Costa Rica – La inmadurez de nuestro esquema de ciberdefensa
Hernando Segura hernando@atticyber.com | Jueves 14 julio, 2022
Hemos aprendido a reconocer que las revoluciones en la historia son, en su momento, percibidas como crisis. La primera revolución industrial fue, hoy lo sabemos, un proceso de transformación económica, social y tecnológica que cambió los modelos productivos del mundo, y que, por primera vez en la historia, el nivel de vida de las masas y la gente común experimentó un crecimiento sostenido. Pero vivir en ese momento transformacional fue angustiante para los trabajadores, por la amenaza poderosa de la pérdida de puestos de trabajo que trajeron las máquinas de vapor o la maquinaria de fabricación industrial.
De la misma forma la segunda y la tercera revoluciones trajeron nuevas fuentes de energía, materiales de manufactura, sistemas de transporte, capacidades de comunicación, y nuevas tecnologías de información y comunicación. Estos cambios de paradigma generaron grandes ahorros en el trabajo, saltos poderosos en las capacidades de producción y enormes incrementos de productividad, pero para la mano de obra humana representaron grandes amenazas, en la forma de la menor importancia de la fuerza bruta en la ecuación productiva. Los países que seguían basando su competitividad en modelos poco sofisticados han resultado al día de hoy más pobres y menos globalmente competitivos. Es decir, cada revolución en la historia ha aumentado las capacidades productivas en la ecuación global, pero ha dejado en el rezago a los países que fallaron en adaptarse a ellas.
Nuestra cuarta revolución industrial, en la que la inteligencia artificial, la robótica, los nuevos mecanismos de intercambio de valor, la hiperconectividad y en general las tecnologías disruptivas aceleran nuevamente los modelos productivos, también representa un reto para los países y las sociedades que fallen en reconocer que esta transformación digital debe ser abordada, como siempre, con impulso innovador y fomentando el conocimiento.
Sobre todo, esta transformación digital que digitaliza los procesos que antes eran análogos, multiplicando las capacidades de interacción entre las organizaciones, agregando poder del lado de la demanda y potenciando el conocimiento y el aprovechamiento de los datos, también abre un portillo a los ataques cibernéticos, que aprovechan que el desarrollo de las tecnologías de comunicación nunca se basó en un esquema de protección de los datos por diseño. Internet fue creada para democratizar los accesos a la información, por lo que restringir el acceso a atacantes, sujetos malintencionados y software malicioso es un trabajo complejo. Simplemente la internet no fue diseñada de manera segura.
Costa Rica vive la peor crisis cibernética de su historia desde que en abril de este año el Ministerio de Hacienda observó como muchos de sus sistemas fueron capturados por una cepa agresiva de ransomware -software malicioso que pide rescate- proveniente de Rusia. Era evidente desde antes, y había sido diagnosticado, que los sistemas del Ministerio eran vulnerables, pero de nada valió la advertencia, el ataque fue exitoso. Los ataques subsiguientes a otras instituciones nos mostraron que, en general, los esfuerzos de protección cibernética del gobierno son insuficientes para protegernos de un ataque deliberado, y que la próxima vulneración dependerá del interés que generemos ante la multiplicidad de atacantes que existen allá afuera.
Los esquemas de detección temprana en Costa Rica, los mecanismos de contención de incidente, la coordinación institucional, y sobre todo la capacidad de engranar el conocimiento técnico en pro de nuestra defensa cibernética son claramente inmaduros. Es una herencia del pasado, si se quiere, porque nunca el tema de la ciberdefensa tuvo relevancia suficiente como para crear las estructuras, asignar los presupuestos, generar el conocimiento y aprovecharlo. Pero de igual forma que en las anteriores revoluciones, solo aquellos países y sociedades que respeten la magnitud del cambio y se transformen en consecuencia serán los considerados dentro de la lista superior en el inventario de las brechas digitales.
Nuestra era digital exige mecanismos de defensa que aún no llegan, y que lo harán cuando podamos generar innovación a partir del conocimiento. Este conocimiento parte de reconocer que los retos digitales evolucionan día con día, y por lo tanto las estructuras del pasado han dejado de funcionar. Hace algunos años uno de los principales ejecutivos de una corporación en la que laboré me dijo que el peor cáncer de las organizaciones es creer que con solamente mostrar acción se llega a los objetivos. Es lamentable observar como en muchas instituciones se aborda la tarea de la defensa cibernética mostrando actividad, es decir, instalando productos, haciendo reuniones, llenando formularios, o manteniendo instituciones de nombre, pero sin personal ni presupuesto. Los modelos modernos de ciberdefensa como el de Israel parten de la inminencia de un ataque para planear sus modelos de defensa. Por eso se llama ciberdefensa, porque Israel, desde hace muchos años, desde que amanece hasta que vuelve a amanecer se ven obligados a defenderse por tierra, aire, mar y ahora en el mundo digital. Y la inminencia del ataque requiere mucho más que la simple actividad vacía para acercarnos al modelo maduro de defensa.
Llegará, espero, ese momento en el que reconozcamos como país que el riesgo cibernético llegó para quedarse, y que el robo de información sensible o la paralización de todos nuestros servidores, bases de datos y sistemas están a un click de distancia. Ya nos ha pasado varias veces, y nos volverá a pasar. Y a partir de ese reconocimiento las instituciones podrán finalmente asumir que está en sus manos, y en la de los especialistas que incorporen para apoyarlas, el sobrepasar como país la línea de la pobreza digital en la que aún nos encontramos.