@ bSlopes

Aunque a primera vista no lo parezca, el mundo digital en el que operan muchas empresas hoy en día no es tan diferente del mundo físico. De hecho, es común establecer analogías con la era medieval (términos como Bastion Host, Castle and Moat, Gatekeepers y Watchtower reflejan esta comparación) y quienes trabajamos en ciberseguridad estamos acostumbrados su uso. Sin embargo, hoy quiero abordar la seguridad digital desde una perspectiva evolutiva y haciendo una analogía con el contexto de la economía primaria, ya que la lectura de la tesis “Softwar: A Novel Theory on Power Projection and the National Strategic Significance of Bitcoin”, de Jason Paul Lowery, me ha llevado a reflexionar sobre este tema.

Para profundizar en esta analogía, propongo una relación simple: todos los actores que habitan el mundo digital (empresas, proveedores de servicios, actores malintencionados, usuarios, etc.) se consideraran organismos biologicos vivos que coexisten en un entorno hostil y compiten por los recursos disponibles en él.

Relación beneficio-costo del ataque (RBC).

Cada organismo biológico puede describirse como una fuente rica en nutrientes y un depósito de recursos valiosos. En la imagen de arriba, he intentado representar (disculpad si no lo he logrado completamente) un organismo unicelular con un núcleo (el tesoro) y una membrana que lo protege de las bacterias de alrededor.

En un escenario como este, es lógico pensar que la mayoría de estos organismos se convierten en un objetivo atractivo, una presa, para otros seres vivos diseñados por la evolución para capturar y explotar dichos recursos por la fuerza.

En consecuencia, un organismo incapaz de proteger su tesoro (ya sea por debilidad o ineficacia) se convierte en un caramelo en la puerta de un colegio: un cartel de neón irresistible para las formas de vida circundantes, que no dudarán en devorarlo.

Nota: Mientras escribía esto, no pude evitar pensar en el mundo digital y en todos esos sistemas con puertos abiertos expuestos en Shodan.

Pues bien, se puede definir la relación de beneficio-costo del ataque como:

RBC = BA/CA

Donde:

• BA representa la función de la abundancia de recursos de un organismo (su “tesoro”). Los organismos con una gran cantidad de recursos valiosos tienen un BA alto, mientras que aquellos con menos recursos valiosos presentan un BA más bajo.

• CA mide la capacidad y disposición de un organismo para imponer costos físicos severos a sus atacantes. Los organismos que pueden y están dispuestos a infligir daños físicos significativos a sus vecinos tienen un CA alto. En contraste, aquellos que carecen de dicha capacidad o no están dispuestos a ejercerla tienen un CA bajo.

Si la relación anterior ha quedado clara, resulta evidente que los organismos con una RBC más alta son más vulnerables al ataque que aquellos con una RBC más baja, ya que representan un mayor retorno de inversión para los vecinos hambrientos que buscan devorarlos.

Por esta razón, los organismos tienen la necesidad existencial de reducir su RBC tanto como sea posible, lo que los impulsa a aumentar su capacidad y disposición para imponer costos físicos significativos a sus atacantes. Por el contrario, un organismo no puede simplemente dedicar todo su tiempo y energía a acumular recursos y esperar prosperar a largo plazo, ya que esto incrementaría su RBC, poniendo en riesgo su supervivencia.

A modo conclusión, se podría decir que, para sobrevivir a largo plazo, los organismos deben gestionar ambos lados de la relación RBC para evitar que este ratio aumente hasta niveles peligrosos. Esto se puede hacer de la siguiente forma:

• Optar por reducir su numerador (reducir su "tesoro").

• Aumentar su denominador (imponer costos físicos significativos a sus atacantes).

En la naturaleza, podríamos decir que reducir la abundancia de recursos no es una solución demasiado ideal para los organismos que buscan crecer, por lo que aumentar su CA es la opción más recomendable.

