Es fácil caer en la trampa de pensar que nuestra empresa no es el blanco de los ciberdelincuentes, de un ataque a los sistemas de información, robo de datos confidenciales o de cualquier otro incidente de seguridad, especialmente si consideramos que “nunca ha pasado nada, por qué preocuparse ahora?”. Este es el paradigma bajo el cual manejan el riesgo muchas organizaciones. Es decir, en lugar de reconocer el riesgo y gestionarlo, deciden ignorarlo, ayudados por el confort de considerarse fuera del radar de aquellos que buscan hacer daño y/o aprovechar el creciente valor que tiene la información.

Sin embargo, esta práctica de jugar a la ruleta rusa con el riesgo de la información ha demostrado ser el talón de Aquiles para muchas organizaciones que probablemente se encontraban en una postura similar. Si analizamos los incidentes sufridos por TJX, Heartland, RBS Worldpay y otras instituciones que han sido víctimas de las brechas de datos más grandes de la historia, las cuales han ocasionado pérdidas multi-millonarias y han puesto a las mismas al borde de la quiebra, podemos especular que las mismas probablemente no preveían un ataque de este tipo, probablemente nunca fueron advertidas, no tenían experiencia previa con incidentes de esta magnitud ni se imaginaban que podían estar siendo atacadas o en la mira de los criminales. Los hechos indican, que tanto en el caso de TJX como de Heartland, los hackers habían comprometido los sistemas hacía meses, y se encontraban capturando datos silenciosamente.

Dónde estuvo la falla? La respuesta puede radicar en cualquier fase del ciclo de seguridad, pero lo que podemos inferir por los detalles revelados sobre estas brechas, es que probablemente no detectaron correctamente las amenazas, la actividad sospechosa en la red y las vulnerabilidades en sus sistemas. Tal vez subestimaron el riesgo, tal vez no tenían las herramientas, procesos o personas para basar sus análisis de riesgo en datos concretos. Quizás no sabían lo que estaba pasando en su red y consideraron que la falta de noticias eran buenas noticias. La falla pudo haber estado en la detección, capacidad de respuesta y/o prevención. Lo que sí sabemos es que el atacante encontró una debilidad y la aprovechó.

Otra vez, me parece que Schneier está en lo cierto. Él dice que en seguridad el atacante tiene la ventaja, ya que los que defienden tienen que proteger contra cada posible vulnerabilidad, mientras el atacante sólo tiene que encontrar una vulnerabilidad para comprometer el sistema completo.

Aún estas empresas nunca hayan sido atacadas, lo que es muy poco probable, la estrategia de depender de la suerte para permanecer desapercibido es una mala práctica de seguridad que raya en la negligencia. La próxima vez que nos veamos tentados a pensar que no nos puede pasar a nosotros, pensemos que en todos estos grandes casos probablemente los atacantes no necesitaron hacer inteligencia por varios meses, orquestar el ciberataque más sofisticado de toda la historia, y quizás no escogieron estos objetivos por considerarlos el “Santo Grial”. Probablemente todo lo que necesitaron fue un día, un hueco, y dejaron como resultado una enorme brecha.