollo de una “ciberguerra global” no deben ser tratadas como “ciencia ficción”, sino como “hechos verificables”, que han de ser entendidos, analizados e incorporados en las actividades ejecutivas de las empresas como parte natural de sus actuaciones y decisiones de gobierno corporativo.

Finalmente y no menos importante, en la medida que aumente la sensibilidad para comprender y analizar los ciberconflictos, mejores oportunidades tendrán las naciones, empresas y ciudadanos para crear estrategias que les permitan disfrutan el ciberespacio y sus posibilidades, creando zonas confiables de interacción en el ciberdominio que, sin llegar a ser invulnerables, cuentan con la suficiente resistencia y resiliencia, que le dice a los posibles agresores digitales, que están dispuestos a defender su derecho a la “no agresión” y a la “paz digital”, para motivar transformaciones digitales que cambien la manera de hacerlas cosas y concebir el mundo.

Referencias
Archibald et al (2005) Agressive network self-defense. Rockland, MA. USA: Syngress Publishing.
Choucri, N. (2012) Cyberpolitics in international relations. Boston, MA. USA: MIT Press
Green, J.  (Editor) (2015) Cyber Warfare. A multidisciplinary analysis. New York, USA: Routledge.
Kello, L. (2017) The virtual weapon and international order. New Heaven, CT. Yale University Press.
Sienkiewicz, H. (2017) The art of cyber conflicts. Indianapolis, USA: Dog Ear Publishing.

domingo, 21 de enero de 2018

La paradoja de la experiencia: Un reto para los CISO más experimentados

Los más experimentados directores o ejecutivos de seguridad de la información tienden a sufrir la “paradoja de la experiencia”. Una paradoja que generalmente se presenta luego de más de una o dos décadas de ejercicio profesional en dicha disciplina. Esta paradoja, si bien no es algo que comprometa la esencia de su práctica, si es un riesgo latente que deben atender para evitar el aumento del nivel de sesgos que se pueden presentar en sus decisiones, sin poderlos notar.

La paradoja de la experiencia es, siguiendo las ideas de Taylor (2016, p.72-73), “la frustrante realidad de que cuanto más profundamente sumergido se está en un mercado, una categoría de producto o una tecnología, más difícil resulta abrirse a nuevos modelos, nuevas ideas o propuestas que pueden remodelar ese mercado o formas prometedoras de superar esa tecnología”. En este sentido, cambiar de dominio o perspectiva puede ayudar al ejecutivo de seguridad de la información a retar su práctica introduciendo visiones que sugieran reflexiones distintas.

En un contexto donde el flujo de información se presenta de formas inesperadas, la densidad digital (Káganer, Zamora, & Sieber, 2013) aumenta de manera exponencial y más objetos del mundo físico son digitalmente modificados, es necesario que los profesionales de seguridad tomen distancia de sus saberes previos y las buenas prácticas que conocen, para observar la nueva pintura de la realidad que tienen en la actualidad. El ejercicio no es observar lo que se ve en este panorama, sino poder hablar acerca de lo que se ve, poder detallar aspectos invisibles a la cognición y particularmente, reconocer que no se tiene la variedad requerida para dar cuenta con los riesgos emergentes o reinventados, que se ocultan en este contexto.

Crear zonas de disonancia y discrepancia en la manera como se lee el entorno, permite mover de la zona cómoda a los analistas tradicionales de seguridad. Incorporar visiones de personas no especialistas en seguridad, profesionales que sean críticos de los estándares conocidos, sorprenderse con posibilidades no documentadas, incorporar lecciones aprendidas de otros procesos y crear conexiones entre dominios aparentemente no relacionados son entre otras, algunas rutinas que la función de seguridad de la información deberá incorporar para poder superar el reto de la “paradoja de la experiencia”.

En este contexto, los profesionales de seguridad deben activar más que la innovación, la imaginación. Esto es, ventanas de aprendizaje permanente, creando experiencias de eventos que puedan sorprenderlos, con el fin adelantar un ejercicio semejante al que adelantan los atacantes. Mientras los “chicos malos” se mantienen “jugando y experimentando” en el terreno de la incierto y no documentado, los profesionales de seguridad de la información deberán desarrollar un sentido de urgencia para avanzar y concretar propuestas que visualicen nuevas formas de anticipar los movimientos de los agresores.

Por tanto, los ejecutivos de seguridad de la información deberán estar atentos a reconocer y superar al menos los siguientes siete (7) sesgos (Meyer & Kunreuther, 2017) en sus decisiones sobre la protección de la información y el valor de la empresa, como quiera que no hacerlo, es habilitar un entorno de vulnerabilidad no documentada, que sólo se hace evidente una vez se ha concretado un hecho.

El primero es el sesgo de miopía, que implica concentrarse en decisiones de corto plazo y soluciones inmediatas. Este sesgo muchas veces se aumenta con la presión de las organización y los miembros de junta por tener resultados de manera pronta, lo que termina marginando la capacidad sistémica de ver otros aspectos del entorno, que pudiendo ser relevantes, terminan siendo marginados de los análisis y abandonados luego por la exigencia de agilidad y efectividad requerida por la organización.

El segundo es el sesgo de amnesia, que se concreta cuando se olvidan rápidamente las lecciones del pasado. Un ejecutivo de seguridad que no mantiene la trazabilidad o línea de tiempo de los eventos claves que han ocurrido dentro o fuera de la organización, termina decidiendo con lo que con su corta memoria puede recordar sobre los hechos que se materializaron. Su equipo debe ayudarlo a mantener vigente el mapa de lecciones que se han aprendido y se deben aprender.

El tercero es el sesgo de optimismo, que habla sobre subestimar la probabilidad de la pérdida por un incidente. Si bien, el ejecutivo de seguridad sabe el nivel de inversión y confiabilidad de la tecnologías de protección que tiene incorporada, debe mantener un mínimo de paranoia bien administrado que le permita estar indagando y retando los niveles de seguridad y control que tiene disponibles y cómo un ataque puede afectar a la organización y comprometer el valor que ella genera.

El cuarto es el sesgo de inercia, ese que quiere mantener el statu quo, aquel que dice “lo que tenemos es suficiente y además no ha pasado nada”. Esta postura, lo que hace es habilitar un escenario de posibles amenazas que crece de forma silenciosa, dado que los atacantes saben y conocen las rutinas de monitoreo y control que tiene la organización. Lo que aparentemente puede ser normal, puede estar gestando una brecha de forma oculta.

El quinto sesgo es el de simplificación, en donde el ejecutivo tiene atención selectiva a ciertos detalles, dejando de lado a otros. Este sesgo es muy sensible y requiere que múltiples fuentes y análisis se vinculen y reten las reflexiones del director de seguridad de la información, con el fin de ver aspectos del entorno que podría ser relevantes frente a una situación particular. Las tendencias y patrones que se puedan identificar, aún no sean confirmadas pueden ayudar a anticipar posibles amenazas que están en curso.

