¿Qué es ciberseguridad?
Por Cristian Bravo Lillo, Director del CSIRTLa ciberseguridad puede ser descrita de forma sencilla como “seguridad sobre el ciberespacio”. Esto por supuesto reemplaza la pregunta por otra. A pesar de que este enfoque es útil, es bueno tener una respuesta relativamente corta sobre qué es ciberseguridad.
La ciberseguridad es como la salud, en varios sentidos. Las personas no nos enfermamos porque queramos hacerlo: usualmente se trata de una mezcla de factores que pueden incluir accidentes, ignorancia sobre formas de mantener la salud, falta de higiene o conductas que sabemos que nos dañan, pero que mantenemos por razones diversas, como fumar o tomar alcohol en exceso.
Cuando una persona se enferma, no se trata solo de un problema personal: la persona deja de trabajar, requiere del cuidado de familiares o amigos —que también deben dejar de trabajar—, y se utilizan recursos que de otra forma estarían a disposición de personas con enfermedades más graves. Algunas enfermedades, como las infecto-contagiosas o las de transmisión sexual, pueden transmitirse de una persona a otra. En este sentido, la salud es un problema tanto personal como social, y las sociedades están dispuestas a invertir sus recursos en común para prevenir enfermedades y ofrecer alternativas públicas y privadas para recuperar la salud, a través de políticas públicas de salud que —deseablemente— son políticas de Estado. A pesar de la enorme cantidad de recursos que se utilizan para prevenir la aparición de ciertas enfermedades (como el sarampión), y de que algunas enfermedades se consideran erradicadas (como la viruela), nadie pensaría que las enfermedades son un problema resuelto. Todos los años surgen nuevos tratamientos y vacunas contra enfermedades diversas.
Finalmente, hay algunos problemas de salud que no se pueden prevenir de manera efectiva; por ejemplo, cuando nos caemos por la escalera, o cuando chocamos en un auto. En casos como estos, solo nos queda saber cómo reaccionar —como sociedad— de manera rápida y eficiente para remediar el problema.
La ciberseguridad es muy similar en todos los aspectos anteriores. En general, los ataques a la infraestructura técnica y a las personas no se producen porque queramos ser atacados, sino por una mezcla de factores parecida a la del párrafo anterior.
En primer lugar, falta de higiene digital y falta de conocimiento sobre cómo mantenerla. En este sentido, las amenazas digitales hoy son similares a enfermedades contagiosas. Existe una inconsistencia entre el conocimiento de expertos y de personas comunes sobre qué medidas son útiles o necesarias para protegerse de tales amenazas. Por ejemplo, un antivirus es considerado por la mayor parte de las personas como una de las herramientas más efectivas para protegerse; los expertos, en cambio, saben que esta es una medida necesaria, pero está lejos de ser suficiente (Ion, Reeder y Consolvo, 2015; Reeder, Ion y Consolvo, 2017).
En segundo lugar, conductas dañinas que mantenemos por razones diversas, como entregar nuestros datos a cualquier sitio o aplicación que nos lo pida, en especial a redes sociales; lo que en el caso de redes como Facebook ocurre incluso a pesar de los esfuerzos de los usuarios por mantener su privacidad (Stutzman, Gross y Acquisti, 2012), o no preocuparnos de revisar el dominio o la seguridad de una conexión cuando nos conectamos con sitios críticos, como nuestro banco (Downs, Holbrook y Cranor, 2006; Egelman, Cranor y Hong, 2008).
Cuando una persona o una organización sufre un ataque, no es solo un problema para la persona en términos de su dinero y su identidad, sino también para la organización en que trabaja o colabora, y para el país, si se trata de organizaciones que proveen servicios básicos en una sociedad, como agua potable, electricidad, telecomunicaciones, salud, etcétera. Los Gobiernos en América Latina han comenzado rápidamente a comprender que requieren de políticas públicas tanto para prevenir los ataques como para recuperarnos de ellos cuando ocurren (Porrúa y Contreras, 2016: 178). Como en el caso anterior, a pesar de que invertimos una cantidad creciente de recursos en mejorar nuestro nivel de ciberseguridad, nadie debería pensar que alguna vez consideraremos esto como un problema resuelto. Algunos problemas sabemos cómo prevenirlos (la llegada de malware a través del correo electrónico), otros sabemos cómo resolverlos (un servidor hackeado puede ser reemplazado por otro redundante y ser recuperado en segundo plano), pero eso no significa que nuevos ataques dejen de llegar de manera continua.
En esta analogía existe, sin embargo, una diferencia crucial que es necesario hacer notar: en el caso de las enfermedades transmitidas por agentes patógenos (virus, bacterias y hongos), estos no tienen voluntad ni deseo de hacer mal: simplemente hacen aquello que les permite sobrevivir, siguiendo los mismos patrones de conducta que el resto de las especies, prosperando cuando se dan aquellas condiciones que les permiten multiplicarse y pasar de persona a persona. En el caso de la ciberseguridad, el análogo a los agentes patógenos son los crackers, personas con voluntad y discernimiento que han decidido dedicarse conscientemente a actividades que causan daño al resto de la sociedad. Esto agrega dos dimensiones que también existen en el caso de la salud: la dimensión normativa o legal, y la ética.
Todas las sociedades modernas han legislado para establecer la ilegalidad de ciertas conductas en el terreno de la salud —por ejemplo, en la mayor parte de los países modernos, es un delito practicar la medicina sin estar debidamente licenciado—. El equivalente en el terreno de la ciberseguridad es mucho más reciente: por ejemplo, la Convención 185 de Cibercrimen del Consejo de Europa, conocida como el Convenio de Budapest, es el primer tratado multilateral sobre cibercrimen existente, y fue abierto para firma de los países del Consejo en noviembre de 2001.
Todo lo anterior y más está relacionado con la ciberseguridad. La ciberseguridad —o la falta de ella— es una propiedad emergente de nuestras sociedades, con su enorme cantidad de dispositivos conectados, recursos tecnológicos y aplicaciones. No existe un solo factor del que dependa la seguridad de nuestra información e identidad, así como no existe un solo factor que nos permita mantener o perder nuestra salud, tanto en lo personal como a nivel de sociedades y países.
Fuente imagen: bizfayetteville.com