La confianza es un lujo que no nos podemos permitir. Zero trust.
En un mundo cada vez más hiperpoblado, los ataques sufridos tanto por particulares como por compañías se han incrementado de manera vertiginosa. Es una simple norma estadística: aunque el porcentaje de “malhechores” en una determinada comunidad se mantenga —o incluso disminuya—, si el número total de integrantes de la comunidad continúa creciendo de manera paulatina, entonces el número de estos elementos subversivos aumentará también. Y durante el siglo pasado la humanidad ha experimentado el crecimiento de población más desenfrenado de toda su historia.
Sumemos además el hecho de que hace tan solo unos años los ataques debían hacerse disquete (o destornillador) en mano, mientras que ahora cualquier hacker, cracker o hijacker puede actuar directamente contra nosotros desde un lugar situado a cinco mil kilómetros de distancia y veremos cómo, de repente, nuestro entorno corporativo pasa a ser un dulce al alcance de, literalmente, todo el planeta.
Pero vayamos más allá. El nivel de conocimientos de estos atacantes se ha incrementado al mismo ritmo que la tecnología de la que hacen uso. No es para menos. Un ataque exitoso a una empresa, un wallet de criptomonedas o un servidor con información confidencial puede recompensar al grupo asaltante con millones de euros de premio. Un caramelo mucho más jugoso que el habitual trabajo de lunes a viernes en cualquier oficina, y es por ello que estos “piratas” se preparan con mayor ahínco que el más disciplinado de los opositores.
La recompensa es, sencillamente, demasiado buena para no dedicar hasta el último minuto en ser el mejor. Y siempre se desarrollan nuevas estrategias y herramientas para hacer el proceso más sencillo para los asaltantes, de tal manera que a menudo las empresas no pueden actualizarse de manera tan constante. Sobre todo, porque en gran parte de los casos las herramientas se desarrollan específicamente para una compañía en concreto.
¿Podemos ir incluso un paso más allá? Claro que sí. Si hemos hablado de los “piratas”, podemos también hablar de los “corsarios”. Cierto es que existen muchos grupos de asaltantes que se dedican a conseguir su botín sin mayor objetivo que el de ganar dinero. Pero no son los únicos grupos, ni los peores. Solo los más inocentes creen que los gobiernos de la mayor parte de países no tienen grupos especializados en ciberataques, y no únicamente para defenderse de los mismos. Mucha gente opina que la Tercera Guerra Mundial se librará esencialmente en Internet. Algunos otros opinan que ya se está librando.
Pero, dejando “conspiranoias” aparte, lo que es evidente es que la amenaza de estos ataques por especialistas contratados y formados por entes gubernamentales con mayor poder y dinero que cualquier compañía es un fantasma que planea de manera permanente sobre la cabeza de todos. En el gran juego de la geopolítica, todos nosotros somos piezas. En los primeros días de la guerra entre Rusia y Ucrania los correos corporativos de centenares de empresas se llenaron de mensajes conminando —o, directamente, obligando— a cambiar las contraseñas de acceso ante el temor de un ataque masivo destinado a minar la capacidad productiva de los países, estuvieran en guerra o no.
¿Y bastaría con esto? ¿Se podrían evitar estos ataques simplemente teniendo un sistema seguro de contraseñas y cambiándolas ante la primera noticia de un ataque?
La respuesta: no. Evidentemente, no. Es una primera medida, pero por completo insuficiente. Entre otras cosas, porque la mayor parte de los ataques van a ocurrir cuando menos lo esperemos. Y porque la fortaleza de las contraseñas de nuestros empleados es un único nodo entre una miríada de posibles destinos a atacar, y ni mucho menos el más importante. Hay que anticipar el ataque, y puesto que tarde o temprano se va a producir no hay que poner tanto énfasis en evitar el ataque como en contrarrestarlo cuando se produzca. Y para ello, la primera y principal norma será siempre: no confíes en nadie. Confianza cero. Zero Trust. Estas dos palabras son la piedra angular del nuevo paradigma de la seguridad informática a nivel mundial.
Y en el próximo post El qué y El cómo
