Soberanía de la confianza digital: ya no confíes en las personas… confía en los procesos. PARTE 2 de 3

En la PARTE 1 comentamos como los atacantes están perdiendo interés en las contraseñas como lo principal para hacer una fechoría, buscando reutilizar la confianza establecida de alguien más, dejando de preocuparse por el ¿quién eres” y pasar más bien a entender si una acción debe o no de permitirse.

En esencia, la estrategia tecnológica de seguridad ya no debe de pensarse únicamente para validar identidades y pasar a verificar de forma continua que cada acción que se realice para los temas de ciberseguridad sean legítimas.

El problema: la cultura

Las empresas siguen rigiéndose en estos temas por el simple hecho de que alguien sea “de confianza”. Así vemos que es común identificar esa confianza con la cantidad de años que lleva trabajando una persona o su posición en el organigrama o simplemente es la persona que siempre hace tal o cual tarea, como autorizar pagos, por ejemplo, o viene de manera directa desde un correo de la directora o el director, y, todo esto, ya no puede considerarse seguro.

Lo anterior se debe a que la confianza humana es muy manipulable.

La manipulación cada vez más sofisticada

Aspectos de presión, urgencia, cansancio, nivel organizacional, familiaridad o cotidianeidad, miedo o empatía son solo algunos de los ejemplos que cualquier ingeniero social puede usar para aprovecharse de los demás.

Es por eso por lo que la única oportunidad que se tiene para hacer segura una actividad es respetando los procesos establecidos para ello.

De esta forma, debemos de cambiar la forma de pensar de que validar a “alguien” debe de ser remplazada por confiar en el proceso que valida a “alguien”.

Así, por ejemplo, vemos como antes si de repente “urgía” un pago extraordinario, alguien de mucha jerarquía le mandaba un WhatsApp al tesorero y ¡listo! Se pagaba, todo para ver que alguien logró usar el teléfono de esa persona de mucha jerarquía.

Ahora el proceso debería de exigir diversos puntos como:

  • Hacer un proceso de doble aprobación (mancomunada)
  • Usar un segundo canal para validar la operación
  • Establecer un monto máximo, en un horario permitido
  • Ligar ese pago con una validación contextual

Y, todo esto, sin importar quien sea el que lo haya pedido.

Lo único que debe de importar es que el proceso lo permita.

¿Por qué procesos y no validación de identidades?

Las nuevas amenazas aprovechan los factores humanos, y, aunque la identidad sea correcta, como lo vimos en la PARTE 1, la sesión pudo haberse robado, o se pudo comprometer la parametrización del navegador, o se pudo abusar del OAuth (el protocolo de autorización que permite a una aplicación acceder a datos o recursos de otra plataforma en tu nombre, son necesidad de revelarle tu contraseña), o se usó un dispositivo sincronizado con el original o se usó alguna de las estrategias malvadas de la inteligencia artificial, como el Deep Fake.

Con estos puntos se reafirma que la identidad no es una determinación suficiente para asegurar la legitimidad.

Ahora la legitimidad debe de basarse además en temas tales como el contexto en el que se está solicitando algo, los horarios, desde qué lugar, desde qué dispositivo, por qué monto, a qué destinatario y con que frecuencia esto sucede, solo por dar un ejemplo de lo que se incorpora en un proceso y no solo en validar la identidad.

Mancomunación y/o distribución: Clave

Por igual, es importante ver que poner el peso de una acción en una sola persona no es lo ideal para hacer pagos o aprobaciones o modificar temas relacionados a proveedores o cambiar cuentas bancarias o poder borrar evidencias o bitácoras. Hacer todo esto debería de tener que involucrar a varias personas ya que la confianza absoluta en alguien puede crear puntos únicos de falla.

Y es que no es un tema de que la gente sea “mala”. Es que se puede presiona a una persona buena a hacer algo malo cuando se atenta contra su vida o la de sus seres queridos, por ejemplo.

Conclusión

Hasta hace poco, nos enfocamos en proteger las identidades para confiar en las personas.

Ahora debemos de proteger a los procesos para poder confiar en las decisiones que se toman.

Sin embargo, estamos a punto de enfrentar un desafío todavía mayor.

Muy pronto los atacantes dejarán de intentar engañarnos a nosotros para comenzar a engañar a nuestras inteligencias artificiales. En la tercera y última parte hablaremos de la soberanía de las decisiones y de por qué la próxima gran batalla de la ciberseguridad ya no será por controlar la información… sino aquello en lo que la IA decide confiar.


Deja un comentario