
Durante treinta años, la parte más difícil de un ataque cibernético sofisticado fue el trabajo humano detrás de él. Encontrar la vulnerabilidad. Escribir el exploit. Encadenar el acceso. Mantenerse en silencio el tiempo necesario para que importe.
Ese esfuerzo requería equipos, tiempo y pericia. Es la razón por la que las operaciones de Estados-nación se veían diferentes de las criminales, y por qué la mayoría de las organizaciones podía planificar para cubrir la brecha entre ambas.
Esa brecha se está cerrando.
Entramos en lo que yo llamo la era Mythos, en la que las máquinas pueden hacer en minutos lo que solían requerir meses de operadores humanos cualificados. Las defensas de ciberseguridad mejoran, pero la capa donde se toman las decisiones finales, la humana, es ahora la más fácil de explotar.
La ventaja que protegía a la mayoría de las organizaciones, la mayor parte del tiempo, se está llevando consigo. La precisión a escala ya no es una contradicción. Es una característica.
La Human Stack: qué es y por qué importa
La mayor parte de la conversación sobre este cambio se ha centrado en lo que estos sistemas hacen frente a las vulnerabilidades. Esa conversación es precisa, pero incompleta. El problema más difícil es lo que los ataques a velocidad de máquina hacen a los sistemas por los que esas vulnerabilidades en última instancia pasan: sistemas que dependen de decisiones humanas.
Esa es una capa que la mayoría de los programas de seguridad no posee explícitamente. La llamo la Human Stack, el punto donde cada sistema finalmente se reduce a una persona que decide si una transferencia bancaria pasa, si un correo es confiable o si una voz en una llamada es real. Hemos pasado una generación endureciendo todo lo que está por encima de ella, y casi nada en la propia capa.
Durante la mayor parte de la historia de la ciberseguridad, esa era una apuesta tolerable. Los atacantes tenían que elegir entre ir a lo ancho y ser crudos, o ir a lo estrecho y ser precisos. La Human Stack se mantenía porque la precisión no se escalaba, y la escala no lograba la precisión.
Esa trade-off se ha ido.
Qué se parece la próxima ola de ataques
La próxima ola no llegará como malware. Llegará como evidencia. Un correo de voz que suena exactamente como la persona a la que dice pertenecer. Una videollamada con un rostro que has conocido durante diez años. Un hilo de correo que retoma una conversación que realmente tuviste, en el compás que realmente usas, haciendo referencia a un proyecto que existe realmente. Los indicadores técnicos serán limpios, y los indicadores sociales serán perfectos. Lo único que estará mal es la conclusión a la que conduce la persona engañada.
El año pasado pasé tiempo con el equipo detrás de Midnight in the War Room, un documental que se estrenará el 5 de agosto en Black Hat USA. Reúne a más de 50 expertos, desde CISOs globales y estrategas militares hasta hackers reformados y víctimas de conflictos cibernéticos. Las conversaciones trataban algo que ha estado sucediendo durante mucho tiempo y que está a punto de acelerarse: la industrialización de la ingeniería social y la armación progresiva de la superficie de ataque conductual.
Esa superficie no se detiene en tu perímetro. Se extiende a través de cada proveedor, proveedor de servicios gestionados y administrador de servicios en la nube de tu negocio. Que tus operaciones se caigan puede no tener nada que ver con tus propias personas, y todo que ver con alguien tres proveedores por debajo tomando una decisión bajo presión sintética.
Qué significa esto para las empresas
Para las empresas, esto no es teórico. El riesgo financiero es directo. Ya estamos viendo transferencias fraudulentas, cadenas de aprobación manipuladas y responsables de finanzas imitados con tanta convicción que los pagos se procesan antes de que nadie note.
La interrupción operativa puede venir sin malware en tus sistemas. La superficie conductual no se detiene en tu perímetro. Se extiende a través de cada proveedor, proveedor de servicios gestionados, firma de abogados, auditor y administrador de nube de tu negocio.
Una tercera parte comprometida, manipulada a través de una campaña de ingeniería social perfectamente construida, puede dejar tus operaciones fuera de servicio sin dejar una huella en tu red. La mayoría de las organizaciones examinan su postura de seguridad interna con mayor rigor que los entornos de toma de decisiones humanas de las terceras partes en las que confían, dejando esa exposición mayormente no gestionada.
Reguladores y aseguradoras están pidiendo preguntas más difíciles sobre esa exposición, y la mayoría de las organizaciones aún no tiene respuestas buenas.
El cambio de la prevención a la resiliencia
Existe un segundo cambio para el que las juntas directivas deben empezar a prepararse, y es mayor que cualquier control o tecnología individual. Abandonamos la era en la que el éxito de la seguridad se mide por ataques evitados. Entramos en una en la que la medida realista es cuán rápido se recupera una organización cuando la creencia falla.
La prevención sigue importando, y las inversiones que las organizaciones han hecho en ello han sido las correctas. Pero en un mundo donde los ataques a veces tendrán éxito porque son indistinguibles de la actividad legítima, la prevención por sí sola ya no es una estrategia coherente. La resiliencia es.
Lo que la resiliencia significa en la capa humana es diferente de lo que significa en la capa técnica. La resiliencia técnica se trata de sistemas que fallan de forma elegante y se recuperan rápidamente. La resiliencia humana se trata de entornos de toma de decisiones que pueden absorber un engaño exitoso, reconocerlo y contenerlo antes de que se agrande. La mayoría de las organizaciones ha invertido en lo primero. Muy pocas han invertido en lo segundo. Esa es la brecha que la próxima década juzgará.
Qué deben hacer los líderes
La pila de seguridad sigue siendo necesaria, pero esta era muestra que incluso los mejores sistemas entregan sus decisiones más difíciles a las personas, y no hemos invertido en esa capa con la misma rigurosidad. Aquí hay un punto de partida:
Medir la recuperación, no solo la prevención
Cuando la creencia falla, ¿qué tan rápido puede tu organización detectarlo, contenerlo y volver a funcionar? Eso debe diseñarse en tu modelo operativo ahora, no resolverlo después de un incidente.
Diseñar para la toma de decisiones bajo engaño
Entrenar a las personas para detectar phishing no es suficiente cuando el correo de phishing es indistinguible de uno real. Construye procesos institucionales que no dependan de una única persona tomando la llamada correcta bajo presión.
Trata a las personas como infraestructura operativa
El juicio humano es un sistema crítico. Necesita redundancia y protocolos de fallo, al igual que cualquier otro.
Extiende tu cultura de seguridad a tu ecosistema de proveedores
La superficie conductual recorre toda tu cadena de suministro. Tu programa de riesgo de terceros debe contemplar la capa humana, no solo la técnica.
La ventana se está cerrando
Midnight in the War Room hará visible esto de una manera que un artículo de opinión no puede.
La era Mythos no creó este problema. Lo reveló. El costo de explotar la toma de decisiones humanas con precisión era lo bastante alto como para mantener a la mayoría de atacantes fuera. Esa barrera se está derrumbando ahora.
Lo que viene no se anunciará. Llegará con la apariencia de alguien en quien confías, pidiendo algo que parece razonable, justo hasta que dejan de parecerlo.
La pregunta dejó de ser si tus sistemas pueden soportar un ataque. Ahora es si tus personas están preparadas para tomar decisiones en un mundo en el que la evidencia misma ya no se puede confiar, y si tu organización está construida para recuperarse cuando esas decisiones salen mal.
Hemos revisado y clasificado los mejores antivirus en la nube.
Este artículo fue producido como parte de TechRadar Pro Perspectives, nuestro canal para presentar a las mentes más brillantes de la industria tecnológica hoy.
Las opiniones expresadas aquí son del autor y no necesariamente las de TechRadarPro o Future plc. Si te interesa contribuir, descubre más aquí: https://www.techradar.com/pro/perspectives-how-to-submit
from Latest from TechRadar https://ift.tt/I0THReW
via IFTTT IA