Ciberseguridad: la importancia de conocer los conceptos y saber aplicarlos en el mundo real

Originalmente este artículo llevaba como título "Seguridad instrumental y seguridad operacional", ¿curioso nombre, verdad? Estoy seguro de que, de haberlo dejado, te estarías ahora preguntando, ¿de qué demonios nos va a hablar este mes con un título tan aparentemente técnico? Pues, a pesar de este cambio para evitar una huida masiva de lectores, os vengo a contar como siempre algunas de mis batallitas y preocupaciones de “especialista” en ciberseguridad. Y resulta que, en este caso, estos dos conceptos me los encontré recientemente en el libro “Resistencia Digital”, de la editorial críptica y que, al parecer, se puede descargar gratuitamente desde su web.

Pues bien, estos conceptos no son más que la clasificación que hacemos, los que nos llamamos (de manera casi fraudulenta) “especialistas de ciberseguridad”, de las preguntas que nos hacen de forma habitual. Y esta clasificación viene a ser si la pregunta va dirigida hacia un concepto, idea o proceso (la capacidad de infectar los dispositivos móviles por ejemplo) o si por el contrario va buscando una recomendación técnica de herramienta (“¿qué antivirus me recomiendas para el móvil?”). Y es que existe una diferencia fundamental entre ambas cuestiones: mientras que la primera va destinada a entender el concepto y es atemporal (sería lo que se denomina en el libro seguridad operacional), es decir, no queda desfasada salvo cambios realmente disruptivos (ej: dejamos de usar el smartphone como hasta ahora); la segunda va dirigida a cómo aplicar el concepto previamente entendido con los medios disponibles (la seguridad instrumental).

Como todo en esta vida, estos conceptos se entienden mejor con ejemplos, de modo que os daré algunos. Imaginaros un navegante que se propone realizar una travesía cruzando el Atlántico, que comenzase por elegir el barco que empleará. Aunque nos pudiera parecer razonable, la verdad es que los conocimientos que tenga determinan tanto el partido que le sacará al barco como el tipo de barco que debería elegir. Si el navegante sólo sabe hacer navegación de cabotaje (guiándose por la vista de la tierra, sin introducirse en aguas profundas), no parece que tenga mucho sentido elegir un barco con poca maniobrabilidad y mucho calado, aunque sea un transatlántico. Si el navegante, por el contrario, sabe incluso orientarse mediante las estrellas, podrá elegir hasta una carabela antigua, alejándose de los barcos más modernos y mejor equipados.

Acercando este símil al mundo de la ciberseguridad, si quiero navegar por la web de forma segura, primero tendré que averiguar cuáles son mis conocimientos relativos a las redes: sé lo que es una IP, un dominio y un sitio web, sé qué hace una VPN cuando la uso para conectarme, entiendo los conceptos de “cookies” del navegador, etc. Y sólo una vez que he entendido estos conceptos, cobra sentido plantearse las herramientas a usar: ¿Utilizo Chrome como principal navegador o uno más comprometido con la privacidad pero que requiere más conocimientos como Firefox o Tor? ¿Puedo usar un navegador menos seguro, pero más fácil de usar como usuario, si lo combino con una VPN? ¿Qué VPN elijo en base al estudio que hacen de mi información?

Recientemente, hice una serie de artículos dirigidos a esta ciberseguridad en los dispositivos móviles que pretenden ser guías muy dirigidas (seguridad instrumental), porque considero que los “especialistas” solemos descuidar esta parte en favor de intentar que personas no técnicas entiendan los conceptos, que son lo que consideramos más críticos porque, una vez asumidos, estarás libre de ataduras de herramientas concretas: un año serán unas, al siguiente otras. Por eso este artículo, para reivindicar que, para que exista ciberseguridad razonable, deben estar presentes ambos tipos: el conocimiento de los conceptos y saber llevarlos a la práctica. De nada nos sirve entender los conceptos sin saber cómo aplicarlos en el mundo real, del mismo modo que es muy limitado limitar la ciberseguridad a una herramienta concreta sin entender el concepto de seguridad que nos proporciona. De modo que, ya sabéis, siempre que vayáis a preguntar algo que sea de tipo instrumental, pensad si entendéis el concepto también o si, todavía, deberíais indagar aún más con las preguntas. Nosotros estaremos encantados de ayudaros.

 

¡Nos vemos en el próximo artículo!