La compleja ciencia de la ciberdefensa

Tradicionalmente, la investigación sobre ciberseguridad se ha centrado en las soluciones técnicas para amenazas específicas, por ejemplo, cómo filtrar el spam o proteger los ordenadores y los dispositivos móviles contra el malware más reciente. Este enfoque ha mejorado considerablemente nuestra capacidad de defender los sistemas de información de los ataques. El uso generalizado de antivirus, las tecnologías de detección de intrusos, la mejora de la criptografía y los métodos para incluir en listas negras los sitios web infectados son solo algunos ejemplos de cómo los avances técnicos han mejorado la ciberdefensa.

Sin embargo, estas mejoras técnicas no serán suficientes. Los ciberproblemas actuales implican componentes sociales, económicos, organizativos y políticos sistémicos. La gente común tiene pocos incentivos para proteger los ordenadores de sus hogares con la tecnología disponible; la censura y la vigilancia de Internet están entrelazadas con cuestiones de libertad de expresión y privacidad; y la preocupación por el ciberespionaje chino es un tema diplomático de alta prioridad. El desajuste entre la velocidad de la luz de las comunicaciones electrónicas y el tiempo necesario para que las instituciones humanas respondan a los problemas de seguridad y privacidad de los datos es grande y va en aumento. Este tipo de problemas cibernéticos deben abordarse no solo con soluciones tecnológicas, sino también a nivel social, político y político.

Esta tarea es aún más difícil de lo que parece. La mayor parte de los cálculos actuales se realizan en Internet, uno de los artefactos humanos más complejos de la historia. Desarrollar las soluciones adecuadas requiere entender las redes compuestas por multitud de subredes heterogéneas gestionadas por organizaciones de todo el mundo, cada una con sus propias políticas e incentivos.

Podemos abordar este problema utilizando el creciente campo de la ciencia de la complejidad, que busca encontrar los principios y las matemáticas universales que subyacen y unifican una amplia variedad de sistemas complejos, incluidos Internet, los sistemas biológicos, las ecologías, los mercados y los sistemas económicos, los sistemas políticos y las sociedades. Estos sistemas se componen de muchos agentes independientes e interesados en sí mismos (células biológicas, empresas, países, ordenadores y personas), cada uno de los cuales adapta sus comportamientos en respuesta a su entorno y a otros actores del sistema. Los patrones y tendencias globales surgen de estas interacciones de bajo nivel que no se pueden predecir estudiando los componentes individuales de forma aislada.

Los elementos maliciosos están por todas partes en los sistemas complejos. Así como hay amenazas a la ciberseguridad en Internet, hay virus, parásitos y bacterias en la biología; acosadores en las redes sociales y países deshonestos en la comunidad internacional. Estudiar los principios generales que utilizan los sistemas complejos para gestionar este tipo de amenazas puede sugerir técnicas para abordar el problema de la ciberseguridad.

En particular, sistemas biológicos han evolucionado para hacer frente a una multitud de amenazas, como la proliferación de patógenos, la autoinmunidad, la escalada de la carrera armamentista, el engaño y la imitación. Una estrategia de diseño que ayuda a los sistemas biológicos a ser resistentes a estas amenazas es diversidad — diversidad genética en una especie, diversidad de especies en un ecosistema y diversidad molecular en el sistema inmunitario.

Todo lo contrario, la uniformidad en el diseño, nos permite lograr economías de escala, pero también nos hace vulnerables a los ataques generalizados y selectivos que explotan infraestructuras homogéneas. La ciberinfraestructura actual se parece a los monocultivos biológicos, y las recientes tendencias del mercado hacia la integración vertical (piense en Apple), el almacenamiento en la nube (Google) y la informática (Compute Cloud de Amazon) empeorarán la situación.

La diversidad es solo una de las muchas estrategias que los sistemas biológicos han adoptado para protegerse y seguir funcionando ante los ataques. Entender cómo los agentes maliciosos afectan al crecimiento y al funcionamiento de varios sistemas es tarea de Complexity Science, que puede sugerir estrategias para influir en ellos y mitigar los daños.

