Estoy haciendo el curso de certificación en ciberseguridad de Google, y no, no planeo convertirme en el próximo «hacker ético» de renombre. Nada más lejos de mi intención.
¿Por qué lo hago? Porque quiero reforzar mis conocimientos y mantener en forma esa parte de mi cerebro que se dedica a la ciencia de los datos. Vamos, un poco como quien va al gimnasio, pero para su cabeza… y sin selfies.
Lo curioso es que, aunque sé manejar herramientas, olfatear tráfico de red, configurar proxys y ayudar a la gente a activar el 2FA sin perder la paciencia (casi siempre), me siento como un niño jugando a los médicos cuando me comparo con alguien que realmente se dedica a esto.
Los que están «del otro lado» —los buenos y los malos— me generan un santo respeto. Esa gente que se conoce los protocolos de memoria y es capaz de imaginar ataques o defensas que parecen sacados de una novela de ciencia ficción. Yo solo puedo aplaudir y tratar de aprender lo básico sin quemarme en el intento.
Así que estos artículos sobre ciberseguridad que estoy publicando son como mis cuadernos de notas. Y así deben ser entendidos. Quizás sirvan a otra persona a empezar e introducirse en este mundillo. Solo puedo desearle suerte. Mucha suerte. Y tranquimacines, muchos tranquimacines.
Gestión de riesgos: el arte de no meter la pata
Uno de los temas principales del curso es la gestión de riesgos. Y aquí va una traducción al idioma humano: las empresas tienen cosas que valen dinero o que, si desaparecen, pueden causar un desastre.
A estas cosas las llamamos activos (o assets si te vas a hacer un examen de certificación).
Pueden ser digitales, como bases de datos con información de clientes (ejem, sus números de cuenta o de tarjeta), o físicos, como servidores o, por qué no, un TPV.
¿Cómo se gestionan estos riesgos?
Hay varias estrategias, y algunas suenan tan lógicas como no salir de casa si sabes que está lloviendo (pero siempre hay quien se moja):
- Aceptación: «Mira, ya lo sabemos, esto puede pasar, pero seguimos adelante». Un poco temerario, pero útil a veces.
- Evasión: «Mejor no me meto ahí». A veces la ignorancia es felicidad… o supervivencia.
- Transferencia: «¿Qué tal si alguien más se encarga de este problemita?».
- Mitigación: «No puedo evitarlo, pero sí puedo reducir el daño».
Por supuesto, todo esto se basa en marcos teóricos con siglas imposibles como NIST RMF y HITRUST, que suenan más a naves espaciales que a guías de gestión.
Amenazas, riesgos y vulnerabilidades: la santa trinidad del caos
Aquí es donde empezamos a ver la dimensión del problema.
- Amenazas (o threats cuando te examines del certificado):
Piensa en el cuñado incómodo que siempre aparece sin invitación en las cenas familiares. Pues igual, pero en internet. Puede ser un empleado descontento (los famosos «insider threats») o un grupo de hackers muy persistentes que no te dejan en paz (los temidos APT, o Amenazas Persistentes en el Tiempo). - Riesgos (o risks):
Básicamente, la probabilidad de que tu mala suerte se convierta en un desastre. Ejemplo: un sistema antiguo que ya nadie recuerda cómo actualizar o un proveedor externo con acceso a tus secretos más oscuros. - Vulnerabilidades:
Aquí hablamos de las grietas en tu armadura. Cosas como el famoso Log4Shell o la pesadilla de los administradores: el parche que no aplicaron a tiempo. ¿El resultado? Gente malintencionada jugando a ser tú… y no en un cosplay amistoso.
Piensa en la vulnerabilidad como ese hueco por el que se cuela el ratón (la amenaza) y el riesgo como en la probabilidad de que el ratón se cuele y cause un daño en tu última cosecha (el recurso o activo).
Luego están tus decisiones.
Puedes decidir tapar el hueco con una malla (mitigación), poner un gato (transferencia del riesgo a un tercero) o simplemente aceptar que los ratones son inevitables y resignarte a perder una parte de tu cosecha (aceptación del riesgo).
¿Es esto para tanto?
Pues sí, porque los malos no descansan y porque las empresas tampoco pueden permitirse ser un meme en Twitter por una filtración. Por eso, la ciberseguridad no es solo instalar un antivirus y cruzar los dedos. Es un mundo en constante evolución que requiere estar al día con nuevas amenazas y técnicas.
Me resulta, sin conocerlo directamente ni haberlo vivido intensamente, estresante y angustioso, solo apto para personas a las que les gusten las emociones fuertes, aunque sean detrás de una pantalla, personas que nadan fácilmente con una gran carga de responsabilidad encima y a las que les gusta estar todo el día en estado de alerta.
Eso sí, por eso mientras más aprendo, más respeto tengo por quienes hacen de esto su vida. Y aunque nunca me convertiré en un experto en ciberseguridad, al menos quiero ser lo suficientemente hábil para no sentir que vivo en una casa de cristal sin cortinas.
Y eso, creo yo, ya es un buen comienzo.