La nueva ecuación de riesgo: «Motivos – Medios – Oportunidad»
Una de las más simples definiciones de riesgo que he encontrado en mi carrera se manifestó en forma de ecuación, con sus variables, sus factores, su resultado. Se trata (o se trataba) de lo siguiente: para que exista riesgo debe existir una amenaza que utilice una vulnerabilidad, con una probabilidad de que ello ocurra y debe haber un impacto (Amenaza – Vulnerabilidad – Probabilidad – Impacto). Es decir, debe existir alguien (o algo) que quiera hacer daño, nuestros sistemas deben tener un agujero (que será explotado por la/el atacante), debe haber una probabilidad de que esa casuística se dé (cuanta mayor exposición y/o agujeros, mayor probabilidad) y, por supuesto, debe haber un impacto, un daño, una pérdida (de lo contrario, podríamos hablar de riesgo residual o incluso riesgo existente sin consecuencias reales).
Teniendo en cuenta la ecuación anterior y con el objetivo de mitigar ese riesgo, únicamente podemos trabajar en tres de las cuatro variables que la forman. Solo podemos reducir el factor de exposición al reducir las vulnerabilidades existentes, al cerrar esos agujeros; al hacerlo, de manera natural estaremos reduciendo la probabilidad de que un ataque ocurra y eso también es trabajar en la dimensión de empequeñecer el riesgo. Y protegiendo los activos con las contramedidas adecuadas -conociendo, siempre, el valor de lo que queremos proteger- estaremos reduciendo el impacto. Magnífico. Sin embargo, lo que no podemos evitar es que haya agentes que quieran causar el mal, que quieran robar información corporativa y/o que, simplemente, quieran provocar situaciones disruptivas para la entidad. No podemos evitar que haya malhechores (más allá de políticas sociales y de educación que no son objeto de estas líneas) y, en consecuencia, debemos contar con ese factor de amenaza, con ese elemento externo -normalmente- que quiera dañar la reputación o la situación económico-financiera de una organización.
Reflexionando sobre ese factor sobre el que no tenemos control de la ecuación de riesgo, me vino a la mente otra ‘ecuación’ que bien podría ser una explicación del porqué existen esas amenazas y porqué la sociedad en la que vivimos experimenta aumentos en algunos tipos de ataques del 1500% (no, no es un error tipográfico) como ocurre con formjacking y otros ataques novedosos. Se trata de Motivos – Medios – Oportunidad.
Un atacante digital -como ocurre en el mundo físico- precisa de un motivo para hacer daño, un objetivo último que ‘le autoriza’ a realizar la acción. En la actualidad se citan dos motivos fundamentales: dinero y disrupción social o política. Esos son los dos motivos principales que mueven a los cibercriminales a realizar sus actos. Sin embargo, si no se tienen los medios adecuados, la voluntad de realizar un ataque solo se quedaría en la fase de diseño… pero existen medios… muy avanzados, con costes que han reducido drásticamente el ARPA (Ingreso medio por ataque, Average-Revenue-Per-Attack, por sus siglas en inglés) y que incluso son ‘prestados’ por grupos de atacantes mayores hacia grupos menores con compartición de los beneficios. Hemos llegado a la democratización de los ataques, a lo que es, según se define en primero de Ciencias Empresariales y Económicas, un cartel (que llega a acuerdos con otras empresas del sector -los malos- y elimina a la competencia -los buenos-).
Finalmente, en esta nueva aproximación de riesgo, los atacantes necesitan de una ventana de oportunidad, que sí enraiza con la ‘antigua’ ecuación de riesgo en su faceta de factor de exposición, de visibilidad de la compañía, de gestión de vulnerabilidades,… Internet permite la invisibilidad del atacante… o si se tiene visibilidad, el sistema judicial internacional no siempre facilita la persecución del delito. Así, el aspecto de oportunidad es tan relevante como los otros dos factores.
Si a todo eso le añadimos tácticas, técnicas y procedimientos sofisticados (Tactics, Techniques and Procedures, por sus siglas en inglés), a veces incluso usando mecanismos que se utilizan para la protección (no olvidemos que el pilar principal de los ataques de ransomware es el cifrado de los datos), nos encontramos ante una situación de ¿debilidad? (ver el siguiente párrafo) ante los ataques.
No quisiera finalizar esta reflexión sin abordar un aspecto positivo de todo ello: esos Motivos – Medios – Oportunidad también los tenemos aquellos que queremos PROTEGER y DEFENDER. Hoy en día, las compañías conocen los motivos para salvaguardar información -no solo la ley sino el sentido común deben jugar un papel instrumental aquí-, tienen los medios para ello (ofuscación en el uso de la nube, cámaras de aislamiento, navegación segura, cifrado de las comunicaciones, etc.) y, sobretodo, la oportunidad. Nunca ha habido tanta información ni tecnología para realizar esa protección y defensa de manera efectiva. Nunca se ha tenido tanta inteligencia de amenazas -capturada con millones de puntos de información en puestos de trabajo, en la red, en cabinas de almacenamiento, en el gateway, en los dispositivos móviles,…). Por todo ello, el riesgo se definirá con las variables Motivos – Medios – Oportunidad. Para los malos… y para los buenos.
Director Adjunto de itSMF España y Responsable del Comité de Cataluña