Una analogía útil para explicar el RBC es la situación en la que un ladrón debe decidir qué apartamento robar. Antes de actuar, inspecciona dos puertas en el mismo piso: una a la izquierda, de madera y visiblemente desgastada, y otra a la derecha, blindada y equipada con múltiples cerrojos.

Es probable que el ladrón asuma que el “tesoro” detrás de la puerta blindada es más valioso. Sin embargo, los altos costos del ataque (mayor tiempo, esfuerzo y riesgo) disuadirán a muchos ladrones que no estén preparados para asumir ese desafío. Así, la relación entre recompensa y costo de ataque influye en la decisión, reflejando el principio del RBC en la naturaleza.

Margen de prosperidad.

Retomando la idea de la “economía de la evolución” y la difícil tarea de sobrevivir, es importante recordar que, como hemos visto antes, cualquier organismo debe mantener su nivel de RBC lo más bajo posible. Pero, ¿cuán bajo exactamente?

La clave está en mantenerlo por debajo del umbral crítico que determine si un ataque resulta rentable o no para un posible depredador o competidor. Si el RBC es demasiado alto, el organismo se convierte en un objetivo atractivo; si es lo suficientemente bajo, los costos de atacarlo superan los beneficios, disuadiendo a la mayoría de los agresores. Según Lowery, la diferencia entre el nivel de RBC de un organismo y el umbral peligroso puede definirse como su margen de prosperidad. En otras palabras, este margen representa cuánto puede permitirse un organismo aumentar su RBC antes de volverse un objetivo viable para el ataque. Mantener un margen de prosperidad amplio es esencial para garantizar estabilidad y minimizar riesgos en un entorno competitivo.

Planteado a alto nivel, podría parecer un problema sencillo de resolver, ya que, en esencia, solo se trata de mantener el RBC por debajo del umbral peligroso mientras se preserva un margen adecuado de prosperidad. Sin embargo (y siempre hay un “pero”), el verdadero desafío radica en que el organismo no puede conocer con precisión dicho umbral, ya que este depende casi por completo de factores externos.

Las variables que determinan el umbral peligroso están condicionadas por el entorno y por la presencia de otros organismos que cohabitan en él. Esto implica que un organismo nunca puede estar completamente seguro de cuánto puede aumentar su RBC antes de atraer la atención de posibles atacantes. Esta incertidumbre introduce un nivel de riesgo que dificulta la optimización de la estrategia de crecimiento y supervivencia.

Supervivencia a largo plazo.

Dado que los organismos no pueden determinar con certeza qué nivel de seguridad es suficiente, la supervivencia se convierte en un proceso de aprendizaje sobre cómo regular el RBC y maximizar el margen de prosperidad tanto como sea posible. En términos generales, un organismo puede seguir tres estrategias:

• Opción 1: Aumentar el BA por encima del CA provocará un crecimiento en el RBC, acercándolo a la zona de peligro, por lo que esta opción queda descartada.

• Opción 2: Aumentar el CA a medida que aumenta el BA, manteniendo el RBC fijo (crecimiento proporcional de los dos valores). Aunque esta estrategia conserva el mismo margen de seguridad, no es una solución sostenible a largo plazo, ya que el entorno se vuelve cada vez más hostil y el nivel de RBC que antes garantizaba la supervivencia puede volverse insuficiente.

• Opción 3: Aumentar el CA más que el BA. En este caso, el margen de prosperidad se amplía porque el RBC disminuye. Esta, según Lowery, es la única estrategia viable para garantizar la supervivencia a largo plazo.

La enseñanza de la evolución en el mundo de la ciberseguridad.

Si aplicamos los principios de la economía primaria al ámbito de la ciberseguridad, es posible extraer algunas enseñanzas valiosas, aunque también es cierto que el mundo digital tiene ciertas excepciones o flexibilidades. A continuación, expondré las conclusiones a las que he llegado tras realizar este ejercicio de análisis.

