Menos Estrellas de la Muerte y más lonchas de queso en ciberseguridad

Un clic donde no se debe, una decisión de contraseña equivocada, un descuido en la configuración o parcheo del sistema… son actos que parecen llevar al desastre en ciberseguridad. Y esto es porque “una cadena es tan fuerte como el más débil de sus eslabones”. Se ha oído tantas veces, que suena a cliché.

Simbólicamente, significa que el éxito de un conjunto o equipo, estará limitado por su parte más débil y destaca la importancia de asegurar que todas las partes de un sistema sean robustas y confiables. En ciberseguridad, los supuestos eslabones débiles son los que el atacante aprovechará para hacerse con el sistema. Un solo fallo que desencadena un desastre por el que la empresa sufre un grave incidente. Al menos así se resumen muchos de los ataques que llegan a los medios. Pero todo es matizable.

Si bien esta reducción no es del todo falsa, ensombrece el hecho de que la buena ciberseguridad, por definición, no puede depender de un eslabón. Aceptar la maldición de este cliché, implica también resignarse a que, por muy buena ciberseguridad implantada, un solo problema puede llegar a destruir todo el trabajo. Como si los planes de ciberseguridad hubiesen sido diseñado por los arquitectos de la Estrella de la Muerte que, a pesar del abultado presupuesto, olvidaron un pequeño puerto de ventilación que conducía directamente al núcleo del reactor de la nave Imperial (dos veces, por cierto).

Y no es así. Cuando se analiza un ataque y se recolectan las lecciones aprendidas, no son pocas las veces que se acumulan una lista de fallos encadenados que se han producido para que este culmine con éxito. Casi nunca se trata de un solo elemento, sino de una serie de pequeños y grandes problemas que, en conjunto, han llevado al desastre.

Por supuesto que los ataques comienzan en algún punto. Es cierto que un atacante necesita un único primer fallo para entrar y el que defiende debe repartir su atención en muchos frentes. Pero no por ello podemos concluir que un ransomware detiene la operativa de una empresa por la acción y efecto de un solo descuido. Pensar que alguien pincha en un enlace a las 9 de la mañana y para medio día se le cifraron todos los ficheros en la nube y estaban negociando un rescate, es una aproximación simplista. Un desastre esconde siempre varios errores, problemas y fallos variados incluso en diferentes fases temporales. Conocerlos es vital.

Pensar en la ciberseguridad como un sistema de eslabones donde nos jugamos a una carta todo el partido, es reduccionista, irreal, poco práctico y paralizante. Si bien no se puede evitar el fallo en un eslabón, sí que se es posible mitigar el impacto de ese problema para que, por sí solo, no dé al traste con todo el sistema. Existen las sandbox, los segundos factores, las alertas automáticas, los SOCs (centros de operaciones de seguridad), los EDR (sistemas de detección y respuesta de endpoints) y toda una tecnología destinada a contener un ataque exitoso en su capa superior. Estos diseños están perfectamente estudiados y disfrutan de más éxitos que fracasos si se implantan bien. Diseñar en profundidad tiene más sentido que proteger linealmente.

Porque la ciberseguridad no es una cadena. Se explica mejor a través de la metáfora de las lonchas de queso, una forma popular de ilustrar el concepto de "seguridad en profundidad" en diversos campos relacionados con la gestión de riesgos en general.

Imagina varias lonchas de queso suizo apiladas una encima de la otra. El atacante quiere traspasarlas, pero solo puede conseguirlo a través de los huecos alineados de cada loncha. Los agujeros son las vulnerabilidades o fallos potenciales en cada capa de seguridad (las lonchas). Si una amenaza o un error logra penetrar un agujero (vulnerabilidad) en la primera capa de queso (medida de seguridad), las capas subsiguientes deberían bloquear el paso antes de que la amenaza alcance el otro lado y cause un daño real, gracias a que los agujeros estarán colocados en diferentes posiciones. Mientras más capas de queso haya y más dispersos estén los agujeros, menos probable será que una amenaza se abra paso a través de todos ellos.

Este modelo resalta la importancia de no depender de una sola medida de seguridad (de una sola cadena con eslabones), sino disponer de varias capas defensivas que compensen las debilidades o fallas de las otras. Juntas proporcionan una red de seguridad mucho más robusta y resiliente. Un buen diseño de ciberseguridad en profundidad permite cierta tolerancia a un fallo porque un sistema de contingencia posterior impedirá el avance del atacante.

Por supuesto el diseño por capas no garantiza la neutralización de un ataque, pero debemos comprender que tampoco estamos condenados a perderlo todo por un simple descuido. Aceptar esa derrota es pensar que la seguridad es una cadena con eslabones de cuestionable calidad y que emprendemos una carrera ya perdida de antemano. Y la buena ciberseguridad, desde hace mucho, no se diseña como la Estrella de la Muerte, sino como una gruesa pila de lonchas de queso.