¿Por qué es tan difícil la ciberseguridad?

Tras casi 20 años de intentos y miles de millones de dólares en inversiones, ¿por qué las organizaciones siguen teniendo problemas con la ciberseguridad? De hecho, el problema parece estar empeorando, no mejorando. Responder a esta pregunta requiere ir más allá de un examen puramente técnico de la ciberseguridad. Es cierto que los desafíos técnicos son muy reales; no sabemos cómo escribir código libre de errores, por ejemplo. Pero si analizamos el desafío de manera más amplia, incluso si resolviéramos los problemas técnicos, la ciberseguridad seguiría siendo un problema difícil por tres razones:

• No es solo un problema técnico
• Las reglas del ciberespacio son diferentes a las del mundo físico
• La ley, la política y la práctica de ciberseguridad aún no están del todo desarrolladas

La primera razón: que la ciberseguridad es más que un simple problema técnico, que incorpora aspectos de la economía, psicología humana, y otras disciplinas: se ha explorado en otros artículos de este serie sobre ciberseguridad. Sin embargo, las otras dos razones también contribuyen en gran medida a dificultar la ciberseguridad y nuestros enfoques deben tenerlas en cuenta.

Diferentes reglas en el ciberespacio

El ciberespacio funciona según reglas diferentes a las del mundo físico. No me refiero a las «reglas» sociales, sino a la física y las matemáticas del ciberespacio. La naturaleza nodal de una red a la velocidad de la luz significa que conceptos como distancia, fronteras y proximidad funcionan de forma diferente, lo que tiene profundas implicaciones para la seguridad. En primer lugar, al reducir considerablemente las distancias, las amenazas pueden provenir literalmente de cualquier parte y de cualquier actor. En segundo lugar, las fronteras del ciberespacio no siguen las mismas líneas que hemos impuesto al mundo físico, sino que están marcadas con enrutadores, firewalls y otras pasarelas. La proximidad es cuestión de quién está conectado por qué rutas, no de su ubicación física.

Centro de información

• Hacer bien la ciberseguridad

  Patrocinado por Accenture

  Proteger su empresa en un mundo complejo.

Como resultado, nuestros modelos mentales del mundo físico simplemente no funcionan en el ciberespacio. Por ejemplo, en el mundo físico, asignamos al gobierno federal la tarea de la seguridad fronteriza. Pero dada la física del ciberespacio, la red de todos está en la frontera. Si todo el mundo vive y trabaja en la frontera, ¿cómo podemos asignar la seguridad fronteriza únicamente al gobierno federal? En el mundo físico, la delincuencia es local, tiene que estar en un lugar para robar un objeto, por lo que la policía tiene jurisdicciones basadas en los límites físicos. Pero en el ciberespacio puede estar en cualquier parte y llevar a cabo la acción, por lo que las jurisdicciones de la policía local no funcionan muy bien.

Los mismos principios del ciberespacio que permiten a las empresas llegar directamente a sus clientes también permiten a los malos llegar directamente a las empresas. Sin embargo, no puede permitir que los gobiernos se interpongan en lo segundo sin que también se interpongan en lo primero. Compartir información entre personas a la velocidad humana puede funcionar en muchos contextos físicos, pero está claro que se queda corto en el ciberespacio. Mientras sigamos intentando mapear los modelos del mundo físico en el ciberespacio, se quedarán cortos de alguna manera.

Marcos legales y políticos

Además, el ciberespacio es aún muy nuevo desde el punto de vista legal y político. En la forma moderna, Internet y el ciberespacio solo existen unos 25 años y han cambiado constantemente durante ese período. Por lo tanto, no hemos desarrollado los marcos exhaustivos que necesitamos. De hecho, aún no tenemos respuestas claras a las preguntas clave:

• ¿Cuál es la división correcta de responsabilidades entre los gobiernos y el sector privado en términos de defensa?
• ¿Qué nivel de cuidado debemos esperar que ejerzan las empresas en el tratamiento de nuestros datos?
• ¿Cómo deben abordar los reguladores la ciberseguridad en sus sectores?
• ¿Qué medidas pueden tomar los gobiernos, las empresas y los individuos y cuáles no?
• ¿Quién es el responsable de los defectos del software?
• ¿Cómo hacemos que las personas y las organizaciones rindan cuentas más allá de las fronteras internacionales?

Están empezando a surgir algunas respuestas. Por ejemplo, no debemos esperar que el gobierno federal proteja a todas las empresas de todas las amenazas en Internet en todo momento; simplemente no es práctico ni deseable, porque afectaría significativamente a la forma en que podemos hacer negocios. Por otro lado, no podemos esperar que la mayoría de las organizaciones frustren las actividades de actores sofisticados del estado-nación. Entonces, ¿cómo podemos resolver este dilema?

Quizás deberíamos tomar prestados conceptos del mundo de la respuesta a los desastres y dividir las responsabilidades de una manera fluida que se adapte con el tiempo en respuesta a las circunstancias cambiantes. En la respuesta a los desastres, la preparación y la respuesta inicial residen en el nivel local; si un incidente determinado abruma o amenaza con abrumar a los socorristas locales, los niveles de gobierno cada vez más altos pueden intervenir. Podríamos aplicar estos principios a la asignación de responsabilidades en el ciberespacio; las empresas y las organizaciones siguen siendo responsables de proteger sus propias redes, hasta cierto punto. Pero si queda claro que un estado-nación está implicado, o incluso si el gobierno federal se limita a sospechar que un estado-nación está implicado, entonces el gobierno federal empezará a utilizar sus capacidades. Responder plenamente a estas preguntas es la tarea clave de la política de ciberseguridad para los próximos cinco a 10 años.

Mientras tratemos la ciberseguridad como un problema técnico que debería tener soluciones técnicas sencillas, seguiremos fallando. Si, en cambio, desarrollamos soluciones que aborden las razones por las que la ciberseguridad es un problema difícil, progresaremos. El Alianza de ciberamenazas (CTA) es solo un ejemplo de este enfoque (divulgación: soy el presidente de la CTA). Hace poco más de dos años, un grupo de profesionales de ciberseguridad de varias organizaciones llegó a la conclusión de que el modelo operativo del sector no estaba dando los resultados deseados y decidieron adoptar uno nuevo: trabajar juntos de buena fe y empezar a compartir la información sobre las amenazas de forma automatizada, con todos los que contribuyeran al sistema y dando mucho más peso al contexto de las amenazas. La estructura de la CTA es un intento de abordar los defectos conocidos en las iniciativas actuales de intercambio de información. Si podemos seguir innovando de esta manera, por fin podemos empezar a hacer algunos progresos en la lucha contra este problema que parece intratable.