El sexto sesgo es el de influenciar, en el cual el responsable de seguridad de la información toma acción basado en opciones que otros han tomado previamente. Si bien, otros colegas tienen experiencia en el tratamiento de una situación particular, es claro que tenían un contexto diferente de aquel que la tiene en este momento. Por tanto, es clave consultar la práctica de otros, para construir el escenario propio donde variables diferentes van a orientar decisiones en otras direcciones.

El último sesgo de arrogancia(*), es una característica del profesional de seguridad que piensa que conoce siempre la respuesta para asegurar una situación inesperada. Si bien el responsable de seguridad debe confiar en sus saberes, prácticas y estándares, y transmitir tranquilidad a sus grupos de interés, debe también darle paso a aquellos que desde otras disciplinas retan sus reflexiones y propuestas. En la medida que el directivo de seguridad pueda superar sus propias seguridades, es posible encontrar alternativas que sumen a las iniciativas de protección que requiere una organización.

En consecuencia, la “paradoja de la experiencia” es un elemento a tener en cuenta en el desarrollo de un Chief Information Security Officer, como una sana advertencia para mantenerse atento sobre los acelerados cambios del entorno, las inestabilidades de sus saberes previos y sobremanera, como una forma de preguntarse cada cierto tiempo, “¿cuándo fue la última vez que hice algo por primera vez?”.

Referencias
Káganer, E., Zamora, J. y Sieber, S. (2013) Cinco habilidades del líder digital. IESE Insight. Tercer trimestre. 18.
Meyer, R. & Kunreuther, H. (2017) The ostrich paradox. Why we underprapare for disasters. Philadelphia, Pennsylvania. USA: Wharton Digital Press.
Taylor, W. (2016) Simply brillant. How great organizations do ordinary things in extraordinary ways. New York, USA: Penguin.

(*) Sesgo basado en la experiencia y fuera de la referencia de Meyer & Kunreuther (2017).

lunes, 16 de octubre de 2017

Pronósticos de seguridad de la información 2018


Introducción
La inestabilidad de los mercados actuales, el incierto geopolítico vigente y la acelerada convergencia tecnológica, establecen un marco de trabajo retador, para cualquier analista de seguridad o de tendencias que tiene como reto tratar de identificar nuevas o posibles amenazas en el entorno de una empresa o nación (Hilary, 2016).

El ejercicio de plantear pronósticos se hace cada vez más exigente y las demandas de aquellos que los reciben o revisan, se vuelven más elaboradas y sofisticadas como quiera que la necesidad de anticipar o prever lo que se viene “delante de la curva” se vuelve ya no opcional sino requerido para poder mantener una posición estratégica en un sector particular de negocio.

En este sentido, las reflexiones que se plantean en este documento alrededor de la seguridad de la información, la inevitabilidad de la falla y los retos emergentes para los ejecutivos de la seguridad, son un ejercicio de análisis, que basado en algunos de las señales identificadas en el entorno, patrones de acción que se revelan en la actualidad y otras manifestaciones de posibilidades observadas, tratan de sugerir elementos de pronóstico para todos aquellos interesados en ver comportamientos potenciales de la inseguridad de la información en un contexto global y asimétrico.

Para ello se han revisado algunas publicaciones especializadas, informes de empresas multinacionales, reportes de empresas de consultoría y publicaciones académicas donde se manifiestan posibilidades que actualmente se someten a simulaciones y prototipos los cuales indican movimientos poco claros sobre lo que podría estar pasando en un futuro cercano.

Así las cosas, tratar de establecer un pronóstico sobre la inseguridad de la información para los próximos 365 días es un ejercicio de tratar de dar en blanco, desde un vehículo en movimiento, una apuesta basada en la mejor estimación de distintas variables, las cuales cambian con la perspectiva de cada analista, para vislumbrar una oportunidad para lograr alcanzar la “diana” de la mejor forma posible (ver figura 1).

Figura 1. Pronósticos de seguridad de la información 2018 (Autoría propia)

A continuación se detalla el ejercicio realizado sobre el pronóstico de seguridad de la información para el año 2018.

1. La inevitabilidad de la falla en los Cloud Access Security Brokers (CASB)
El incremento de la dependencia cada vez mayor de las organizaciones de soluciones y propuestas en la nube, hace que la interacción natural ahora de las aplicaciones y sistemas de información sea a través de servicios soportados con terceros. En este sentido, los intermediarios del control de acceso a soluciones en la nube, identificados con la sigla CASB en inglés, se vuelven los responsables de asegurar un acceso correcto y de proteger la plataforma que hay detrás de las configuraciones propias de cada servicio contratado (Perkins, 2016).

Una vulnerabilidad detectada y no controlada en un servicio de seguridad intermediado por un tercero debe estar considerado dentro de los escenarios de riesgo establecidos por la organización, habida cuenta que el incidente que se pueda presentar no sólo impacta su operación y reputación frente a sus terceros, sino que revela una cadena de ejercicios de responsabilidad demostrada que todos las terceras y cuartas partes involucradas deben asegurar frente a un evento inesperado, cuyas consecuencias aún están por determinarse.

2. Ciberataques basados en la inteligencia artificial
Si bien la inteligencia artificial ha salido de los laboratorios para concretar productos y servicios de interés para la sociedad, el avance acelerado de sus capacidades y posibilidades cognitivas pronto estará disponibles para crear tanto soluciones novedosas que anticipen respuestas a interrogantes claves, como para motivar acciones contrarias que aumenten la capacidad de los atacantes para conocer y revelar nuevas formas posibles de comprometer la infraestructura de las organizaciones y naciones (Campbell, 2017).

El académico Yampolskiy (2017) indica que un uso inadecuado de la inteligencia artificial tiene el “potencial de crear nuevos peligros sin precedentes para la privacidad personal, la libertad de expresión, la igualdad de oportunidades y un sinfín de derechos humanos más”, habida cuenta que su capacidad de aprendizaje y reformulación de escenarios de forma acelerada permite tener opciones y oportunidades inexploradas que pueden ser capitalizadas por “mentes criminales” para consolidar una inesperada ola de ataques cuya detección o anticipación son prácticamente inexistentes con las tecnología de monitoreo disponibles a la fecha.

3. Inicia la era de la especulación con criptoactivos
El uso de las criptomonedas ha generado una dinámica de interés para la sociedad en general. Una manera de ceder la propiedad, transferir valor y crear confianza entre los participantes, define un ejercicio de intercambio que utiliza la criptografía para asegurar las transacciones y controlar la creación de nuevas emisiones de esta moneda (Preukschat, 2016).

