Scott Reutter
En el mundo tenemos dos tipos de compañías – aquellas que conocen que han padecido un ataque cibernético, y aquellas que no lo saben.[1]
Dado el tamaño microscópico de la evidencia estadística disponible [en ataques sofisticados a infraestructura crítica nacional (CNI, Critical National Infraestructure)], las expresiones probabilísticas del riesgo y seguridad no muestran sentido. Cualesquier probabilidad, aun y la más ligera, es de gran preocupación. En este contexto es más razonable establecer una medida de posibilidad.[2]
Las dos citas anteriores, con el apoyo de un estudio realizado por el Instituto Ponemon, demuestran la generalización de los ataques cibernéticos, al punto de que en esencia está garantizado que una organización eventualmente será el blanco de un ataque cibernético.
[3] De modo que un análisis de probabilidad sobre si se llevará a cabo un ataque traerá resultados poco útiles. Como fue mencionado anteriormente, un ataque efectivo sobre la CNI requiere un equipo altamente calificado de científicos de la computación con vastos recursos, lo cual implica que sólo un pequeño porcentaje de la población global tiene la capacidad de llevar a cabo tal ataque, que a su vez distorsiona cualquier evaluación de probabilidad relacionada con la guerra cibernética.
[4]
Además, la falta de información disponible relacionada con el origen de un ataque cibernético ocasiona que el análisis de probabilidad sea inútil. Primeramente, el número de ataques se compone de una amplia estimación, al punto de demostrar únicamente la inmensidad de la amenaza y no el volumen del ataque real.
[5] En segundo lugar, la determinación del origen de los ataques sofisticados (que se dirige a la identificación del tipo de ataque) requiere de análisis exhaustivos de informática forense, que usualmente llegan a un callejón sin salida dejando a los investigadores sin una indicación clara sobre quien perpetró el ataque.
Probabilidad vs. Posibilidad
La teoría de la probabilidad es útil y apropiada para varias clases de delitos informáticos – por ejemplo, esquemas de tarjeta, y el “spoofing” y “phishing” ya que estos ataques ocurren con regularidad contra las personas y las corporaciones, propiciando un marco analítico basado en las probabilidades para abordar adecuadamente estas amenazas. Sin embargo, otros fenómenos como una guerra cibernética ocurren con baja frecuencia y pueden ser ejecutados con una marginal advertencia en caso de estar preparados para ello. Los ataques cibernéticos requieren de un alto grado de entrenamiento, sofisticación y dedicación para ejecutar el ataque, así como una buena cantidad de recursos. Como resultado de ello, los autores y los actos de guerra cibernética se clasifican en el segmento de bajo porcentaje comparado con los ataques totales, y al ser eventos más avanzados que el promedio de los delincuentes y ataques cibernéticos, distorsionan cualquier análisis de probabilidad.
[6] Finalmente, como lo plantean Baskerville y Sainsbury, “los eventos aleatorios se modelan de una mejor manera a través de la teoría de la probabilidad, mientras los datos y cálculos tengan base en distribuciones aleatorias. Los ataques dirigidos no siguen una distribución aleatoria y usualmente son diseñados para ser nuevos o distintos con la finalidad de aumentar la probabilidad de éxito.”
[7] Los ataques cibernéticos sofisticados, como aquellos de una ciberguerra, están lejos de ser aleatorios y por lo tanto no pueden ser analizados adecuadamente mediante el análisis de probabilidad.
Teoría de la posibilidad
La teoría de la posibilidad nos permite modelar nuestros juicios y creencias inciertas sin la rigidez innatural con nuestras estimaciones. En esta situación la noción de la probabilidad aparenta ser menos flexible que la de la posibilidad.[8]
Este enfoque [basado en la posibilidad] se origina al reconocer que la seguridad de todos los recursos de información en la organización es únicamente una opinión [énfasis del autor] de los funcionarios responsables de la seguridad de la información. Una persona con aversión al riesgo en esta posición tenderá a exagerar los peligros e introducir mayor seguridad de la necesaria.
