Reina roja

El error humano sigue estando presente de forma alarmante en los incidentes de ciberseguridad (IBM X-Force Threat Intelligence Index). Varía el entorno, evolucionan las amenazas y el usuario sigue siendo un vector de ataque… y ni siquiera sabe que lo es, o cuáles son esos ataques.

A la pregunta de qué es un phishing, todavía encontramos demasiada gente que no sabe responder o lo hace de manera incorrecta (2018 User Risk Report). Hemos podido constatar personalmente este hecho durante múltiples sesiones a personas de distintos sectores laborales y en una gran variedad de lugares colaborando con el CSIRT-CV, formulando a la gente la misma pregunta. Por no hablar de conceptos como spear-phishing, phishing as a service o whaling; no se han escuchado nunca y se consideran algo lejano (cosas de informáticos). Pero son ataques reales que pueden comprometer la integridad de cualquier empresa por causa del usuario. ¿Cómo va a estar correctamente securizado un sistema con semejante brecha?

La consabida afirmación de que el factor humano es el eslabón más débil de la cadena, podría reformularse; no es el más débil, es el elemento menos adaptado, adaptado a la evolución constante de amenazas existente en la actualidad. Desde Charles Darwin sabemos que no sobrevive necesariamente el individuo más fuerte, sino el mejor adaptado. Si el factor humano no lo está, es entonces cuando se torna un vector de ataque fácil y llamativo.

Los biólogos ilustran algo similar mediante la hipótesis de la Reina Roja. Dicha hipótesis describe la adaptación continua necesaria de las especies. «Para un sistema evolutivo, la mejora continua es necesaria para solo mantener su ajuste a los sistemas con los que está coevolucionando». Y eso es solo para conservar su estado actual. El nombre de la hipótesis está inspirado en la obra de Lewis Carrol, Alicia a través del espejo. En aquella ficción se mostraba un país en el que era preciso correr todo el tiempo para permanecer en el mismo lugar.

Si observamos que el error humano está tan presente en los incidentes, y que su desconocimiento de los mismos es tan significativo, no podemos esperar que evolucionen; ni siquiera saben que forman parte del sistema de seguridad. Es decir, muchas organizaciones están por debajo del mínimo necesario tan solo para mantener su estatus actual de seguridad, muy lejos de poder evolucionar junto con las amenazas.

Pero no podemos achacárselo al usuario, al empleado. No podemos culparle; el usuario tiene en mente realizar la función que se le encomendó en la compañía. Una tarea determinada en la empresa o el uso de una aplicación cualquiera cuando navega como particular en su casa (donde también puede ser víctima de un ataque que afecte a la seguridad de la organización). En definitiva, cree que la seguridad no le compete a él. Esta idea compromete su propia seguridad, la de su familia y la de su compañía. Y es la organización la que goza –o debería– de¬¬ una perspectiva general de su propia situación para gestionar las posibles brechas de seguridad.

La única solución –no la mejor, la única– es implementar planes de concienciación y formación continuos que mantengan al usuario perfectamente adaptado al manejo seguro de los sistemas que le correspondan. Que sea totalmente inútil dirigir un ataque contra él porque esté preparado para detectarlo, impedirlo o responder al mismo.

Muchos profesionales de la concienciación informan de que no gozan del respaldo necesario por parte de sus superiores para llevar a cabo y mantener sus programas de concienciación, como podemos apreciar en el SANS Institute security awareness report. Sin embargo, entre los profesionales que han conseguido ese respaldo, un porcentaje significativo afirma que su trabajo tiene un impacto positivo en la seguridad de su organización, como muestra el mismo informe.

Es decir, el usuario no es consciente de que tiene que adaptarse y sus superiores no muestran la diligencia debida para transmitírselo. ¿Cómo se puede así pretender conservar la seguridad de la organización?

Pero cuidado, la hipótesis señala que «…la mejora continua es necesaria para solo mantener su ajuste a los sistemas con los que está coevolucionando». Incluso aunque estuviera perfectamente concienciado, no bastaría, debe evolucionar constantemente como evolucionan las amenazas; el plan de concienciación debe ser continuo o el usuario volvería a estar inadaptado. Por supuesto el propio plan debe también evolucionar para lograr una madurez en la cultura de seguridad de la organización, que no se limite al mero cumplimiento de la normativa por parte de los empleados, sino que logre en ellos la motivación necesaria, la actitud activa que permita la detección y reporte de los incidentes que perciba. Y de los nuevos incidentes que sigan surgiendo. La compañía más fuerte, si no está adaptada, no sobrevivirá. Caerá, en este caso, por su parte menos adaptada, los usuarios.

¿Pero es verdaderamente necesaria esa adaptación tan continuada del factor humano con respecto a los ciberataques? El Informe de Amenazas y Tendencias del CCN-CERT afirma que las campañas de phishing aumentan tanto en volumen como en sofisticación. Según dicho informe, «este método constituye el vector de infección más exitoso, tanto en ataques dirigidos (ciberespionaje) como innominados (ransomware)». En la actualidad, los ataques buscan objetivos concretos, convirtiéndose así en ataques más específicos.

¿Y qué ocurriría si, además de ser un vector más de ataque –con amenazas cada vez más sofisticadas–, paulatinamente fuera convirtiéndose en el único? ¿No haría más acuciante si cabe la necesidad de la adaptación continua del usuario, de un buen plan de concienciación?

El citado Informe de Amenazas y Tendencias del CCN-CERT afirma que: «La disminución del número de vulnerabilidades atacables provocará un descenso en el uso de exploits-kits (aunque seguirán siendo utilizados en aquellas regiones geográficas donde no puedan ser monitoreados por los investigadores). Por ello, se dará paso a “kits humanos” donde los agentes de las amenazas cambiarán su modelo comercial para lograr sus objetivos atacando las debilidades humanas».

Por todo ello, consideramos que la situación actual de concienciación del usuario está lejos de alcanzar el mínimo aconsejable –que pasa por la adaptación continua– puesto que ni siquiera sabe que forma parte del ecosistema de la seguridad (que es a un tiempo el propio ecosistema empresarial), mientras que las amenazas que pretenden explotar la vulnerabilidad que ello supone aumentan en número y sofisticación, y la tendencia será aún mayor por la disminución de otros vectores de ataque. Ahí radica el valor –y la urgencia– de una buena implementación de programas de concienciación en ciberseguridad para cualquier organización. Que el usuario deje de ser una vulnerabilidad, porque lo es, y cada vez lo será en mayor medida.

Atendamos, pues, a la Reina Roja y aprendamos su lección:

Alicia miró alrededor suyo con gran sorpresa.
—Pero ¿cómo? ¡Si parece que hemos estado bajo este árbol todo el tiempo! ¡Todo está igual que antes!
—¡Pues claro que sí! —convino la Reina—. Y, ¿cómo si no?
—Bueno, lo que es en mi país —aclaró Alicia, jadeando aún bastante— cuando se corre tan rápido como lo hemos estado haciendo y durante algún tiempo, se suele llegar a alguna otra parte…
—¡Un país bastante lento! —replicó la Reina—. Lo que es aquí, como ves, hace falta correr todo cuanto una pueda para permanecer en el mismo sitio. Si se quiere llegar a otra parte hay que correr por lo menos dos veces más rápido.