Los bancos centrales, los inversionistas y mercados de divisas y acciones observan con prudencia el desarrollo de la evolución de estos nuevos criptoactivos, es decir, las nuevas propuestas de uso de protocolos para crear nuevas Ofertas Iniciales de Monedas (en Inglés ICO – Initial Coin Offering), las cuales presentan en la actualidad una gran acogida a nivel internacional, particularmente con un marco interés en la República Popular China, donde se advierten la mayor parte de los mineros, quienes representan aquellos que cuentan con infraestructura robusta y eficiente para resolver problemas matemáticos complejos que permiten la emisión de criptomoneda (Preukschat, 2017).

Continuarán apareciendo nuevos ICO, cada vez más refinados, con características de anonimato y sin control central, que continuarán ganando adeptos, creando una espiral ascendente de crecimiento, que sin un control particular, sólo bajo la dinámica de las tensiones y movimientos del mercado, terminará siendo objeto de usos y abusos que llevarán a muchos inversionistas a concretar grandes negocios o  detonar una burbuja de criptoactivos que deje consecuencias inesperadas para las economías locales e internacionales.

4. Redes sociales como vector de ataque consolidado
Las redes sociales se consolidan cada vez más como el canal privilegiado por las personas para mantener un contacto o para concretar negocios de grandes movimientos de intereses colectivos que generen utilidades por la interacción prevista de los participantes. La redes sociales se constituyen hoy por hoy la superficie de ataque más relevante, habida cuenta de su permanente utilización desde los dispositivos móviles y el alcance global de sus efectos (Grimes, 2017).

La confianza natural que general el uso de las aplicaciones que conectan las redes sociales, se vuelve un vector de ataque inherente al uso y abuso de estas interacciones sociales. Basado en esta características se explotan la familiaridad e inocencia de los individuos para generar mensajes perfilados y estratégicamente motivados para crear entornos donde “hacer click” es lo normal y así tomar control de las interacciones, posiblemente de contraseñas o configuraciones específicas que ponga en juego la estabilidad de una persona o compañía.

5. Malos hábitos persistentes y avanzados
Las personas son la primera y última línea de defensa de las organizaciones modernas. Si bien cada individuo puede asumir una manera particular de proteger la información, es necesario concretar el desarrollo de nuevas habilidades y capacidades que le permitan, superar sus “malos hábitos persistentes” (MHP) como son contraseñas débiles, configuraciones por defecto, hacer clicks en enlaces desconocidos, hablar de temas confidenciales en lugares públicos, no asegurar el portátil en hoteles o habitaciones, no contar con un respaldo de datos actualizado, etc (Morgan, 2017).

Trabajar con los malos hábitos de las personas, es conectarnos con la esencia de la práctica de protección de la información: apropiación, concientización y cumplimiento, para motivar una transformación de comportamientos que aumenten la capacidad individual y empresarial de ser resistente a ataques. Mientras las personas no se conecten con un bien superior alrededor de la información, no será posible avanzar en la protección de este activo organizacional clave para la supervivencia de la organización.

Estos “malos hábitos persistentes y avanzado” se consolidan en entornos emergentes como la computación oscura, el internet de las cosas, las infraestructuras críticas, los pagos basados en criptomonedas y sobre manera en los nuevos ecosistemas digitales donde se revelan nuevos productos y/o servicios que cambian la manera de hacer las cosas y crean experiencias totalmente distintas para su empleados.

Reflexiones finales
Las tendencias enumeradas anteriormente generan un escenario incierto para los ejecutivos de seguridad de la información. Esta realidad que mezcla exigencias tecnológicas, negocios disruptivos y limitaciones humanas crea un caldo de cultivo natural para la inevitabilidad de la falla, que no sólo afecta la reputación de la empresa, sino su dinámica empresarial en un entorno dinámico, generalmente mediado por medios de pago alternos como las criptomonedas (Cearley, Burke, Searle y Walker, 2017).

Esta realidad marcada por una marcada participación de los terceros con soluciones en la nube, concentra los esfuerzos de seguridad y control, ahora en las validaciones que se hacen por parte de terceros y los ejercicios de simulación propios de los proveedores de servicios de seguridad de la información en la nube (brokers de seguridad), para poder dar cuenta de los futuros incidentes que se pueden presentar y la forma como deben apropiar y comprobar su marco de debido cuidado acordado con su cliente.

Las criptomonedas serán parte natural ahora del escenario digitalmente modificado que el responsable de seguridad de la información debe tener en cuenta, como quiera que este tipo de iniciativas estará sobre la mesa de muchos ejecutivos y negocios emergentes, donde habrá que tomar riesgos de forma inteligente para mantener el perfil de riesgo de la empresa alineado con las oportunidades que las nuevas tecnologías plantean dentro y fuera de sus segmentos de industria.

Si bien, nada está escrito en términos de realidades y retos de seguridad de la información para 2018, lo que sí sabemos es que tendremos siempre una lección por aprender fruto de la materialización de la inevitabilidad de la falla, una realidad desafiante y enriquecida desde un entorno organizacional inestable y ambiguo, que es referente permanente de la maestra, siempre nueva y siempre viva, como lo es la inseguridad de la información.

Referencias
Campbell, N. (2017) Cyber Security Is A Business Risk, Not Just An IT Problem. Forbes. Recuperado de: https://www.forbes.com/sites/edelmantechnology/2017/10/11/cyber-security-is-a-business-risk-not-just-an-it-problem/
Cearley, D., Burke, B., Searle, S. y Walker, M. (2017) Top 10 Strategic Technology Trends for 2018. Gartner Report. Octubre 3. Recuperado de: https://www.gartner.com/doc/3811368?srcId=1-7251599992&cm_sp=swg-_-gi-_-dynamic
Grimes, R. (2017) The 5 cyber attacks you're most likely to face. CSO Magazine. Recuperado de: https://www.csoonline.com/article/2616316/data-protection/security-the-5-cyber-attacks-you-re-most-likely-to-face.html
Hilary, G. (2016) The professionalisation of cyber criminals. Insead Knowledge. Recuperado de: https://knowledge.insead.edu/blog/insead-blog/the-professionalisation-of-cyber-criminals-4626
Morgan, S. (2017) 5 worst cybersecurity habits with catastrophic consequences. CSO Magazine. Recuperado de: https://www.csoonline.com/article/3231669/backup-recovery/5-worst-cybersecurity-habits-with-catastrophic-consequences.html
Perkins, E. (2016) Top 10 Security Predictions Through 2020. Forbes. Recuperado de: https://www.forbes.com/sites/gartnergroup/2016/08/18/top-10-security-predictions-through-2020/
Preukschat, A. (2016) Tokens y protocolos: claves para entender la inversión en bitcoin y otras criptomonedas. El Economista. Recuperado de: http://www.eleconomista.es/tecnologia/noticias/8017849/12/16/Por-que-se-invierte-en-la-montana-rusa-financiera-de-las-criptomonedas.html
Preukschat, A. (2017) ¿Qué es un ICO? Así se gesta la salida al mercado de una criptomoneda. El Economista. Recuperado de: http://www.eleconomista.es/tecnologia/noticias/8070336/01/17/Que-es-un-ICO-Asi-se-gesta-la-salida-al-mercado-de-una-criptomoneda.html
Yampolskiy, R. (2017) La inteligencia artificial es el futuro de la ciberseguridad, pero también de los ciberataques. Harvard Business Review. Recuperado de: https://www.hbr.es/seguridad-y-privacidad/642/la-inteligencia-artificial-es-el-futuro-de-la-ciberseguridad-pero-tambi-n

