“La seguridad no es un problema de herramientas, sino de cooperación”. Esa frase resume la visión sobre la ciberseguridad de Chris Inglis, el primer director de ciberseguridad que tuvo la Oficina del Director Nacional de Ciberseguridad (ONCD) de la Casa Blanca.

Una agencia que se creó en 2021 para coordinar las diferentes amenazas cibernéticas y mejorar la colaboración entre el sector público y privado. Antes, Inglis trabajó durante casi tres décadas en la Agencia de Seguridad Nacional de los Estados Unidos (NSA), ocupando cargos como subdirector y director de operaciones.

Con esta experiencia en su bagaje, Inglis subió al escenario de Proofpoint Protect, en Nashville, para alertar, sin muchos preámbulos, que “los atacantes primero buscan una grieta en la organización, después se aprovechan de los malos hábitos humanos y, finalmente, van a por la tecnología”.

Para, a continuación, aludir a una de las grandes protagonistas de los últimos tiempos: la inteligencia artificial, a la que describió como “la próxima ola, un auténtico tsunami que ya avanza tierra adentro”.

Aunque con algunos matices: “Es importante reconocer que los sistemas son más que simples dispositivos o algoritmos. Importan los roles, las responsabilidades y la forma en que nos organizamos”.

Gobiernos en jaque

En este sentido, reconoció que las organizaciones reciben el mismo número de intentos de ataque o más que antes, pero también que “hemos mejorado el tiempo de reacción para detectarlos antes y bloquearlos cuando empiezan a producirse”, y apuntó al ransomware como uno de los más persistentes.

El verdadero problema es, según palabras de Inglis, que estas amenazas todavía se perciben como algo que le pasa a otros. “Principios como el mínimo privilegio o la segmentación de accesos llevan ahí desde los años 70. La cuestión no es si existen o no, es que no se aplican bien”, lanzó a modo de reprimenda.

No es teoría vacía: el experto mencionó varios ejemplos en los que los gobiernos no supieron estar a la altura. Entre ellos, recordó los más de 200 ataques de denegación de servicio que lanzó Irán contra la infraestructura financiera de EEUU en 2012 y 2013, ante los que el gobierno “se limitó a emitir comunicados, pero no intervino”, lamentó.

También recordó el ataque informático de Corea del Norte a la japonesa Sony Pictures en 2014, uno de los mayores sufrido por una empresa en Estados Unidos. Paralizó los sistemas informáticos de la compañía y se filtró numerosa información confidencial, incluidos datos personales y correos electrónicos de altos ejecutivos de Hollywood.

Y citó el caso de Australia en 2022, cuando la aseguradora australiana Medibank vio comprometidos los datos sanitarios de casi 9,7 millones de personas. En este caso, la ASD (Australian Signals Directorate) optó por el modelo de “defensa adelantada”, que Inglis cree que debería extenderse.

Ocasión que aprovechó para lanzar un llamamiento: “Los gobiernos tienen la responsabilidad de actuar de forma proactiva. Deben usar sus poderes, limitados, pero únicos, como acciones legales, diplomacia, sanciones financieras... Si los ciudadanos corren algún riesgo, el gobierno debe dar la cara, advertir y, si es posible, interceptar a los adversarios”.

Ningún sistema es infalible

Junto a las cuestiones geopolíticas, el primer director de ciberseguridad de EEUU también trató otras más relacionadas con la organización. Ni un atisbo de duda asomó en sus palabras cuando insistió en que para avanzar en cuestiones de ciberseguridad sólo hacen falta dos cosas: colocar a las personas y a sus responsabilidades en el centro; y que innovación y eficiencia vayan de la mano.

“Ningún sistema es ni será infalible, pero podemos defenderlos si invertimos y trabajamos de manera coordinada”, reconoció.

Para hacerse entender, recurrió a una metáfora, citando al fundador de Black Hat y Defcon, Jeff Moss: “¿Por qué los coches de carreras tienen frenos? No para frenar, sino para correr más rápido”. En su opinión, la seguridad “no frena la innovación, sino que permite que funcione de forma sostenible. Si la planteamos como mera defensa, nos equivocamos, debe entenderse como un habilitador del negocio”.

Una visión que resumió en tres principios básicos que, a su parecer, ha de seguir cualquier programa de seguridad. “Invertir para que el sistema pueda cumplir las expectativas en condiciones previsibles; estar preparado para defenderlo, porque nunca dejará de ser vulnerable; y operar en colaboración, porque ninguna organización puede resistir sola a las actuales amenazas externas”.

En este punto, Inglis también llamó la atención sobre otro factor: los riesgos internos. “No sólo provienen de empleados descontentos, que pueden filtrar información o sabotear un sistema; el problema es más amplio y tiene que ver con el abuso de privilegios”.

Aunque, al mismo tiempo, rechazó que la solución sea restringir el acceso, “porque entonces matamos la innovación”, lo idóneo es construir sistemas que “equilibren permisos de forma razonable y aseguren una integridad de lo físico y lo digital”.

IA: arma de doble filo

La irrupción de la inteligencia artificial volvió a aparecer en su discurso, esta vez del lado de los atacantes. Inglis hizo referencia a phishing generado con IA, prompt injections o, incluso, ransomware. Aunque quiso rebajar la alerta: “Es evolución, no revolución… aún”.

Explicó que la IA, afortunadamente, es un arma de doble filo a la que pueden sacar beneficio los defensores, pero para eso “debemos usar nuestro talento colectivo antes de que lo hagan los adversarios”.

Esta insistencia en el trabajo colaborativo le viene heredada de una idea que le acompaña desde su paso por la Academia de la Fuerza Aérea de Estados Unidos: el ciclo OODA (observar, orientar, decidir, actuar). “En cualquier competición, quien completa más rápido ese ciclo, gana”, explicó.

Una filosofía que trasladó al mundo online, donde “esos ciclos están fragmentados: un actor observa, otro interpreta, otro decide, y los adversarios se aprovechan de esas fracturas. Si cerráramos las brechas más básicas, desaparecerían el 85% de los ataques”, sentenció.

No hay fronteras

El exdirectivo de ciberseguridad también habló de liderazgo y de cultura corporativa.“Cuando se detecta un error, un buen líder debe preguntarse: ¿Hubo buena intención? ¿La acción fue consciente o imprudente? ¿Se aprendió de ello? Si la respuesta es sí, debe apoyar, porque así es cómo se construyen empresas e instituciones capaces de adaptarse ante los imprevistos”.

Una reflexión que le llevó a describir cómo son las organizaciones realmente eficaces: “Todo el mundo sabe cuál es el objetivo, cada persona entiende qué aporta y, cuando cambian las condiciones, se adaptan con rapidez sin esperar instrucciones”, aseveró.

Para terminar, y lo hizo casi como empezó, lanzó una advertencia relacionada con el actual contexto internacional, donde “no hay fronteras entre amenazas públicas y privadas”, porque “los Estados y los ciberdelincuentes explotan las mismas debilidades”.

Por eso, “la única forma de responder es con alianzas que reconozcan que no estamos resolviendo problemas distintos, sino exactamente el mismo”