Como se mencionó anteriormente, la información relacionada con la guerra cibernética es insuficiente, inclusive para las agencias de gubernamentales. Un ataque frecuentemente se acredita a una sola fuente, pero en varias ocasiones la responsabilidad no puede ser probada. Ello ocasiona que el análisis de probabilidad sea inapropiado, ya que se fundamente en datos duros y claros; sin embargo el análisis de posibilidad no lo hace. “A partir de su base en la teoría de conjuntos difusos, la teoría de la posibilidad puede operar con información parcial sobre múltiples resultados e incorpora los factores de confianza para de esta manera adecuarse a un proceso de estructuras teóricas relacionadas con las secuencias de las condiciones que caracterizan la estructura lógica del paradigma anterior.”
[9] Por lo tanto, para analizar el riesgo en Estados Unidos de ser víctima de una guerra cibernética se debe de realizar a partir del modelo de análisis de posibilidad. Baskerville y Portougal ofrecen una mayor percepción:
Los ataques de intrusión altamente profesionales, persistentes y bien soportados, tendrán una alta posibilidad de éxito. Si actuamos en contra de la posibilidad de intrusión, nos encontraremos en un marco teórico mas adecuado para la protección de las complejas infraestructuras informáticas nacionales…[10]
La propuesta de Baskerville y Portougal de un marco teórico de la posibilidad para la evaluación de riesgos de infraestructura nacional crítica, aborda la baja probabilidad y alta posibilidad de riesgo de un ataque dirigido por agentes altamente capacitados con conocimiento detallado de sus objetivos y vastos recursos.
“Con la figura geométrica esencial de una función de posibilidad, cualquier medida de seguridad operando durante un intervalo de tiempo ilimitado producirá (tarde que temprano) una posibilidad de un compromiso que se acerca a una certidumbre absoluta. En otras palabras, si puede ser comprometido, será comprometido.”
[11] En la conferencia de Tecnología, Entretenimiento, Diseño (TED) 2011, Glenny aseveró que ello reduce la efectividad de un análisis de riesgos basado en la probabilidad de ocurrencia de un ataque cibernético, así como de un fenómeno cibernético.
[12] Por lo tanto, la pregunta no es sobre que tan probable es un ataque, pero sí que tan posibles.
Baskerville y Portougal ofrecen un análisis de posibilidad relacionado con un ataque a un sistema computacional. Su función normativa expresa a un ‘hacker’ sin recursos acotados. Su función exponencial expresa a un ‘hacker’ con recursos limitados, como uno de los diversos métodos para obtener una contraseña (programas espía, phishing, etc…). Este mismo modelo puede ser utilizado para el análisis de la posibilidad de un ataque cibernético. La función normativa expresará la posibilidad de un único ‘hacker’ con recursos promedio y penetrando el sistema causando una serie de daños. Se pueden utilizar múltiples funciones exponenciales para expresar las variantes en recursos (habilidades del ‘hacker’, resistencia al intento, tiempo destinado por el ‘hacker’, fondos, numero de ‘hackers’, etc.), permitiendo modelar varios fenómenos cibernéticos juntos contra un sistema específico. Tal modelo desplegará una función normativa potencialmente cercana a 0 (sin posibilidad de un ataque exitoso); sin embargo, a medida de que se agregan más recursos, la función exponencial tenderá a 1 (completa posibilidad de un ataque exitoso) con cada agregado.
Haciendo referencia al modelo de la posibilidad, mientras que la posibilidad de que un ‘hacker’ sin experiencia (la función normativa) logre penetrar la red clasificada del Departamento de la Defensa se mantendrá a la baja, la posibilidad de que agentes de Rusia o China (funciones exponenciales) – quienes cuentan con una vasta cantidad de los mencionados recursos a su disposición – crecerá cercano a 1 a una tasa acelerada, mas grande que cualquier otra función exponencial. Mientras que la
probabilidad de que uno de los millones de ataques cibernéticos tenga éxito en contra la milicia de un estado y/o la infraestructura crítica nacional es increíblemente baja, la
posibilidad de que uno de ellos sea exitoso crece proporcionalmente a los recursos de los actores del estado. Por lo tanto, el objetivo no debe de ser reducir la
probabilidad de éxito de un ataque; en su lugar, debe ser reducir la
posibilidad de un ataque exitoso.
