ciberseguridad

¿Quiere mejorar la ciberseguridad? Entonces elimine el factor humano

The  wall street journal-miércoles, 20 de enero de 2016

Todos los sistemas informáticos que operan nuestro mundo —los que aseguran nuestra información financiera, protegen nuestra privacidad e incluso mantienen nuestra red eléctrica— tienen una debilidad crítica contra la que no hay parche que sirva: Los humanos que los usan.

Conforme aumentan los ataques informáticos y las filtraciones de datos, y crece la amenaza de un “Pearl Harbor cibernético”, vale la pena plantearse esta pregunta: ¿cómo nos podemos defender, no de un ataque contra nuestras computadoras, sino contra nuestras mentes?

Este problema ha plagado cada red desde los inicios de la conectividad, dice Maria Konnikova, autora del nuevo libro “The Confidence Game” (algo así como El juego de la confianza), una investigación sobre las mentes y los métodos de los estafadores. Casi tan pronto como nacieron las telecomunicaciones, alguien inventó una forma de estafar usándolas.

Fred y Charley Gondorf, dos hermanos que operaban en Nueva York alrededor del comienzo del siglo XX, orquestaron un ardid en el que convencieron a la gente de que un telegrafista le transmitiría los resultados de carreras de caballos antes de que la información llegara a las casas de apuestas. Por supuesto, no había ningún operador, sino que eran los Gondorf, quienes que se quedaban con las apuestas.

“Hasta el día de hoy, el eslabón débil en todas las interacciones entre (los humanos y los sistemas de tecnología de la información) es el humano que comete el error”, dice Moran Cerf, un ex hacker que se volvió neurocientífico. Las dos pasiones de Cerf le dan un punto de vista único sobre el problema, que según él sólo ha empeorado con el avance de la tecnología.

Por eso es que aquellos que son víctimas de estafas de e-mail y phishing, que pueden desatar grandes ciberataques, continúan cayendo pese a la amplia publicidad y capacitación de las empresas. La información que los hackers y los estafadores necesitan para persuadir a alguien para que confíen en ellos está más disponible que nunca. Si alguna vez aceptó una solicitud de un desconocido para que sean amigos en Facebook, incluso alguien con quien tiene contactos en común, usted es parte del problema.

Facebook es un enorme yacimiento de información, desde sus contactos hasta los lugares que vista, y toneladas de datos sobre nosotros que ni siquiera sabemos que estamos revelando pueden ser obtenidos por algoritmos astutos, desde nuestros gustos hasta nuestras afiliaciones políticas, dice Cerf. Hacerse amigos de extraños en Facebook a través de cuentas falsas —y luego aprovechar contactos en común para ganar acceso a la red de una víctima— es una táctica común de un estilo de hacking conocido como “ingeniería social”.

Por supuesto, las redes sociales son sólo el comienzo. “Las listas de productos que quiere comprar en Amazon son un tesoro, así como su historia de subastas en eBay”, asevera Konnikova. “Todo esto está disponible allí, y uno no tiene que ser un hacker sofisticado para compilar perfiles bastante detallados de una persona”.

Siempre que alguien tiene información sobre nosotros, somos más propensos a confiar en esa persona. Eso ha ayudado a los hackers a refinar sus ataques de phishing, mediante los cuales llevan bandejas de entradas de correos electrónicos corporativos con mensajes personalizados para que parezcan más creíbles. Estos ataques de “spear phishing” (o phishing con arpón) tienen más probabilidades de tener éxito porque provienen de alguien que conocemos, o pensamos que conocemos.

Apenas alguien baja un archivo adjunto o hace clic en un enlace, su sistema se infecta y los piratas pueden moverse de forma lateral en la red, desplazándose rápidamente de la computadora de un empleado de bajo nivel a las partes más confidenciales de un sistema informático.

Podría preguntarse quién sería tan ingenuo como para caer en la trampa. La respuesta es muchos de nosotros. En un estudio de 150.000 e-mails de prueba enviados a dos de sus socios de seguridad, los investigadores de Verizon Enterprise Solutions hallaron que 23% de los destinatarios abrieron el correo y 11% hicieron clic en el archivo adjunto, que en circunstancias normales habría instalado malware.

O, como indicó este informe de 2015 de Verizon, “una campaña de sólo 10 e-mails genera una probabilidad de más de 90% de que al menos una persona será víctima del delincuente”.

La solución obvia a este problema es enseñar a la gente a ser más cuidadosos de todo lo que aparece en su bandeja de entrada. Sin embargo, la historia ha demostrado que eso no funciona. Los bancos, en particular, están gastando enormes sumas para tratar de enseñarles a sus empleados a no abrir e-mails sospechosos. Pero ¿cómo se puede hacer eso de forma eficaz cuando, por ejemplo, su empresa es J.P. Morgan Chase & Co. y tiene más de 250.000 empleados? El banco estadounidense sufrió hace poco una filtración de datos de unos 76 millones de familias.

“Asegurar las computadoras de 250.000 personas, o hacer que 250.000 personas hagan lo que deben, es prácticamente imposible”, recalca Shawn Henry, presidente de la firma de ciberseguridad CrowdStrike y ex director ejecutivo adjunto del FBI.

La solución, dice Henry, es asumir que los humanos pueden fallar, y automatizar el sistema en torno a ellos. Un mejor filtro de e-mails puede hacer una gran diferencia, así como sistemas dentro de la infraestructura informática de una compañía que funcionen casi como un sistema inmunológico, monitoreando el tráfico interno para detectar malware después de que el sistema ha sido infectado.

Dada la larga y rica historia de estafadores y sus equivalentes modernos, los hackers que utilizan ingeniería social, realmente no tenemos alternativas. A pesar de más de una década de intentos de educar a la gente acerca de los ataques de phishing, afirma el informe de Verizon, estos siguen siendo el segundo punto de acceso más común a un sistema informático, y han estado en aumento desde 2011. También son la forma más popular que emplean los gobiernos para realizar ciberespionaje, lo que significa que están en la vanguardia de lo que podrían ser invasiones más peligrosas.

La historia ha demostrado que no ganaremos esta guerra cambiando el comportamiento humano. No obstante, tal vez podamos construir sistemas que estén tan resguardados que los humanos pierdan la capacidad de cometer errores tontos. Hasta que desarrollemos la habilidad de mejorar el cerebro humano, esta es la única manera