Muchos sistemas complejos se pueden ver como grupos de nodos abstractos unidos entre sí para formar una red. El estudio de estas redes, llamado ciencia de redes , ha identificado con éxito los puntos de inflexión en las epidemias de enfermedades y los fallos en cascada en las redes eléctricas. En el caso de Internet, la ciencia de las redes puede proporcionar directrices importantes para los responsables políticos, por ejemplo, al determinar que las intervenciones de seguridad de los 20 mayores proveedores de servicios de Internet (ISP) del mundo serán considerablemente más eficaces que confiar en las intervenciones de miles de ISP elegidos al azar.

Aunque la ciencia de redes nos permite entender las importantes propiedades comunes de los sistemas complejos, es demasiado abstracta para captar los factores únicos que influyen en la dinámica de sistemas específicos. Para ello nos basamos en otros enfoques, como modelado basado en agentes (ABM), que nos permite incorporar conocimientos específicos de un dominio en un modelo de ordenador. Con ABM podemos explorar las consecuencias de permitir que cada nodo abstracto de la red se adapte, aprenda y reaccione a las condiciones locales. El ABM se diferencia de los modelos tradicionales utilizados en la ciencia, como los modelos matemáticos de la ciencia del clima, que se basan en la física, donde los elementos primitivos no son adaptativos. ABM es ideal para modelar sistemas en los que el interés económico y la política se cruzan con la tecnología, como en Internet. De hecho, hemos demostrado que cuando se incluye a agentes interesados en sí mismos en un modelo de Internet, las políticas que parecen eficaces a corto plazo en realidad agravan el problema de la ciberseguridad a largo plazo. Este efecto es similar al uso excesivo de antibióticos que promueven la resistencia a los antibióticos en las bacterias.

Los modelos basados en agentes son especialmente útiles para estudiar sistemas complejos que muestran un comportamiento de «cola larga», donde hay una enorme variabilidad en los resultados. En estos sistemas, los experimentos del mundo real con tamaños de muestra limitados suelen ser engañosos y pueden desviar a los responsables políticos. Con el ABM podemos estudiar un gran número de escenarios simulados y ofrecer una idea más clara de qué políticas de ciberseguridad funcionarán mejor a largo plazo, incluso con resultados muy variables.

Cuando los agentes tienen intereses contrapuestos, Teoría de juegos es útil para entender sus interacciones estratégicas. La teoría de juegos es relevante para Internet, donde vemos una carrera armamentista continua entre atacantes y defensores, entre quienes intentan difundir información y quienes intentan censurarla, etc. La teoría de juegos puede ayudarnos a entender la mejor manera de proteger un sistema o, por el contrario, la mejor manera de evadir las defensas. Conceptos importantes, como el «precio de la anarquía», miden cómo se degrada la eficiencia de un sistema debido a un comportamiento egoísta (ciberataques) y cuánto podría ayudar la cooperación. La teoría de juegos también es útil para estudiar cómo puede evolucionar la cooperación entre las partes independientes, lo que puede guiar la elección de políticas que fomenten un comportamiento deseable. Los sistemas complejos rara vez eliminan las amenazas maliciosas de forma permanente. Más bien, desarrollan estrategias para gestionarlos y coexistir con ellos de manera que se minimicen los daños al sistema en general.

El mejor enfoque de ciberseguridad hará hincapié en las defensas que sean robustas ante las perturbaciones imprevistas, que evolucionen en respuesta a las condiciones cambiantes y que se autorreparen ante los daños. Utilizar la ciencia de la complejidad para entender las redes tecnológicas actuales y sus vínculos con el comportamiento humano, las normas sociales y los incentivos económicos puede ayudarnos a crear un mundo en línea más seguro y libre.

Datos bajo asedio
Un HBR Insight Center

• Por qué las empresas deberían compartir información sobre los ciberataques
• Por qué su CEO representa un riesgo para la seguridad
• Tenga cuidado con la privacidad de las operaciones para mayor comodidad
• Cuatro cosas que el sector privado debe exigir en materia de ciberseguridad