Derrote a los hackers con la biomimética

Desde ataques de denegación de servicio hasta caídas de servidores y interrupciones de un día en Google Drive, casi todas las organizaciones están familiarizadas con las amenazas a la seguridad de su información. Dado que la información digital ocupa un lugar más importante que nunca, es preocupante que la historia de la seguridad de los datos esté plagada de fracasos. Las organizaciones que buscan estar mejor preparadas y ser más resilientes en respuesta a las amenazas a la información tal vez quieran aprovechar una fuente de lecciones mucho más amplia y antigua sobre la seguridad de la información: la historia de la vida de 3 500 millones de años. Recurrir a la base de datos de seguridad de la biología, que fue desarrollada por millones de especies en respuesta a problemas de seguridad natural extremadamente complejos, nos da primero una llamada de atención y, luego, algunas directrices prácticas sobre cómo mantener nuestra información segura.

La llamada de atención se refiere a nuestras suposiciones sobre las fronteras, las barreras y los firewalls que construimos en un valiente intento de proteger nuestros datos. En la naturaleza, las barreras —entre las sustancias orgánicas e inorgánicas, entre la tierra y el mar, entre las especies, entre todo— se han construido, probado, superado, reconstruido y vuelto a superar con una repetición casi infinita. Las barreras —ya sean muros de celdas, muros fronterizos o cortafuegos— son, en el mejor de los casos, una imposición temporal a un invasor. De la misma manera que la vida unicelular estrictamente controlada eventualmente evolucionó hacia una vida multicelular más abierta y distribuida, la rápida evolución de las ciberamenazas ha superado la evolución de las barreras defensivas.

La lección es simplemente que las organizaciones modernas deberían trabajar bajo el supuesto básico de que casi todo lo electrónico es ahora de código abierto. Mis colegas de ciencias del clima lo aprendieron el por las malas cuando unos hackers con motivaciones políticas robaron y publicaron miles de correos electrónicos enviados a científicos. No solo se filtraron datos confidenciales y métodos de análisis preliminares, sino que las mezquinas disputas interpersonales y los francotiradores por la espalda que probablemente aparecen en todas las cadenas de correo electrónico se revelaron bajo una luz poco atractiva.

Entonces, ¿cómo operamos en un mundo de código abierto eficaz y sin barreras? Aquí la biología ofrece algunos consejos para levantarse de la silla ergonómica y hacer algo.

El mundo biológico también es de código abierto, en el sentido de que las amenazas están siempre presentes, en gran medida impredecibles y siempre cambian. Por eso, las medidas defensivas perfectamente diseñadas para una amenaza en particular lo dejan vulnerable a otras. Imagínese si nuestro sistema inmunitario se diseñara para combatir una sola cepa de la gripe. De hecho, nuestro sistema inmunitario funciona porque busca todo el espectro de invasores: infecciones virales de bajo nivel, parásitos bacterianos o cepas virulentas de una enfermedad pandémica. Con demasiada frecuencia, creamos medidas de seguridad, como las del Departamento de Seguridad Nacional BioWatch programa: que gastan demasiados recursos como para hacer frente específicamente a una gama muy limitada de amenazas en el espectro de riesgos.

Los defensores de enfoques de amplio espectro para las armas biológicas y químicas sostienen que los agentes convertidos en armas representan realmente una parte muy pequeña del riesgo y que es mejor desarrollar estrategias —como mejores sistemas de respuesta de salud pública— que puedan hacer frente a todo, desde las mutaciones naturales de los virus hasta los accidentes de laboratorio y los actos de terrorismo. Del mismo modo, es probable que la ciberdelincuencia represente una pequeña parte de su espectro de riesgos de seguridad digital.