domingo, 13 de agosto de 2017

Salud digital: Los retos de la inseguridad de la información en el sector salud

Introducción
Las amenazas globales relacionadas con ciberataques que han sido portadas de múltiples medios de comunicación a nivel internacional, han modificado de alguna manera la lectura de la protección de la información y de los negocios, en un contexto cada vez más digitalmente modificado. Las organizaciones empiezan a comprender que la dinámica de los negocios actuales está ampliamente marcada por la conectividad, las integraciones y la generación de datos alrededor de aquellos objetos físicos de interés de los clientes, donde es posible crear nuevas oportunidades y experiencias distintas.

Esta nueva realidad digital pone de manifiesto la necesidad de comprender cómo la tecnología de información es capaz de repensar un escenario, producto o servicio, para conectar una expectativa del cliente, con la posibilidad de alcanzar un nivel de entendimiento diferente de su entorno para anticipar decisiones y satisfacer sus propias necesidades. Los dispositivos actuales como las i-glass, los i-watch, los parches electrónicos, la ropa digital, entre otros, muestran que hay un nuevo lenguaje que construye un imaginario distinto sobre el impacto de la tecnología en la sociedad y las empresas.

Lo anterior, recaba en uno de los retos que el Foro Económico Mundial establece frente al reto de la transformación digital (WEF, 2017) a nivel global, donde la seguridad y la privacidad de la información configuran un desafío y una oportunidad para comprender el nivel de incierto que tanto las personas como las organizaciones quieren comprender y aprovechar, así como mitigar y asegurar cuando se modifica tecnológicamente la realidad donde se opera.

Bajo este entendido, los recientes ataques de WannaCry y Petya, han marcado un punto de quiebre en sectores como el de la salud, donde se han venido haciendo grandes inversiones para automatizar el proceso de atención con los pacientes, con el fin de hacer más eficiente y trazable cada uno de los procedimientos que se aplican y así asegurar la información y el seguimiento de cada una de las tareas de los médicos tanto en hospitales como en clínicas especializadas.

Si hay algo particularmente relevante en este ambiente modificado por los avances tecnológico es el aprendizaje. Por tanto, el sector salud, deberá desarrollar rápidamente una cultura orientada al aprender, al experimentar y probar en estos entornos, para concretar de forma ágil las promesas de valor de las incorporaciones tecnológicas que ha venido haciendo de forma sistemática durante estos últimos años, que le permitan priorizar mejor sus prácticas emergentes de seguridad y ciberseguridad (Perakslis, 2014).

En razón con lo anterior, este documento presenta una breve reflexión sobre el “despertar” que está teniendo la medicina moderna, las “cuarentenas” electrónicas que se han creado y sobremanera el llamado a toda la comunidad médica sobre la responsabilidad de educarse alrededor del nuevo escenario de amenazas que tiene este sector, que demanda incorporar una serie de nuevas prácticas que le permitan mantener la “salud digital” de los hospitales y clínicas, como un nuevo concepto de “salud” que amplía y cuida el bienestar de los pacientes ahora en un entorno digitalmente modificado.

Panorama de amenazas informáticas en el sector salud
Tradicionalmente sectores como la banca, los gobiernos y las grandes superficies han sido afectados directamente por ataques a su infraestructura y procesos de negocio, creando desconcierto e inestabilidad en sus operaciones. Frente a esta realidad, estos sectores han incorporado prácticas internacionales referentes de seguridad y control, que le permiten moverse con relativo margen de acción, habida cuenta que estas configuran un marco general de debido cuidado que limita sus responsabilidades frente a la inevitabilidad de la falla.

En el sector salud, si bien la tecnología de información se ha venido incorporando de forma acelerada, no así las prácticas de protección de la información, creando un imaginario generalizado sobre una seguridad inherente o por defecto en las implementaciones de la infraestructura que se incorpora para dar soporte a los procesos de gestión de las instituciones médicas, temática que termina siendo responsabilidad de los profesionales de tecnología de información.

Eventos recientes relacionados con ataques masivos a nivel internacional, que cobraron múltiples víctimas en el sector salud, revelan que dicho sector ha incorporado tecnologías de información, pero poco de las prácticas propias de la gestión de las TICS. Estos hechos manifiestan un escenario de alta exposición en términos de vulnerabilidades de seguridad y control, no solamente en el contexto de los dispositivos médicos, sino de las interfases que se viene integrando en el ejercicio de sistematización propio del sector (HCCSTF, 2017).

Al igual que en otros sectores, los sistemas de administración de salud deben comprender que cualquier incorporación de tecnología de información en su segmento de negocio, debe responder al reto de una transformación digital, que asistida desde la vista de los ejecutivos de primer nivel, establece un cambio en la manera como se concibe la “atención de los pacientes” y la forma como se configura el concepto de “salud”.

En consecuencia, las amenazas propias de otros sectores de la economía, como son la fuga de información, la pérdida de datos, la suplantación de identidad, la denegación de servicios, la modificación no autorizada de datos, el acceso no autorizado a la infraestructura, el secuestro de datos, el malware elaborado a la medida y los atacantes internos, encuentran en el sector salud, una oportunidad para manifestarse, dado un entorno donde la concientización de la protección de la información en el personal médico es baja, y se encuentra delegada en los profesionales de TI que apoyan desde la infraestructura tecnológica (Ponemon, 2017).

Si esta condición permanece y se afianza en el sector, dada la dinámica actual del mismo, la probabilidad de que se manifiesten “cuarentenas informáticas”, es decir, desconexiones de la red de datos de dispositivos o segmentos de clínicas u hospitales para controlar posibles “pandemias informáticas” que comprometen la operación y sobremanera los datos y salud de los pacientes, estaremos advirtiendo un deterioro de la confianza en la atención de los servicios médicos y una mayor exigencia de los pacientes en el cuidado de su información al usar dispositivos digitalmente modificados.

El cuidado de la “salud digital”. El nuevo reto del sector salud
La medicina desde la antigüedad ha sido una práctica permanente, no solamente por cuidar del estado de bienestar de las personas, sino por contar con un plan preventivo y de monitoreo sistemático, que permita mantener un registro cercano de la evolución del cuidado de las personas.

