Durante treinta años, la parte más difícil de un ciberataque sofisticado fue el trabajo humano detrás de él. Encontrar debilidades. Escritura de explotación. Encadenamiento de acceso. Es importante permanecer en silencio durante tanto tiempo.
Ese trabajo requiere equipo, tiempo y habilidad. Esta es la razón por la que las operaciones de los Estados-nación se ven diferentes de las criminales, y por qué la mayoría de las organizaciones pueden planificar en torno a la brecha entre ellas.
Esa brecha se está cerrando.
Experto en ciberresiliencia y defensa humana.
Estamos entrando en lo que consideramos la Era de los Mitos, donde las máquinas pueden hacer en minutos lo que a operadores humanos capacitados les llevaría meses. Las defensas de ciberseguridad están mejorando, pero el nivel en el que se toma la decisión final, el humano, es ahora el más fácil de explotar.
La ventaja que aseguró la mayoría de las empresas, la mayor parte del tiempo, la acompaña. La precisión a escala ya no es una contradicción. Es una característica.
La pila humana: qué es y por qué es importante
Gran parte de la conversación sobre este cambio se ha centrado en lo que hace que estos sistemas sean vulnerables. Esa conversación es correcta, pero incompleta. El problema difícil es qué ataques a velocidad de máquina acaban desarraigando en esos sistemas: sistemas que dependen de decisiones humanas.
Este es un nivel que la mayoría de los programas de seguridad claramente no poseen. A esto lo llamo Human Stack, donde cada sistema, en última instancia, se reduce a que una persona decida si una transferencia bancaria es buena, si un correo electrónico es confiable o si una voz en una llamada telefónica es real. Hemos pasado una generación endureciendo todo lo que está por encima y casi nada está nivelado.
Durante la mayor parte de la historia de la ciberseguridad, fue una apuesta tolerable. Los atacantes tenían que elegir entre ser amplios y toscos o estrechos y precisos. Las pilas humanas se mantienen porque la precisión no ha escalado y la escala no ha alcanzado la precisión.
Esa transacción desapareció.
Cómo será la próxima ola de ataques
La próxima ola no llegará en forma de malware. Vendrá como prueba. Un mensaje de voz que suena exactamente como la persona que dice ser. Una videollamada con una cara que conoces desde hace diez años. Un hilo de correo electrónico que captura una conversación que realmente tienes, una cadencia que realmente usas y que hace referencia a un proyecto que realmente existe. Los indicadores técnicos serán claros y los indicadores sociales serán perfectos. Lo único que saldrá mal son las conclusiones a las que se lleva a la gente.
El año pasado, pasé tiempo con el equipo en Midnight in the War Room, un documental que se estrenará el 5 de agosto en Black Hat USA. Reúne a más de 50 expertos de todo el mundo, desde CISO y estrategas militares hasta hackers reformados y víctimas de conflictos cibernéticos. Las conversaciones versaron sobre algo que ha estado sucediendo durante mucho tiempo y continúa acelerándose: la industrialización de la ingeniería social y la constante militarización de las superficies de ataque conductuales.
Esa superficie no se detiene en tu perímetro. Esto se extiende a todos los proveedores, proveedores de servicios gestionados y administradores de servicios en la nube, según su negocio. Que sus operaciones se desconecten no tiene nada que ver con su propia gente, sino con tres proveedores que toman decisiones bajo una presión artificial.
Qué significa esto para las empresas
Para los negocios, no es teórico. El riesgo financiero es directo. Ya estamos viendo transferencias electrónicas fraudulentas, cadenas de aprobación manipuladas y jefes de finanzas disfrazados de manera tan convincente que los pagos se liquidan antes de que nadie se dé cuenta.
Pueden ocurrir interrupciones operativas sin que haya ningún malware en su sistema. La superficie de ataque conductual no se detiene en su perímetro. Depende de su negocio a través de cada proveedor, proveedor de servicios gestionados, bufete de abogados, auditor y administrador de la nube.