Conclusión
Un pensamiento final sobre las teorías de la probabilidad y posibilidad:
La teoría de la probabilidad nos induce a creer que no se puede descartar totalmente una intrusión. Esta renuncia se basa en el pensamiento de probabilidad que es productivo para múltiples eventos repetitivos. Sin embargo, en el caso de protección de infraestructura nacional, se puede ocasionar un mayor daño por una sola intrusión o cualquier otro evento único. Tal esquema no es cubierto por la teoría de la probabilidad.[13]
La amenaza de una guerra cibernética no puede ser evaluada mediante el uso de un análisis de riesgos tradicional; requiere un modelo diferente como la teoría de la posibilidad. Los funcionarios de la seguridad cibernética están en desacuerdo sobre el riesgo que representa para los Estados Unidos; los académicos del área también tienen una perspectiva diferente en la materia. Al utilizar el esquema de posibilidades podemos determinar que a medida que las vulnerabilidades permanecen sin abordar con el transcurso del tiempo, la amenaza crece. Por lo tanto, para reducir la severidad de la amenaza se deben de abordar las vulnerabilidades cibernéticas de los Estados Unidos.
Scott Reutter es graduado del Centro para Asuntos Globales de New York University, donde el obtuvo su grado de Maestría en Ciencias con concentración en relaciones internacionales y seguridad de la transportación. Sus principales áreas de interés son contra-terrorismo, seguridad cibernética y el Medio Oriente. Previamente, él estudió gobierno y política en St. John’s Universtiy. En su tesis Reutter analizó la severidad de la amenaza que plantea una guerra cibernética para la seguridad de los Estados Unidos. Scott puede ser contactado en sdr310@nyu.edu.
[1] Glenny, M. (2011, September). Hire the hackers! Retrieved February 18, 2012, from TED: http://www.ted.com/talks/misha_glenny_hire_the_hackers.html?quote=1062.
[2] Baskerville, R. L., & Portougal, V. (2003). A Possibility Theory Framework for Security Evaluation in National Infrastructure Protection. Journal of Database Management, 1-13, p. 5.
[3] Ponemon Institute LLC. (2010). First Annual Cost of Cyber Crime Study: Benchmark Study of U.S. Companies. Traverse City, Michigan: Ponemon Institute LLC.
[4] Baskerville, R. L., & Portougal, V. (2003). A Possibility Theory Framework for Security Evaluation in National Infrastructure Protection. Journal of Database Management, 1-13, p. 4.
[5] Refer to Section C of this chapter for more on this issue.
[6] Baskerville, R. L., & Portougal, V. (2003). A Possibility Theory Framework for Security Evaluation in National Infrastructure Protection. Journal of Database Management, 1-13, pp. 4-5; Glenny, M. (2009, June 25). Cyber armies are gearing up in the cold war of the web. Retrieved February 24, 2012, from The Guardian: http://www.guardian.co.uk/commentisfree/2009/jun/25/cybercrime-nato-cold-war.
[7] Baskerville, R., & Sainsbury, R. (2006). Analyzing Risk of Improbable Events: Managing Business Continuity and Information Warfare. International Conference on i-Warfare and Security 2006 (pp. 13-22). Baltimore: Academic Conferences Limited, 2006, p. 20.
[8] Baskerville, R. L., & Portougal, V. (2003). A Possibility Theory Framework for Security Evaluation in National Infrastructure Protection. Journal of Database Management, 1-13, p. 6.
[9] Baskerville, R., & Sainsbury, R. (2006). Analyzing Risk of Improbable Events: Managing Business Continuity and Information Warfare. International Conference on i-Warfare and Security 2006 (pp. 13-22). Baltimore: Academic Conferences Limited, 2006, p. 19.
[10] Baskerville, R. L., & Portougal, V. (2003). A Possibility Theory Framework for Security Evaluation in National Infrastructure Protection. Journal of Database Management, 1-13, p. 3.
[11] Baskerville, R. L., & Portougal, V. (2003). A Possibility Theory Framework for Security Evaluation in National Infrastructure Protection. Journal of Database Management, 1-13, p. 7.
[12] Glenny, M. (2011, September). Hire the hackers! Retrieved February 18, 2012, from TED: http://www.ted.com/talks/misha_glenny_hire_the_hackers.html?quote=1062.
[13] Baskerville, R. L., & Portougal, V. (2003). A Possibility Theory Framework for Security Evaluation in National Infrastructure Protection. Journal of Database Management, 1-13, p. 3.