En este sentido, conforme se fue incorporando tecnología de información y comunicaciones a la práctica de los médicos, el concepto de salud igualmente fue evolucionando, sin que los galenos en su práctica lo hubiesen notado. La agilidad y facilidad para contar con la información de las pruebas diagnósticas, la automatización de los laboratorios clínicos, la sistematización de los procesos administrativos, el concepto de expediente electrónico entre otras cosas, establecieron un nuevo entorno y referente de la dinámica de la medicina, que recaban en algunos aspectos fundamentales y claves como son, entre otros: el tratamiento de información sensible, la transmisión de estos datos por canales inseguros, la cultura de protección de la información y la integración entre dispositivos médicos, las personas y la infraestructura tecnológica.

En este sentido, se pasa del cuidado de la salud física y emocional de un paciente, a proteger y asegurar la “salud digital” de una persona, es decir, la aplicación de los conceptos propios de la práctica de seguridad de la información para “cuidar y salvaguardar” la identidad digital de una persona, en el contexto de la dinámica de la administración de la salud. Un ejercicio de “bienestar extendido”, que no solo cuida de la integridad física y mental de un paciente, sino de la “vida digital” de un ser humano, representada en sus datos y la forma como se le da un adecuado tratamiento (ver figura 1).

Figura 1. Conceptualización de la salud digital

Los médicos y demás profesionales de la salud, debe acelerar su “despertar” de la inercia propia del ejercicio de su destacada práctica, para apropiarse, concientizarse y cumplir con las nuevas exigencias de un entorno cada vez más competitivo y digitalmente modificado. Sin perjuicio que los procedimientos médicos cambien y sea repensados con tecnología, es importante advertir la alta responsabilidad de que tienen los galenos en este nuevo milenio cuando de ordenar la incorporación o implante de dispositivos médicos en las personas se trate, sin mediar la gestión de riesgos correspondiente inherente a uso de esto dispositivos.

Por tanto, las prácticas de gestión de tecnologías de información y comunicaciones, así como la cultura de protección de la información, basada en el ciclo de vida de la información, deberán ser incorporadas rápidamente, para hacer más resistente al sector frente a las amenazas y riesgos propios del aumento de su nivel de densidad digital, es decir creando flujos e interfases de información entre los objetos físicos e infraestructuras tecnológicas, donde información sensible se transmite, sin considerar aspectos claves como la protección de los datos personales y el aseguramiento de los mismos.

Así las cosas, la salud de los pacientes en el contexto actual, no sólo responde a la agilidad y los servicios que éstos puedan derivar de las nuevas propuestas digitales que cambien el paradigma de la atención de los médicos, sino de la forma como se cuide y monitoree la “salud digital” de las personas que saben y confían que su salud física, mental y digital hacen parte de la lectura de su médico de cabecera.

Incorporando prácticas de seguridad y control conocidas en los entornos de la administración de salud
El reciente reporte de la Healthcare Information and Management Systems Society (HIMSS) sobre la ciberseguridad en el sector sanitario en los Estados Unidos de América, ilustra una creciente incorporación de prácticas de seguridad y control en el sector salud, dado el nuevo escenario digital y tecnológicamente modificado, y los frecuentes reportes de brechas de seguridad en hospitales y clínicas a nivel global.

Entre otros temas que indica el mencionado reporte, se pueden observar tendencias que revelan un marcado interés para avanzar en las temáticas de seguridad y control como son las siguientes: (HIMSS, 2017)
  1. Contar con un CISO (Chief Information Security Officer) como parte del apalancamiento de la dinámica de protección de la información sensible del sector.
  2. Contar con un programa de valoración del riesgo del “atacante interno” como una forma de disuadir a los posibles agresores y disminuir aquellas acciones no intencionales que terminen afectando la información de los pacientes.
  3. Adelantar al menos una vez al año una valoración del riesgo de seguridad de la información, así como un entrenamiento de concientización entre todo el personal médico y administrativo de la institución de salud.
  4. Desarrollar pruebas de vulnerabilidades sobre la infraestructura que soporta tanto la gestión administrativa de la institución de salud, focalizado en la “salud digital” de la información de los pacientes, así como de los dispositivos médicos disponibles con los proveedores respectivos.
  5. Incorporar y aplicar marcos de gestión de tecnología de información y seguridad de la información generales (como los ISO, las guías del NIST y COBIT), así como aquellos específicos de la industria como HITRUST (https://hitrustalliance.net/) o HIPAA - Health Insurance Portability and Accountability Act de 1996 (https://www.gpo.gov/fdsys/pkg/CRPT-104hrpt736/pdf/CRPT-104hrpt736.pdf). 
Este panorama habilita un nuevo marco de debido cuidado que las instituciones de salud deben desarrollar, como quiera que no hacerlo, implica arriesgarse a incumplir con las regulaciones que de manera sistemática vienen surgiendo en el sector y lo que es más delicado, perder la confianza de los usuarios de los servicios médicos frente a la protección y cuidado de su bienestar extendido bajo el concepto de “salud digital”, la cual responde a una visión holística del bienestar en el contexto de una sociedad digital como la actual.

En este sentido, se hace imperativo que el sector salud, adopte rápidamente una postura de seguridad y protección de la información acorde con los tiempos actuales y sus riesgos vigentes, que incluya al menos las siguientes prácticas: (Dunlap y Beth, 2017)
  • Definir el gobierno y liderazgo de la práctica de ciberseguridad y seguridad de la información de alcance transversal a la institución.
  • Incrementar la resiliencia digital de las operaciones de la administración de salud, así como de los dispositivos médicos disponibles.
  • Aumentar la apropiación y concientización en el sector de la salud, sobre los retos y riesgos de seguridad y control propios de una práctica médica digitalmente modificada.
  • Diseñar e incorporar mecanismos de seguridad y control para proteger los resultados de la investigación y desarrollo que se hacen en el sector, de los ataques y estrategias de inteligencia o espionaje asistida bien por terceros o pagados por naciones.
  • Compartir información sobre brechas de seguridad, vulnerabilidad y estrategia de mitigación disponibles en el sector, que aumente la capacidad de respuesta y atención de incidentes en el contexto de la salud.
Reflexiones finales
Cuando en 2015 la agencia federal norteamericana de control de alimentos y medicamentos (con su sigla en inglés FDA – Federal Food and Drugs Administration) y el Departamento de Seguridad Nacional con su equipo de atención de emergencias cibernéticas en sistemas de control industrial (en inglés ICS-CERT) alertaron sobre posibilidad de que un atacante pudiese remotamente tener acceso a un equipo de administración de medicación terapéutica como una bomba de infusión y de forma similar en enero de 2017, se advierte sobre la manipulación de la radiofrecuencia de un dispositivo médico electrónico cardiaco implantado (Gordon,  Fairhall y Landman, 2017), la práctica de la salud tradicional, sufre un punto de inflexión que cambia la forma como se concibe la protección de la información de las personas en el contexto de la salud.

