El estado de riesgo del ciberespacio es muy heterogéneo. Ello se debe tanto a la existencia de distintos niveles de amenaza sobre los ciberespacios específicos nacionales como a que los sistemas y capacidades de ciberseguridad de los países no son homogéneos.
La diversidad de actores aparentemente anónimos y ubicuos capaces de realizar ciberataques –algunos de ellos baratos y simples– en cualquier punto del globo plantea situaciones asimétricas, donde actores con una capacidad de recursos materiales limitados pueden crear trastornos masivos y una destrucción física a través de ciberataques contra blancos militares y civiles.
Gobiernos, empresas y ciudadanos son víctimas de millones de ciberataques con distinto grado de sofisticación. En consecuencia, su impacto varía dependiendo del perfil de los atacantes y de los objetivos que estos persigan.
Motivación de los ciberataques (fuente http://hackmageddon.com/).
Realizando un análisis de los objetivos de los ciberataques de los últimos dos años, podemos observar una polarización importante, siendo los países de la esfera europea y Estados Unidos los principales objetivos.
Mapa de calor del estado de riesgo del ciberespacio (enero 2013-julio 2014).
La mayoría de estos ataques son consistentes en su taxonomía, con un elevado número de operaciones ofensivas cuyo origen y atribución se focaliza en países asiáticos y de Europa del Este. Precisamente, ambas regiones se han convertido en los dos polos de ciberataques mundiales. Ello se debe tanto a la ausencia de marcos regulatorios en dichas zonas que penalicen o castiguen estas acciones como al incremento de sus cibercapacidades, algo que en varias ocasiones sucede con un claro apoyo institucional por parte de sus gobiernos.
En términos prospectivos, países como Pakistán –seguido por Irán, Turquía o Singapur– ejemplifican a la perfección lo anteriormente expuesto. Y es que con un sector industrial tecnológico próspero, con la introducción de redes 4G nacionales, absoluta ausencia de legislación sobre los delitos informáticos, y con un cuerpo altamente desarrollado de hackers y ciberactivistas, es probable que este país se convierta en un punto futuro de origen para actividades ofensivas en el ciberespacio.
¿Cómo combatir los ciberataques?
La capacidad de defensa requiere conocer qué se está defendiendo, cuáles son los atacantes, cómo son sus métodos, cuáles son sus motivaciones y de qué capacidades disponen. En otras palabras, las llamadas 6 W: qué ha atacado, quién es el atacante, cómo lo ha atacado y desde dónde, por qué y cuándo se ha producido el ataque.
A continuación, un cuadro con los niveles de impacto de los ciberataques:
Habida cuenta de que la seguridad ha de entenderse en términos cualitativos y que es imposible alcanzar la seguridad plena, cobra sentido el término “postura de seguridad”, definido como la actitud de los sujetos pasivos ante las amenazas provenientes del ciberespacio. Mediante un profundo proceso de gestión del cambio cultural, se debe inculcar una postura de seguridad defensiva, que permita mediante aproximaciones proactivas, soportada en procesos de inteligencia, reaccionar de forma ágil ante las amenazas.
Así pues, es necesario desarrollar aproximaciones de situational awareness en el ciberespacio de forma que soporten los sistemas de ayuda a la toma de decisiones. Existen algunos métodos que habilitan a los decisores para evaluar las amenazas antes de activar las contramedidas y que han sido adaptados al nuevo entorno operativo, como el bucle OODA (observación > orientación > decisión > actuar) empleado originalmente en el combate aéreo; o la metodología Cyber Kill Chain (reconocimiento > militarización > distribución > explotación > instalación > mando y control > acciones sobre el objetivo) que, adaptada del sector militar, describe los pasos seguidos por un atacante contra un objetivo, desde su planificación hasta su ejecución. Esta metodología facilita la comprensión de los ciberataques y ayuda a alinear las capacidades defensivas, es decir, a identificar los controles y las acciones que se pueden implementar o mejorar para detectar, rechazar y contener un ataque.
Creciente complejidad y sofisticación
La frecuencia e impacto de los ataques cibernéticos son las variables con mayor índice de crecimiento. Ahora bien, el alcance, frecuencia y autoría de dichas ciberoperaciones sobre los gobiernos y el sector privado vienen marcados por la naturaleza de la víctima, dependiendo en gran medida del tamaño y la ubicación.
Las medidas convencionales se dibujan como insuficientes ante la complejidad y evidente sofisticación de los las amenazas en el ciberespacio, sometidos a una rápida evolución, y mostrando la evidente debilidad de las posturas defensiva de muchos Estados y empresas, ancladas sus políticas de ciberdefensa en un aproximación reactiva con pocas capacidades de inteligencia en el nuevo entorno.
Por Enrique Fojon Chamorro y Adolfo Hernandez Lorente, miembros de Thiber, the cybersecurity think tank.