Un tercero sin concesiones, magistralmente a través de una campaña de ingeniería social perfectamente diseñada, puede desconectar sus operaciones sin dejar una huella digital en ningún lugar cerca de su red. La mayoría de las organizaciones examinan su propia postura de seguridad con mucho más rigor que los entornos de toma de decisiones humanas de terceros en los que dependen, dejando esa exposición en gran medida sin regulación.
Los reguladores y las aseguradoras están empezando a plantear preguntas difíciles sobre esa exposición y la mayoría de las empresas todavía no tienen buenas respuestas.
Cambiar de la resistencia a la resiliencia
Hay un segundo cambio para el cual las juntas directivas deben empezar a prepararse, y es más grande que cualquier regulación o tecnología por sí sola. Estamos saliendo de la era en la que el éxito en materia de seguridad se mide por la prevención de ataques. Estamos entrando en una situación en la que la medida realista es la rapidez con la que una organización se recupera cuando falla la confianza.
La prevención sigue siendo importante y las empresas de inversión lo han hecho bien. Pero en un mundo donde los ataques a veces tienen éxito porque no se pueden distinguir de las actividades legítimas, la disuasión por sí sola ya no es una estrategia coherente. La resiliencia lo es.
Lo que significa resiliencia a nivel humano es diferente de lo que significa a nivel técnico. La resiliencia tecnológica se trata de sistemas que fallan con gracia y se recuperan rápidamente. La resiliencia humana tiene que ver con el entorno de toma de decisiones que puede absorber un engaño exitoso, reconocerlo y contenerlo antes de que se agrave. La mayoría de las instituciones son las primeras en invertir. Muy pocos han invertido en esto último. Esto es por lo que nos juzgará la próxima década.
¿Qué deberían hacer los líderes?
La seguridad sigue siendo esencial, pero esta era revela que incluso los mejores sistemas dejan sus decisiones más difíciles en manos de los humanos, y no hemos invertido en ese nivel con el mismo rigor. Aquí es por dónde empezar:
Medir la recuperación, no sólo la prevención
Cuando la confianza falla, ¿con qué rapidez puede su organización detectarla, contenerla y recuperarla? Debe diseñarse en su modelo operativo ahora, no como una ocurrencia tardía.
Diseñar para tomar decisiones bajo engaño
No es suficiente capacitar a las personas para detectar el phishing cuando el correo electrónico de phishing no se puede distinguir del correo electrónico real. Crear procesos institucionales que no dependan de una sola persona para tomar la decisión correcta bajo presión.
Considere a las personas como infraestructura funcional.
El juicio humano es un sistema crítico. Requiere protocolos de redundancia y conmutación por error, como cualquier otro.
Extienda su cultura de seguridad a su ecosistema de proveedores
Las superficies de ataque conductuales recorren toda su cadena de suministro. Su programa de riesgos de terceros debe tener en cuenta la capa humana, no sólo la técnica.
La ventana se esta cerrando
Medianoche en la Sala de Guerra hará esto visible de una manera que un artículo de opinión no puede hacerlo.
La Era de los Mitos no creó este problema. Lo reveló. El costo de explotar precisamente la toma de decisiones humana fue lo suficientemente alto como para mantener alejados a la mayoría de los atacantes. Esa barrera ahora se está derrumbando.
Lo que suceda a continuación no se anunciará por sí solo. Parecerá alguien en quien usted confía, pidiendo algo que parece perfectamente razonable, hasta que ya no lo es.
La pregunta ya no es si su sistema puede resistir un ataque. Si su gente está preparada para tomar decisiones en un mundo donde ya no se puede confiar en la evidencia misma, y si su organización está diseñada para recuperarse cuando esas decisiones salen mal.
Hemos revisado y clasificado los mejores antivirus en la nube..
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: