Read the rest of the post ' Premio Estrella de Oro de ADECOSE: Un Reconocimiento al Compromiso y la Calidad '
Bienvenidos de nuevo, queridos lectores. Un mes más, me gustaría exponeros un tema que genera bastante debate en este campo de la ciberseguridad: es el tema de por qué compartimos de forma tan abierta información que, en malas manos, puede facilitar el trabajo de los cibercriminales. Es un tema ético que creo que no se suele tratar con la apertura que merece, de modo que intentaré daros mi opinión.
Lo primero que deberíamos entender es que, como en casi todo lo que tiene que ver con la ciberseguridad, hay que buscar el equilibrio entre el valor que aporta compartir información respecto a la amenaza que supone esa divulgación. Ejemplos claros de información de mucho valor y poco riesgo son las mejoras y avances en el campo de la ciberseguridad, sea en forma de herramientas, nuevos algoritmos o protocolos o cualquier otro avance, cuya divulgación no solo aumenta el beneficio y el impacto de la medida, sino que ayuda a descubrir posibles puntos débiles o flecos que haya que pulir para poder llevarla a su máximo potencial. Sin embargo, nuestros problemas éticos aparecen cuando lidiamos con información cuyo balance beneficio-amenaza no está tan claro.
Casos claros de este tipo de información los vemos en ejemplos de vulnerabilidades, donde el hecho de dar información sobre la vulnerabilidad es útil, pero, para facilitar aún más la labor de los equipos tecnológicos de las entidades, se suele incluir también información relevante sobre cómo localizar el fallo y las implicaciones que puede tener. Con esta información, los ciber criminales son capaces de poner el foco en esos puntos para generar código malicioso que explote la vulnerabilidad mucho más rápidamente. Por este tipo de implicaciones, se puede observar una especie de convención no escrita por la cual, si una vulnerabilidad no tiene una forma clara de ser corregida, la información proporcionada es mucho más ambigua, para dar tiempo a los equipos de trabajo a dar con una solución. Bajo este mismo código no oficial, si una vulnerabilidad, tenga o no solución conocida, se detecta que está siendo activamente explotada en casos reales, se vuelca toda la información en abierto, (se asume que no es peor el remedio que la enfermedad).
Casos claros son, a su vez, los casos de incidentes de seguridad en empresas, donde el aviso temprano puede ayudar a otras empresas (muy a menudo del mismo sector) a prevenir una infección mayor o a buscar proactivamente en sus propios sistemas si también han sido afectadas sin saberlo. La cara negativa, en estos casos, reside en una cuestión de reputación, de ahí que, muy a menudo, las empresas prefieran no divulgar los incidentes, por miedo a un impacto en la imagen de la empresa que no son capaces de cuantificar. Este autor, desde su humilde voz, intenta concienciar a la sociedad en general para que dejemos de ver estas cuestiones como algo negativo, pues tarde o temprano puede llegar a cualquier empresa, sino que lo veamos como una oportunidad de ver si la empresa gestiona de manera adecuada el incidente de ciberseguridad. Aún así, conscientes de las implicaciones éticas, también en este caso las empresas actúan de manera equilibrada, generalmente montando grupos de intercambio de información a nivel sectorial (como es el caso de la banca) o actuando incluso a través de entidades gubernamentales como la coordinación con el CCN-CERT.
Sí creo que hay un cierto argumento que legitima que una empresa no sea transparente respecto a un incidente: mantener al criminal en la duda. Cuando se produce un ataque, a menudo se produce porque grupos de ciber criminales, que cuentan con herramientas automatizadas, han encontrado algún fallo haciendo búsquedas masivas en la red. Al recibir el resultado de sus acciones maliciosas, lo primero que se preguntan y deben verificar es si la información es verídica y precisa y el valor que pueden llegar a sacar. Un comunicado de la empresa que sospechan que es la propietaria de los datos les confirmaría lo que deben saber y podrían poner esos datos a la venta, sabiendo que son reales. A este argumento, se le opone uno de igual o mayor peso, en mi opinión, y es el que, si han sido lo suficientemente hábiles para conseguir hackear los sistemas de una empresa, lo más probable es que no les lleve mucho tiempo legitimar los datos obtenidos. Además, el que sea la empresa la que tome la delantera públicamente les roba una baza importantísima a los ciber criminales: la posibilidad de la extorsión por la amenaza de que salga a la luz.
En resumen, la ética de compartir información en ciberseguridad es un tema complejo, pero espero que, el artículo de hoy haya ayudado a arrojar un poco de luz en porqué sigue siendo más positiva la transparencia en este campo, además de ayudaros a ver que se intenta mantener un equilibrio en el alcance o difusión que se da a cierta información y los perjuicios que puede llegar a ocasionar. ¡Como es habitual, nos vemos en el próximo artículo!