Disuasión y ciberdisuasión

gatoSegún el DRAE, la disuasión es la “acción y efecto de disuadir”, y disuadir significa “inducir, mover a alguien con razones a mudar de dictamen o a desistir de un propósito”; básicamente, la disuasión consiste en convencer a alguien, de una u otra forma, para que cambie su manera de actuar. Cuando hablamos de seguridad, las medidas de disuasión son las que tratan de “convencer” a alguien hostil para que cese su actitud -al menos ante nosotros-; en muchos casos, son el efecto colateral de salvaguardas reales, pero en ocasiones se utilizan de forma pura, sin ningún otro mecanismo de seguridad real más allá de la intención de “convencer” a un delincuente de que nos deje tranquilos…

Desde siempre, la disuasión ha sido uno de los pilares básicos de la seguridad, junto aspectos como la prevención, la canalización o la detección; las medidas puramente disuasorias eran habitualmente tan baratas (cámaras de seguridad falsas, carteles de conexión a CRAs inexistentes, desfiles militares con misiles de cartón…o un simple cartel de “Cuidado con el perro”) que justificar (o amortizar) su coste era trivial, así que con una rentabilidad justificada, no había impedimentos para echar mano de estas salvaguardas. Por supuesto, la efectividad de una medida estrictamente disuasoria es cuestionable: volviendo a los ejemplos anteriores, si un potencial atacante descubre que las cámaras son falsas, que no estamos conectados a ninguna CRA, que nuestros misiles se rompen si llueve o que no tenemos perro, tendrá el camino libre hacia su objetivo; así, llegado este punto, la disuasión pura habrá dejado de funcionar y deberán entrar en juego otro tipo de salvaguardas más eficaces… Adicionalmente, otro aspecto de las medidas de disuasión puras es el efecto negativo que pueden llegar a tener; si nuestra casa está plagada de controles de acceso, carteles, etc. puede llegar a convertirse, con o sin razón, en un buen reclamo para un potencial atacante, y en ese caso deberemos disponer de más medidas de seguridad para frenar el ataque. Por tanto, el uso excesivo de medidas disuasorias puede ser, en ocasiones, contraproducente.

Bajo mi punto de vista, para que una medida estrictamente disuasoria funcione deben cumplirse dos principios (aparte de aspectos obvios como que la disuasión sea creíble y demás), o al menos una combinación de ambos: percepción de riesgo y direccionalidad del ataque. Con respecto a la percepción del riesgo, el atacante debe percibir -correcta o incorrectamente- un riesgo elevado frente al beneficio que puede obtener con sus actividades; si un ladrón cree que nuestra casa está conectada a una CRA, que tenemos un perro peligroso y que aparte vamos a grabar cómo el animal le destroza un brazo gracias a nuestro sistema de videovigilancia, se lo pensará un par de veces antes de entrar en nuestra casa para lograr como botín un televisor Telefunken en blanco y negro. ¿Para qué arriesgar más de lo necesario enfrentándose a un perro o permitiendo que se grabe su imagen?

Desde el punto de vista de la direccionalidad, las medidas disuasorias pueden ser efectivas frente a ataques no dirigidos, en los que no importa la víctima, pero los ataques dirigidos rara vez se detienen por una medida puramente disuasoria. Dicho de otra forma, y volviendo con el ejemplo del caco, si alguien quiere robar en una casa cualquiera, seguramente va a elegir la que no tenga el cartel de “cuidado con el perro” o cámaras de seguridad, sin preocuparse de si realmente hay un perro peligroso o de si las cámaras son o no falsas; a fin de cuentas, ¿qué más da una que otra? Pero si alguien quiere robar en una casa concreta -no en cualquiera-, necesitaremos mucho más que un cartel o una cámara de pega para disuadirlo: se preocupará de averiguar si los dueños tienen realmente perro, si están conectados a una CRA o si las armas expuestas en el jardín son de cartón piedra :)

¿Qué hay a la hora de hablar de ciberdisuasión (ojo, no creo que sea un término aceptado por la RAE ;)? Sincremante, creo que ante los ataques tecnológicos actuales, las medidas de disuasión puras pierden buena parte de su eficacia. En el caso del riesgo asumido por un atacante remoto, quizás las medidas de disuasión puedan tener algún resquicio de utilidad si dicho riesgo existe realmente, pero dudo que sirvan de algo en la mayoría de ocasiones; imaginemos que una organización ubica en el inicio de sesión de sus sistemas el típico banner que advierte del uso correcto de los equipos, la monitorización a la que pueden ser sometidos sus usuarios y las medidas legales y disciplinarias que pueden aplicarse en el caso de un uso indebido. Más allá de aspectos jurídicos, podemos discutir si esto tiene algún efecto en el personal de la organización, personal que si incumple lo indicado asume riesgos (despidos, sanciones, acciones judiciales…), pero no creo que el banner en cuestión tenga alguna utilidad disuasoria ante un atacante remoto, que opera desde un país sin apenas legislación en temas informáticos y que sabe que en la práctica el riesgo que corre con sus actividades es mínimo. Y si encima el atacante se focaliza en nosotros, y no en la organización de al lado, peor todavía. Dado que el riesgo que suele asumir un delincuente en estos casos es mínimo -por no decir nulo-, de poco sirve la disuasión pura.

En definitiva, en su término justo, las medidas de disuasión puras son baratas, pueden ser un buen complemento a otras salvaguardas y pueden evitarnos problemas si las aplicamos bien y no caemos en un exceso de confianza en ellas; pero no pensemos que nos van a ayudar si el atacante no percibe riesgos en sus acciones (buena parte de la delincuencia tecnológica) o si nos enfrentamos a alguien que va a por nosotros y no a por el vecino. En estos casos, apliquemos otras salvaguardas más eficaces -especialmente de prevención y detección- y no confiemos en el cartelito de “Cuidado con el perro” :)

(Fotografía de Dale Ruff, Springfield Union)

Comments

  1. Un artículo muy interesante. La verdadera regla de inversión en seguridad tiene que considerar, precisamente, todos esos mecanismos de protección que pueden parecer no evidentes (medidas de ofuscación, vigilancia de los incidentes que sufren otras organizaciones, honeypots etc.) y añadiría esa categoría de medidas disuasorias.

    Como bien señalas, el problema de la Rentabilidad Asociada a un atacante remoto es que, con muy poca inversión, tiene muchas expectativas de lograr éxito en un ataque y de quedar impune, por lo que, en general, las medidas disuasorias virtuales le importarán tan poco como las reales.

  2. http://Antonio%20Villalon says

    Hello patowc!
    Muchas gracias por el comentario :)
    El problema de la impunidad total de los atacantes remotos es un punto a su favor, tanto con medidas disuasorias puras como con salvaguardas reales :( Lamentablemente, hay un vacío legal (que no sé si se podrá llenar algún día) y, para una mafia, es mucho más rentable -y menos arriesgado- un phishing que cualquier atraco, así que en eso parecen centrarse…

Trackbacks

  1. […] Disuasión y ciberdisuasión (…) Sincremante, creo que ante los ataques tecnológicos actuales, las medidas de disuasión puras pierden buena parte de su eficacia. En el caso del riesgo asumido por un atacante remoto, quizás las medidas de disuasión puedan tener algún resquicio de utilidad si dicho riesgo existe realmente, pero dudo que sirvan de algo en la mayoría de ocasiones… […]