Opinión

El ochenta-veinte de la Ciberseguridad

En el siglo XIX el ingeniero italiano Vilfredo Pareto observó que el 80% de la riqueza pertenecía a un 20% de la población. De ahí nació una distribución probabilística (distribución de Pareto o ley del 80-20) que ha servido para explicar matemáticamente fenómenos en diversos ámbitos. En calidad, se afirma que si se analizan las causas de los errores se llegara a que un 20% de las causas están detrás del 80% de ellos. Esto implica que si logramos identificar y atacar este 20% solucionaremos la mayoría de los problemas. Puede parecer arbitrario, pero en el pasado analicé datos de defectos de software y más o menos se cumplía la regla. Un número relativamente bajo de factores causaba la mayoría de los problemas. ¿Se puede decir lo mismo respecto a la ciberseguridad y las vulnerabilidades? Sin un estudio cuantitativo serio al respecto no puedo afirmarlo con certeza. Pero me inclinaría a decir que sí.

Carolina.jpg

El 2017 hice una investigación sobre casos de ciber-ataques a IoT y sistemas industriales y confirmé que ciertas vulnerabilidades se repetían frecuentemente. Independiente del mecanismo de ataque y del tipo de sistema. Esto no es novedad. El OWASP top 10 promueve esa idea y cada año intenta establecer cuáles son las vulnerabilidades más comúnmente explotadas. Algunas son básicas como las relacionadas con la autenticación. Por ejemplo, no exigir el cambio de credenciales por defecto, permitir contraseñas débiles, no limitar el número de intentos de acceso fallidos o almacenar contraseñas en texto plano. Si, incluso existen aún organizaciones que almacenan contraseñas en planillas Excel.

La ciberseguridad es un tema complejo y hay problemas que no se resolverán de la noche a la mañana. Además, por cada desafío que se resuelva, aparecerán nuevos. Sin embargo, se esperaría que las organizaciones tomen medidas para mantener los riesgos bajo control. Caer en errores básicos significa estar expuestos a una mayor cantidad de amenazas. Mientras más brechas existen es mayor la proporción de potenciales atacantes que tendrá las capacidades y motivación de romper los sistemas. Dado esto, no es aceptable la persistencia de errores básicos. Las vulnerabilidades conocidas tienen también soluciones conocidas. Un robo de datos por inyección SQL o que un Ransomware te pille sin respaldos son cosas que no deberían pasar. Técnicamente el robo es culpa del ladrón, pero tampoco por eso vamos a irnos de vacaciones y dejar todas las ventanas de la casa abiertas.

Como ya dije, no tengo datos duros para asegurar que el 20% de las medidas de higiene cibernético resuelva el 80% de los problemas. Pero la autenticación y manejo de sesiones seguras, la separación de privilegios, segmentación y configuración segura de redes y mantener respaldos, software y antivirus actualizados puede reducir significativamente los chances de éxito de un ataque. No solamente hay que invertir más en ciberseguridad, también hay que saber invertir mejor. No quiero dejar de hacer hincapié en que una estrategia de ciberseguridad efectiva debe considerar varias líneas de defensa (defensa en profundidad) y mantenerse bajo un régimen de mejora continua. Sin embargo, hay que empezar por algún lado. Los criminales buscan maximizar su beneficio con un mínimo esfuerzo. Lo que sugiero empezar por poner los recursos en identificar y aplicar aquellas medidas que sean más costo-efectivas en dificultarles la tarea.

contacto@cibertime.com
CiberTime - Todos los derechos reservados.