De igual forma, el 12 de mayo de 2017, cuando un profesional del servicio de nacional de salud del Reino Unido abre un correo electrónico habilitando la ejecución de un código malicioso que explota una vulnerabilidad conocida en un sistema operativo de Microsoft, denominado “WannaCry”, cifrando los datos de su computador, bloqueando a otros usuarios y expandiéndose por la red de dicho servicio nacional (Clarke y Youngstein, 2017), cambia la manera como la medicina moderna entiende la digitalización de sus procesos y procedimientos, para recabar ahora en nuevas prácticas de aseguramiento de información e infraestructura tecnológica que antes no eran visibles al ejercicio de la salud de los pacientes.

La seguridad de la información, representada en la práctica de protección de la información y controles tanto tecnológicos como procedimentales marcan una nueva frontera en la gestión de la salud en sus diferentes ámbitos. De igual forma, la ciberseguridad empresarial e industrial, recaba de igual forma en este sector, advirtiendo sobre los nuevos riesgos y amenazas que se tienen cuando se habilitan dispositivos médicos terapéuticos que generan interfases y flujos de información, hacia sistemas de información a través de conexiones alámbricas o inalámbricas, creando entornos más vulnerables cuando allí se carecen de las mínimas condiciones de operación confiables requeridas para estos casos.

Así las cosas, el sector sanitario al aumentar su conectividad y digitalización, no solo incrementa las oportunidades para crear inteligencia en el hardware y otros objetos, que permitan cerrar la brecha entre lo digital y el mundo físico (WEF, 2016), sino que desarrolla un nuevo ecosistema digital donde los flujos de información sensible, la medicación electrónica sobre el cuerpo humano y el monitoreo remoto sobre la condición de los pacientes, son la base para conceptualizar un cuidado inteligente y responsable por cada una de las personas.

Bajo este entendido, la conectividad se convierte en un aliado de la promesa de valor digital de la salud y al mismo tiempo un reto de marca mayor, donde la protección de la información de las personas se configura como un activo digital clave para fundamentar la confianza de los clientes del sistema de salud actual y futuro.

Por tanto, ser requiere un “despertar” por parte de los profesionales de la salud en sus diferentes especialidades, para observar y advertir las nuevas realidades de su profesión, donde no solamente los saberes disciplinares son los que hacen la diferencia, sino el ejercicio de construcción transdisciplinar que exige el mundo digital, donde lo que está en juego no es un servicio de prestación de salud tradicional, sino la vida de una persona que ahora está conectada a un ecosistema digital en el cual hay que cuidar no solo su salud física y mental, sino su “salud digital”, entendida desde el cuidado de la persona en su bienestar físico y digital asociado con un dispositivo digitalmente modificado y sus integraciones tecnológicas.

Referencias
Clarke, R. y Youngstein, T. (2017) Cyberattack on Britain’s National Health Service – A wakeu-up call for modern medicine. The New England Journal of Medicine. 1-3. Doi:10.1056/NEJMp1706754.
Dunlap, S. y Beth, L.  (2017) Healthcare cybersecurity is due for a checkup. New Hampshire Business Review. Recuperado de: http://www.nhbr.com/July-21-2017/Healthcare-cybersecurity-is-due-for-a-checkup/
Gordon, W.,  Fairhall, A. y Landman, A. (2017) Threats to Information Security — Public Health Implications. The New England Journal of Medicine. 1-3. Doi: 10.1056/NEJMp1707212
HCCSTF – Healthcare cybersecurity task force (2017) Report on improving cybersecurity in the health care industry. Recuperado de: https://www.phe.gov/Preparedness/planning/CyberTF/Documents/report2017.pdf
HIMSS (2017) 2017 HIMSS Cybersecurity Survey. Survey Report. Recuperado de: http://www.himss.org/2017-himss-cybersecurity-survey 
Perakslis, E. (2014) Cybersecurity in Health Care. The New England Journal of Medicine. 395-397. Doi: 10.1056/NEJMp1404358.
Ponemon (2017) 2017 Cost of Data Breach Study. Global Overview. Benchmark research sponsored by IBM Security. Survey Report. June. Recuperado de: https://databreachcalculator.mybluemix.net/

jueves, 13 de julio de 2017

Fraude digital y cibercrimen ¿Estamos perdiendo la guerra?


“Una cosa nunca es completa en sí misma, sino en relación con lo que le falta”.
Jacques Derridá.
Introducción
En una realidad donde se aceleran los cambios tecnológicos y las tendencias y expectativas se vuelven volátiles e inciertas, las organizaciones se encuentran en una carrera incesante por mantener su posición privilegiada en un segmento de mercado, tratando de “sensar y responder” (Bradley y Nolan, 1998) primero que otros o buscando nuevos horizontes para conquistar “tierras inexploradas”, asumiendo los riesgos que este ejercicio conlleva, como quiera que no hay un mapa concreto del territorio y su construcción tomará tiempo y posiblemente muchas lecciones por aprender (Calvo, 2016).

En este escenario, las organizaciones criminales ha sabido capitalizar rápidamente las condiciones cambiantes del entorno, su capacidad para detectar anticipadamente las nuevas variantes de sus “negocios”, han permitido una evolución rápida adaptación que les permite una movilidad y agilidad, que desconcierta a muchos entes de policía judicial en el mundo.

Esta condición de ductilidad frente a la incertidumbre, hace que las redes delincuenciales, sean capaces de enfrentar la inestabilidad que supone navegar sobre algo que no conocen, mucha veces con temeridad y osadía, para concretar luego estrategias más concretas que los lleven a realizar con mayor tranquilidad, e incluso invisibilidad, sus acciones contrarias al ordenamiento jurídico nacional e internacional.

Frente a esta realidad, la comunidad internacional viene aumentando su capacidad de monitoreo y detección con el fin de leer con mayor claridad las tendencias que las actividades de estos “facinerosos” generan a fin de establecer escenarios que les permitan actuar frente al marco legal y así dar cuenta de los resultados de dichas acciones al margen de la ley.

Esta lucha asimétrica planteada entre “policías y ladrones”, gravita sobre un modelo causa-efecto que asiste las reflexiones de aquellos que generan políticas públicas al respecto. Un paradigma mecánico que se concentra exclusivamente en las prácticas reconocidas y los marcos validados que permiten cierto margen de acción, que supone un contexto conocido y donde el Estado en su función preponderante tiene la capacidad de influir, disciplinar y castigar.

Así las cosas, cuando el marco de acción del analista o de los cuerpos de acción policial se mantienen bajo los paradigmas conocidos y probados, pocas oportunidades para pensar diferente se van a plantear y las propuestas o soluciones que se generen estarán rodeadas de las mismas condiciones que los estándares sugieren. Por lo tanto, su capacidad de “sorprenderse con la realidad”, de “pensar en el margen de las hojas” quedará limitada, abriendo espacios para que los delincuentes capturen “mayor valor” en sus acciones, creando la inestabilidad que compromete la confianza de los ciudadanos.