Un enfoque de espectro completo favorece la salud generalizada por encima de las defensas especializadas y la redundancia por encima de la eficiencia. Los organismos de la naturaleza, a pesar de estar limitados por los recursos, han desarrollado múltiples capas de seguridad redundantes. El ADN tiene varias formas de codificar las mismas proteínas, por lo que los parásitos virales no pueden hackearlo fácilmente y generar disrupción en su estructura. Los sistemas múltiples de respaldo de datos son un método sencillo que utilizan las organizaciones más sensatas, pero puede ser más inteligente que eso. Por ejemplo, la redundancia natural a veces consiste en dejar ciertas partes inseguras para garantizar que las partes esenciales puedan sobrevivir a los ataques. Los lagartos arrojan fácilmente la cola a los depredadores para permitir que el resto del cuerpo (con la maquinaria reproductiva fundamental) escape. Puede que haya sistemas o información de sacrificio que pueda ofrecer como señuelo para un ciberdepredador, en cuyo caso un ataque se convierte en una ventaja, ya que permite a su organización ver la naturaleza del atacante y le da tiempo para añadir más seguridad en la parte crítica de su infraestructura de información.

Al final, solo somos vulnerables a las amenazas de la información digital porque dependemos mucho de la información digital. Nos hemos visto envueltos, por elección y no, en una escalada hacia una dependencia cada vez mayor de la tecnología. Sin embargo, a veces la tecnología que comienza como una adaptación se vuelve desadaptativa. Los retrovirus, como el VIH, utilizan la tecnología de nuestro sistema inmunitario en nuestra contra. La BBC hizo una recreación moderna del Libro Domesday en la década de 1980, guardándolo de forma inteligente en discos láser de alta tecnología (para la década de 1980), que ahora son menos accesibles que el libro original de 1086, que estaba escrito en pergamino.

Ante la continua escalada tecnológica, la mejor estrategia puede ser simplemente hacerse a un lado. Muchos organismos exitosos se han separado de las vías de escalada de su especie, por lo que el planeta ahora tiene aves no voladoras, abejas sin aguijones y serpientes de cascabel sin cascabel. Hay modelos en nuestro pasado de cómo trabajar sin la tecnología de la información. Reporteros de noticias, tras la reciente redada general del Departamento de Justicia en Registros telefónicos AP, están viendo Todos los hombres del presidente de nuevo y darse cuenta de que la mejor manera de hablar con una fuente no es por correo electrónico o mensaje de texto, sino en un sombrío aparcamiento. Recuerdo haber sacado una libreta para apuntar algunas ideas durante una reunión que tuve en el venerable Cosmos Club de Washington, DC. Mi anfitrión me reprendió rápida y discretamente y me informó de que no se toman notas en el Cosmos Club. Nadie diría que esta regla ha obstaculizado las numerosas expediciones apoyadas, los acuerdos creados y la confianza compartida en el Club 135 años de historia, pero ha preservado su integridad en una ciudad que siempre gotea. La decisión de Yahoo de poner fin al teletrabajo de los empleados se tomó por muchas razones (que varían según a quién se pregunte), pero una de las ventajas menos apreciadas es que aumenta la seguridad de la empresa al requerir menos conversaciones en línea sobre nuevas tecnologías y adquisiciones. Sin mencionar las pequeñas disputas entre los empleados; ahora presumiblemente se llevan a cabo a la antigua usanza, en voz baja en el enfriador de agua.

Hay organismos que evitan por completo los problemas de seguridad. Ciertos animales de aguas profundas están tan alejados de cualquier competencia que viven con bastante facilidad aislados. Lamentablemente, no evolucionan ni cambian, no transforman los recursos ni innovan; de hecho, no hacen gran cosa. Siempre que quiera que su organización crezca e innove, no puede rechazar la tecnología por completo ni puede aislarse de todas las amenazas. La mejor opción es hacer lo que hacen los organismos más exitosos de la Tierra: aceptar el riesgo y adaptarse a los cambios.

Datos bajo asedio
Un HBR Insight Center

• Bienvenido al Insight Center «Data Under Siege»
• ¿Su CEO realmente entiende la seguridad de los datos?
• Las empresas y los países que pierden sus datos
• Proteja las redes sociales de su empresa contra hackeos