Ciberseguridad para los que nos sentimos en pañales: amenazas, riesgos y vulnerabilidades

Gracias por darme amor compartiendo en tu app favorita:

Estoy haciendo el curso de certificación en ciberseguridad de Google, y no, no planeo convertirme en el próximo «hacker ético» de renombre. Nada más lejos de mi intención.

¿Por qué lo hago? Porque quiero reforzar mis conocimientos y mantener en forma esa parte de mi cerebro que se dedica a la ciencia de los datos. Vamos, un poco como quien va al gimnasio, pero para su cabeza… y sin selfies.

Lo curioso es que, aunque sé manejar herramientas, olfatear tráfico de red, configurar proxys y ayudar a la gente a activar el 2FA sin perder la paciencia (casi siempre), me siento como un niño jugando a los médicos cuando me comparo con alguien que realmente se dedica a esto.

Los que están «del otro lado» —los buenos y los malos— me generan un santo respeto. Esa gente que se conoce los protocolos de memoria y es capaz de imaginar ataques o defensas que parecen sacados de una novela de ciencia ficción. Yo solo puedo aplaudir y tratar de aprender lo básico sin quemarme en el intento.

Así que estos artículos sobre ciberseguridad que estoy publicando son como mis cuadernos de notas. Y así deben ser entendidos. Quizás sirvan a otra persona a empezar e introducirse en este mundillo. Solo puedo desearle suerte. Mucha suerte. Y tranquimacines, muchos tranquimacines.


Gestión de riesgos: el arte de no meter la pata

Uno de los temas principales del curso es la gestión de riesgos. Y aquí va una traducción al idioma humano: las empresas tienen cosas que valen dinero o que, si desaparecen, pueden causar un desastre.

A estas cosas las llamamos activos (o assets si te vas a hacer un examen de certificación).

Pueden ser digitales, como bases de datos con información de clientes (ejem, sus números de cuenta o de tarjeta), o físicos, como servidores o, por qué no, un TPV.

¿Cómo se gestionan estos riesgos?

Hay varias estrategias, y algunas suenan tan lógicas como no salir de casa si sabes que está lloviendo (pero siempre hay quien se moja):

  • Aceptación: «Mira, ya lo sabemos, esto puede pasar, pero seguimos adelante». Un poco temerario, pero útil a veces.
  • Evasión: «Mejor no me meto ahí». A veces la ignorancia es felicidad… o supervivencia.
  • Transferencia: «¿Qué tal si alguien más se encarga de este problemita?».
  • Mitigación: «No puedo evitarlo, pero sí puedo reducir el daño».

Por supuesto, todo esto se basa en marcos teóricos con siglas imposibles como NIST RMF y HITRUST, que suenan más a naves espaciales que a guías de gestión.


Amenazas, riesgos y vulnerabilidades: la santa trinidad del caos

Aquí es donde empezamos a ver la dimensión del problema.

  • Amenazas (o threats cuando te examines del certificado):
    Piensa en el cuñado incómodo que siempre aparece sin invitación en las cenas familiares. Pues igual, pero en internet. Puede ser un empleado descontento (los famosos «insider threats») o un grupo de hackers muy persistentes que no te dejan en paz (los temidos APT, o Amenazas Persistentes en el Tiempo).
  • Riesgos (o risks):
    Básicamente, la probabilidad de que tu mala suerte se convierta en un desastre. Ejemplo: un sistema antiguo que ya nadie recuerda cómo actualizar o un proveedor externo con acceso a tus secretos más oscuros.
  • Vulnerabilidades:
    Aquí hablamos de las grietas en tu armadura. Cosas como el famoso Log4Shell o la pesadilla de los administradores: el parche que no aplicaron a tiempo. ¿El resultado? Gente malintencionada jugando a ser tú… y no en un cosplay amistoso.

Piensa en la vulnerabilidad como ese hueco por el que se cuela el ratón (la amenaza) y el riesgo como en la probabilidad de que el ratón se cuele y cause un daño en tu última cosecha (el recurso o activo).

Luego están tus decisiones.

Puedes decidir tapar el hueco con una malla (mitigación), poner un gato (transferencia del riesgo a un tercero) o simplemente aceptar que los ratones son inevitables y resignarte a perder una parte de tu cosecha (aceptación del riesgo).

¿Es esto para tanto?

Pues sí, porque los malos no descansan y porque las empresas tampoco pueden permitirse ser un meme en Twitter por una filtración. Por eso, la ciberseguridad no es solo instalar un antivirus y cruzar los dedos. Es un mundo en constante evolución que requiere estar al día con nuevas amenazas y técnicas.

Me resulta, sin conocerlo directamente ni haberlo vivido intensamente, estresante y angustioso, solo apto para personas a las que les gusten las emociones fuertes, aunque sean detrás de una pantalla, personas que nadan fácilmente con una gran carga de responsabilidad encima y a las que les gusta estar todo el día en estado de alerta.

Eso sí, por eso mientras más aprendo, más respeto tengo por quienes hacen de esto su vida. Y aunque nunca me convertiré en un experto en ciberseguridad, al menos quiero ser lo suficientemente hábil para no sentir que vivo en una casa de cristal sin cortinas.

Y eso, creo yo, ya es un buen comienzo.