En consecuencia, la guerra que se libra a nivel internacional frente a la delincuencia y el fraude, ahora en el contexto digital, requiere una revisión conceptual, habida cuenta que los métodos y técnicas que los “amigos de lo ajeno” desarrollan, no solo llevan implicaciones de comportamiento y conocimiento concreto de la realidad que quieren conquistar, sino la apertura y capacidad de reinventarse en cada instante para lograr el factor sorpresa que destruye la zona cómoda de los analista y revela la limitada capacidad de anticipar, requerida en esta nueva realidad digital, por parte de los entes policiales y organismos multilaterales que asisten estas actividades.

Observar el sistema, no es entender el sistema
Cada vez que una analista de fraude o un investigador policial se enfrenta al reto de la delincuencia transnacional y digital, lo hace desde sus conocimientos y reflexiones previas, un ejercicio que recaba en sus supuestos propios de la realidad, los cuales son resultados de sus procesos internos que usa para construir su percepción o cognición particular (Vanderstraeten, 2001).

Por lo tanto, la capacidad de observación y distinción de rarezas, inconsistencias y contradicciones (Charan, 2015) que debe desarrollar un “agente de la ley y el orden” en un escenario asimétrico como el actual, supone mantener una visión ampliada de su realidad, que implica cuestionar sus supuestos de base, para quebrar sus lentes actuales con los cuales se enfrenta al mundo y así tener mayor oportunidad para ver lo que los “bandidos digitales” pueden llegar a ver.

Muchas veces los entrenamientos y capacitaciones sobre seguridad y control, que generalmente están fundados en currículos establecidos, competencias requeridas y didácticas de repetición y memorización (Cano, 2016), a los cuales asisten los analistas de fraude y de la delincuencia digital, establecen un marco de actuación que permiten una participación conocida y estándar de estos profesionales, que da cuenta de las actividades naturales y propias de los procedimientos criminalísticos.

En consecuencia, la necesidad de estar ajustados a un protocolo particular y al mismo tiempo comprender la inestabilidad que provoca la acción criminal, enfrenta a los profesionales antifraude y entes del estado, a un dilema de acción que compromete su margen de actuación habida cuenta que, su sesgo particular de orden y estructura, entra en tensión con la entropía, volatilidad y ambigüedad que subyace en una actividad criminal, la cual buscarán encuadrar dentro de los patrones de razonamiento estructurales que estos agentes de la ley tienen en su formación.

Lo anterior, demanda desarrollar un cambio de aproximación conceptual y cognitiva, que invite no a observar la acción criminal como algo puntal con sus resultados, sino a construir y revelar el sistema que lo contiene. Esto es, establecer las redes que conectan los hechos, lo que necesariamente demanda superar la vista lineal de una investigación, para armonizar los contrarios inherentes a las propuestas de los criminales: lo regular y lo irregular, lo sincrónico y lo asincrónico, lo ofensivo y lo defensivo, lo global y lo local.

Esta aproximación, que si bien reta los procedimientos actuales de los agentes del orden, establece una posibilidad de actuación enriquecida como quiera que no es solamente conocer los alcances de una acción delictiva digital, sino entender y develar el flujo que se genera entre la legalidad y la ilegalidad, como una vista extendida del actuar del delincuente que expone las distinciones y detalles que previamente ha elaborado para concretar su acción contraria al orden.

Disuadir y enfrentar, distinciones complementarias en la lucha contra el crimen y el fraude digital
Si se logra concretar el entendimiento de la armonía de los contrarios en el actual de los profesionales antifraude y especialistas en crimen digital, es posible cambiar las acciones que se emprenden para comprender y anticipar las propuestas de los bandidos en un entorno digitalmente modificado.

El ciberespacio, como creación humana y maleable, está en constante cambio y requiere de mentes abiertas para poder observar las posibilidades que se pueden plantear tanto para movilizar ideas novedosas, como para consolidar conductas abiertamente contrarias a la ley (Fischerkeller y Harknett, 2017). Este escenario, ausente de gobernabilidad central y resiliente a situaciones adversas, funda un entorno natural para que aquellos con mente disruptiva, pasión y conocimiento establezcan reglas novedosas que se contagien y creen tendencias que muchos no fueron capaz de movilizar.

Si lo anterior es correcto, las tendencias de la cibercriminalidad y el fraude abundan en acciones estratégicamente dirigidas y algunas veces inesperadamente logradas, donde el sabotaje, el espionaje y la corrupción (ídem) son parte del discurso que estos conglomerados delincuenciales configuran, para crear escenarios que comprometan la estabilidad de la sociedad y creen el incierto que destruye la confianza de los ciudadanos respecto de sus posibilidades en un entorno como el ciberespacio.

Con el sabotaje, se concretan acciones que debilitan o destruyen los logros económicos y afectan la infraestructura clave de las organizaciones o naciones. Con el espionaje incursionan dentro de los linderos de las empresas o naciones para extraer información sensible para desarrollar sus acciones criminales y con la corrupción debilitan la autoridad y el buen juicio sobre las decisiones, capturando la soberanía de la acción empresarial o nacional, despejando el terreno para actuar con mayor libertad y menos supervisión.

Si entendemos que el escenario de actuación de los criminales no puede ser objetivamente representado dentro del contexto social (Vanderstraeten, 2001)  y que por lo tanto, cada analista o profesional antifraude o especialista en criminalidad digital no puede ser entrenado para distinguir con claridad estas actuaciones, es claro que los sólo podemos observar y distinguir tanto como la capacidad de comprensión colectiva que podamos construir. Esto es, desarrollar una ventaja estratégica superior que disuada a los contrarios en su propio terreno y deconstruya la acción de la fuerza y el control estándar, frente a lo que esperan los delincuentes.

La disuasión como estrategia de lucha contra la delincuencia establece un referente práctico que debe ser creíble y validado por el escenario social donde se construye. Disuadir al atacante informático o a un defraudador empresarial, requiere crear un entorno de imaginarios sociales reforzados desde las creencias, valores y actitudes, que confirmen que la organización o la nación conocen sus métodos y sus acciones opacas, por lo cual cualquier movimiento o sugerencia en este sentido tendrá un reflector que alerte sobre aquel actuar que puede motivar una acción contraria que deteriore la confianza imperfecta (Cano, 2016b).

Es claro que la delincuencia cuenta con recursos ilimitados para crear contextos de contrainteligencia que son capaces de envolver a los investigadores forenses o analistas de fraude más expertos, para confundirlos y llevarlos fuera de su alcance, sin embargo, en la medida que el tejido social se haga más resistente a las sugerencias de la delincuencia, habrá menos espacio para concretar labores tan elaboradas como operaciones totalmente normales y lícitas, que ocultan una estrategia de corrupción que pasa desapercibida frente al más escéptico de los profesionales antifraude o especialista en crimen digital, sin que los controles vigentes se enteren de dicha transacción.