El Coste de Ataque (CA), que implica imponer costos a los atacantes, no deja de ser una inversión en seguridad a través de herramientas, procesos y revisiones. Como ha demostrado la económica primaria, esta estrategia es clave para garantizar la supervivencia a largo plazo de una empresa ya que hace que los ciberataques sean menos rentables y por lo tanto menos frecuentes. En esta línea y al igual que en la naturaleza, una empresa no puede saber nunca que tan cerca está del umbral del peligro (ya que este depende de factores casi totalmente externos) y por tanto debe esforzarse por maximizar el CA siempre que pueda (esto es invertir en ciberseguridad). Así que ya sabéis, si alguien alguna vez pone en duda las inversiones en ciberseguridad, le podéis decir con total certeza que es economía de supervivencia y es LA ÚNICA FORMA de garantizar la viabilidad de la empresa a largo plazo.

Por otro lado, está el Beneficio de Ataque (BA), el "tesoro" protegido por todos los organismos. Haciendo un paralelismo con el mundo digital, este equivale a los datos e información que almacena una organización. Es natural que, al igual que ocurre en los organismos biológicos, una empresa busque incrementar y proteger este activo.

Todos hemos oído un millón de veces expresiones como "es la era de la información", "los datos son el nuevo petróleo" o "la información es poder", y no dudo de su veracidad. Sin embargo, basándonos en la economía de supervivencia mencionada, hacer crecer el Beneficio de Ataque (BA) puede ser peligroso.

De hecho, hemos comprobado que incrementar el BA por encima del Coste de Ataque (CA) no es una estrategia viable a largo plazo. Pero, como todos sabemos, es complicado convencer al área de negocio de que tal vez (solo tal vez) ciertos datos sensibles no sean realmente necesarios para su almacenamiento en bases de datos. Y que, en caso de que lo sean, su protección mediante cifrado debería ser una prioridad.

Entonces, ¿Es posible reducir el BA?

Llegados a este punto, surge la duda de si, a diferencia del mundo natural, en el mundo digital que hemos construido, es posible reducir el Beneficio de Ataque (BA) sin comprometer la viabilidad de una empresa.

En la naturaleza, la supervivencia depende del crecimiento y la acumulación de recursos, pero en el entorno digital, ¿realmente es necesario almacenar y procesar cada dato disponible? ¿O es posible optimizar y reducir el volumen de datos sensibles sin afectar el negocio? A continuación algunos ejemplos:

• ¿Es realmente necesario que tenga que facilitar mi DNI al repartidor de UPS o SEUR?

• ¿Es justificable que el Real Decreto 933/2021 obligue a las empresas del sector de hospedaje a almacenar y proporcionar datos sensibles de los viajeros, como el DNI, teléfono fijo y móvil, relación de parentesco entre huéspedes, así como información sobre el pago, incluyendo el tipo de tarjeta, número y fecha de caducidad?

• ¿Porque es necesario pasar por un proceso riguroso de KYC para comprar según que activos financieros?

Estoy seguro que cada caso de los anteriores tiene una justificación aunque tampoco tengo ninguna duda de que estas probablemente sean cuestionables desde el punto de vista de la privacidad y protección de datos.

Esta última reflexión me ha llevado a buscar si actualmente existen proyectos y/o estrategias enfocadas en la minimización de datos, con el objetivo de reducir cualquier exposición innecesaria de información personal y he podido comprobar que existen diferentes líneas de trabajo en esta dirección como el sistema Decentralized Identity (DID) o Zero-Knowledge Proofs (ZKP). Estas tecnologías permiten verificar información sin revelar datos personales, lo que indica que ya hay profesionales abordando esta preocupación.

Quizás, cuando estos sistemas estén más consolidados, podamos comprobar si, a diferencia del mundo biológico, el mundo digital permite el crecimiento de un organismo sin tener que aumentar su BA.