Una frase que hemos escuchado muchas veces y que se aplica en distintas instancias de la vida y de los negocios es: “La mejor defensa es el ataque”. Un ejemplo es el ajedrez. En ocasiones, un ajedrecista en una situación difícil opta por una estrategia de ataque, en un escenario confuso y difícil. Esa estrategia es arriesgada, pero puede ser una buena instancia en el caso en que la derrota es inminente.
Brillantes estrategas como Sun Tzu en “El Arte de la Guerra” describen diversas estrategias para enfrentar situaciones difíciles de batalla. Estas también muestran su aplicabilidad a otros entornos, en particular el de los negocios y las organizaciones.
La verdad es que es lamentable tener que ocupar a veces ejemplos de guerra, pero hoy en el ámbito de la ciberseguridad, vivimos un escenario bélico.
En Chile el tema de ciberseguridad finalmente entró en la agenda pública el año 2018, a partir de varios casos que podemos encontrar fácilmente revisando la prensa y siendo parte de la discusión diaria, no solo de los ámbitos de negocios o de tecnología, sino que también parte de la conversación de los ciudadanos y principalmente de los clientes.
Históricamente la ciberseguridad ha tenido un enfoque basado en privilegiar los mecanismos de defensa, es decir, identificar cuáles son los potenciales riesgos a los cuales está sometida una organización. El enfoque defensivo considera identificar la mayor cantidad de escenarios de riesgo, las potenciales amenazas y tomar diversas precauciones que permitan defender, mitigar o controlar los impactos por la ocurrencia de un evento inesperado.
Este enfoque es lo que comúnmente se denomina “ciberseguridad defensiva”, por sus mecanismos reactivos frente a un potencial ataque. La efectividad de esta estrategia, por su diseño, solamente podrá ser evaluada frente a la ocurrencia de un evento extraordinario, a fin de verificar el correcto procedimiento de los mecanismos de respuesta y recuperación, y el impacto que haya tenido sobre nuestro sistema. Sin embargo, desde la génesis de las primeras estrategias de ciberseguridad en los años 70, también se ha considerado un enfoque estratégico basado en el ataque, es decir, lo que se denomina “ciberseguridad ofensiva”.
Esta estrategia consiste básicamente en buscar proactivamente vulnerabilidades, situaciones de excepción o identificar potenciales brechas de seguridad, mediante un ataque sistemático y planificado. Esta aproximación no es constructiva, es eminentemente destructiva. El éxito de esta estrategia se determinará si se alcanza el objetivo específico de entrar, modificar o simplemente romper la continuidad operacional de una organización o sistema.
¿Cómo seleccionar un “equipo rojo”?
Los dos enfoques de aproximación a la ciberseguridad defensiva y ofensiva se ejecutan mediante equipos profesionales especializados. Los “equipos azules” (Blue Team) y los “equipos rojos” (Red Team) conviven en un modelo de colaboración antagónica. Lo que unos defienden, los otros lo tienen que destruir. Es un enfoque que emula el yin y el yang de la ciberseguridad.
El objetivo del Blue Team es generar la mayor cantidad de mecanismos de defensa, para poder prever múltiples escenarios de riesgo e implementar las acciones de protección y respuesta adecuadas. En contraposición, las tácticas y lo objetivos del Red Team son tratar de identificar cualquier vulnerabilidad, situación de excepción o debilidad que un sistema tenga.
Es importante destacar que las actividades, tanto del Blue Team como de un Read Team, no se restringen exclusivamente a los aspectos relacionados con la infraestructura tecnológica, el hardware y el software o los dispositivos. En particular, el Red Team utilizará todos los mecanismos posibles, ya sean tecnológicos, políticos, de presión, de coerción, y principalmente técnicas de ingeniería social, que permitan quebrar los mecanismos que tenga la organización, para fortalecer su estrategia de defensa. No solamente los pilares tecnológicos, sino que también de procesos y personas. El Red Team someterá a un profundo estrés al triángulo virtuoso de ciberseguridad: tecnología, procesos y personas.
Los Red Teams son un tema nuevo en Chile. Lo primero es que la selección de uno de estos requiere una evaluación cuidadosa por parte de los clientes o empresas. Hay preguntas fundamentales como: ¿el equipo que voy a seleccionar para el Red Team posee un marco de comportamiento y normas de ética claramente establecidas? Este tema no es menor, ya que el éxito de la estrategia del Red Team precisamente significa el quiebre de las medidas de protección de un mecanismo. Y si eventualmente la brecha de seguridad descubierta puede significar un beneficio de varios millones de dólares, es un tema de riesgo importante a considerar.
Un segundo aspecto a evaluar son las reales competencias técnicas, no solo tecnológicas, del Red Team. Su objetivo es lograr quebrar los modelos de defensa de la forma más amplia, utilizando múltiples herramientas, mecanismos y acciones. Por ello, un buen equipo Red Team considera una conformación multidisciplinaria.
Ambas estrategias simultáneamente
En los actuales escenarios, una estrategia de ciberseguridad adecuada, especialmente para organizaciones medianas y grandes, recomienda la implementación de ambos enfoques en forma simultánea. Es decir, una estrategia defensiva basada en el trabajo de un Blue Team y una estrategia ofensiva por parte del trabajo de un equipo de Red Team. Nuevas denominaciones hoy son equipos combinados que aplican simultáneamente ambas estrategias, los llamados Purple Team.
En cualquier escenario, los modelos son similares: aplicar la mayor cantidad de mecanismos de defensa para la organización y sus sistemas, a través de un modelo de seguridad defensiva. Asimismo, someter a pruebas dichas medidas, controles y mecanismos mediante una perspectiva ofensiva, basada en identificar la mayor cantidad de vulnerabilidades y formas que permitan atacar la continuidad operacional de una organización.
Muchas organizaciones basan su modelo de ciberseguridad exclusivamente sobre la base de mecanismos defensivos, pero el permanente avance de la cibercriminalidad y los múltiples riesgos que regularmente están apareciendo en el escenario mundial, obligan a generar un estrés operacional a las plataformas tecnológicas, que permita identificar de la mejor forma posible sus modelos de respuesta y la efectividad de los mecanismos implementados.
Finalmente, una última recomendación sería reiterar la importancia de evaluar en forma muy cautelosa la utilización de Red Teams, especialmente la selección de los miembros de su equipo, su forma de trabajo y los modelos de control. Una mala selección de un equipo de estos puede significar un daño mucho mayor a una organización que los potenciales beneficios de su utilización puedan traer.
La actual discusión en el parlamento de la ley de cibercrimen ha sido compleja en términos de identificar los bordes entre los aspectos de seguridad ofensiva y defensiva, y las protecciones necesarias tanto por los investigadores como por las organizaciones que quieran utilizar estas formas de aproximación estratégica a los temas de ciberseguridad.