Por tanto, la disuasión combinada con una estrategia de controles internos debidamente probados y articulados en los puntos de mayor riesgo (ver figura 1), establece un continuo de monitoreo y revisión que define patrones y condiciones que se pueden cambiar frente al posible infractor, como quiera que los controles no van a ser estáticos, así como sus niveles de sensibilidad para generar las alertas. Un control dinámico genera mayor incertidumbre para el agresor.


Figura 1. Disuadir y enfrentar. Conceptos complementarios

Entre mayor inestabilidad pueda generar el sistema de seguridad y control, frente a la forma, sensibilidad y alcance de sus acciones, esto es, ajustes dinámicos de fuentes de verificación, inclusión de observadores de disciplinas distintas, cambios de patrones en la validación y control previsto y un permanente aprendizaje/desprendizaje de las tendencias de los comportamientos de las transacciones y las personas, mayor será la variedad que los analistas van a tener para comprender los siguientes movimientos de los atacantes o defraudadores.

En este sentido, los avances tecnológicos establecen alternativas de interés basadas en algoritmos de aprendizaje profundo (Marr, 2016), que ya no solamente correlacionan información, sino que dan pautas y pistas de siguientes movimientos, con el fin de despertar la imaginación de los analistas y especialistas en fraude y crimen digital, para entrar en el mismo territorio de los atacantes y delincuentes, donde es posible observar y distinguir posibilidades de acción más que probabilidades de éxito de las mismas.

Amén de lo anterior, el disuadir y el enfrentar son parte del continuo de opciones que los analistas y entes de policía judicial deben comprender, pues al final del día no es doblegar al adversario lo que se requiere, es concretar una posición privilegiada en el mismo entorno donde este opera, para poder actuar de forma efectiva, es decir, disuadirlo de la acción que planea o ejecuta, identificando y superando las causas raíces que motivan y habilitan dicho actuar.

Reflexiones finales
Cuando observamos los esfuerzos en la lucha contra el fraude y la delincuencia digital desde el paradigma causa-efecto, la sensación que se obtiene es que estamos perdiendo la guerra y que el enemigo cada vez se fortalece y mejora sus técnicas para sorprender a la sociedad de formas inesperadas.

Sin embargo, cada vez más los entes de policía judicial comprenden que en un escenario de confrontación donde las capacidades del enemigo no se conocen, donde este puede mimetizarse de formas amigables e inciertas, incluso a la vista de los mismos especialistas, se hace necesario superar la vista mecanicista del entendimiento de la delincuencia y el fraude en el contexto digital y migrar hacia un entendimiento más relacional que ofrezca pistas sobre el escenario donde actúan y crean sus propios modelos.

En consecuencia, crear una estrategia de disuasión y control que no responda a un parámetro determinado, sino a una evolución de “sensar y responder”, que habilite una rápida adaptación de los saberes previos de los analistas y especialistas en fraude y crímenes digitales, es una exigencia propia del contexto actual, habida cuenta que la inestabilidad del territorio donde opera ahora la delincuencia, exige mayores niveles de anticipación y acción que balancee el tablero de operaciones entre los participantes: policías y ladrones.

Para ello, la información se convierte en un activo estratégico (Bebber, 2017) para confrontar aquello que se conoce y crear marcos de actuación que anticipen los movimientos de la criminalidad, y así tratar de sorprenderla en su propio territorio, superando el enfrentamiento estéril y desgastador entre buenos y malos.

El reto por tanto consiste en armonizar las posturas inestables de los asaltantes y estafadores digitales, dentro de escenarios prospectivos y disruptivos que se puedan crear con los nuevos adelantos tecnológicos, que permitan ver de forma distinta la evolución de una confrontación que continúa desde la antigüedad, donde el forajido es capaz de pensar distinto y sin restricciones para llevar a cabo sus acciones criminales, y el analista o agente del orden, sólo puede actuar dentro de los cánones de que le dicta el ordenamiento jurídico establecido.

Así las cosas, entender este enfrentamiento irregular, inestable, asincrónico, ofensivo y asimétrico donde los medios se convierten en los fines, demanda demarcar un nuevo terreno de análisis y acción, donde los observadores y agentes (analistas y delincuentes) son capaces de reinterpretar sus propias actuaciones de forma independiente, con el fin de mantener un mínimo de paranoia bien administrada como soporte fundamental de la confianza imperfecta que cada empleado y ciudadano asume, al ser partícipe de una realidad volátil, incierta, compleja y ambigua.

Referencias
Bebber, R. (2017) Treating information as a strategic resource to win the “information war”. Orbis. Foreign Policy Research Institute. Summer. Doi: 10.1016/j.orbis.2017.05.007. 394-403
Bradley, S. y Nolan, R. (Eds) (1998) Sense and respond: capturing value in the network era. USA: Harvard Business School Press.
Calvo, C. (2016) Del mapa escolar al territorio educativo. Disoñando la escuela desde la educación. La Serena, Chile: Editorial Universidad de la Serena.
Cano, J. (2016) La educación en seguridad de la información. Reflexiones pedagógicas desde el pensamiento de sistemas. Memorias 3er Simposio Internacional en “Temas y problemas de Investigación en Educación: Complejidad y Escenarios para la Paz”. Universidad Santo Tomás. Bogotá, Colombia. Recuperado de: http://soda.ustadistancia.edu.co/enlinea/congreso/congresoedu/2%20Pedagogia%20y%20dida%B4ctica/2%209%20LA%20EDUCACION%20EN%20SEGURIDAD%20DE%20LA%20INFORMACION.pdf
Cano, J. (2016b) Protección de la información. Un ejercicio de confianza imperfecta. Blog IT-Insecurity. Recuperado de: http://insecurityit.blogspot.com.co/2016/09/proteccion-de-la-informacion-un.html
Charan, R. (2015) The attacker’s advantage. Turning uncertainty into breakthrough opportunities. New York, USA: Perseus Books Groups.
Fischerkeller, M. y Harknett, R. (2017) Deterrence is not credible strategy for cyberspace. Orbis. Foreign Policy Research Institute. Summer. Doi: 10.1016/j.orbis.2017.05.003. 381-393
Marr, B. (2016) What Is The Difference Between Deep Learning, Machine Learning and AI? Forbes. Recuperado de: https://www.forbes.com/sites/bernardmarr/2016/12/08/what-is-the-difference-between-deep-learning-machine-learning-and-ai
Vanderstraeten, R. (2001) Observing systems: a cybernetic perspective on system/environmental relations. Journal for theory of social behavior. 31, 3. 297-311.