La evaluación de las amenazas

0

 

Nota del autor
Abril de 2018

Apreciado lector:

Escribí este artículo en el 2012. En ese entonces me pareció un poco alarmante, pero estaba equivocado. Facebook y la recopilación de datos están hoy en todas las noticias. Sin embargo, las indicaciones de que el mundo avanzaba en esa dirección eran evidentes desde hace años. Actualmente, el poder se trata en realidad de conexiones y de poder discernir los vínculos y patrones entre individuos, organizaciones, corporaciones y cosas. La gente está obsesionada con el contenido que se reúne sobre su vida. La privacidad es un problema, pero al principio de la evolución de la vigilancia, el contenido era secundario y, a pesar de que pueda parecer lo contrario, la vigilancia es, fue y siempre será sobre las personas que uno conoce y la manera como estamos conectados. Como sucede a menudo, la indignación se dirige contra lo que no es. Es probable que se aprueben leyes sobre lo que se pueda recopilar y almacenar, pero los datos por sí mismos son secundarios a las conexiones. Este es un punto que vale la pena recordar.

Cordialmente,
Ivan

La evaluación de las amenazas
Mayo de 2012
Iván Obolensky

En septiembre de 2013 entrará en funcionamiento el centro de datos de la Agencia de Seguridad Nacional (National Security Agency o NSA) en Bluffdale, Utah. Desde esta multimillonaria instalación se podrá interceptar y controlar la inmensa cantidad de datos electrónicos que se transmiten desde cualquier parte del mundo. El centro almacenará, descifrará y analizará estos datos y, dado que se trata de la Agencia de Seguridad Nacional, resulta lógico suponer que con la información reunida realizará una evaluación permanente de las amenazas.

¿Qué es exactamente la evaluación de una amenaza?

La evaluación de una amenaza es un documento que describe aquello que es valioso para un individuo o una organización y debe ser protegido. Cubre quién o cuáles son las amenazas, y dónde están las vulnerabilidades. Describe lo que sucedería si una amenaza se concreta y cuáles serían las consecuencias. Luego recomienda lo que se puede hacer para minimizar la exposición o la pérdida.

Estas evaluaciones hacen hoy parte de la cultura corporativa y las utilizan incluso las organizaciones pequeñas.

Para iniciar la evaluación de una amenaza, se define primero el alcance: quién la utilizará y cuál será su amplitud. Un ámbito reducido sería el caso de la vulnerabilidad individual o colectiva frente a un ataque de hackers, mientras que la evaluación de una amenaza nacional podría cubrir cientos, si no miles, de posibles contingencias. A las amenazas, en términos de severidad y exposición, se les otorga por lo general un valor numérico que ofrece una idea de su importancia relativa. Luego se detallan las amenazas potenciales en cuanto a quién y de qué se trata.

Se trazan entonces las políticas y procedimientos para la defensa, y si el daño potencial es muy amplio y oneroso, se recomienda una ofensiva preventiva.

El resultado es un documento amplio que esboza las posibles amenazas, la exposición y las políticas y procedimientos para luchar contra ellas, y que comprende recomendaciones para ser implementadas. La evaluación representa así una herramienta para la gestión de los directivos y su actualización se hace con regularidad.1

Las prioridades de la amenaza pueden cambiar y ofrecer miradas profundas acerca del pensamiento sobre la seguridad, tanto a nivel nacional como individual. Por ejemplo, en los Estados Unidos, antes de 1995, se hizo énfasis fundamentalmente en las amenazas externas; pero con el atentado de Oklahoma City y los ataques con ántrax de 2001, los riesgos de las amenazas internas cobraron mayor relevancia.

Igualmente, desde 2008 se viene sintiendo un aumento en la insatisfacción generada por las incertidumbres económicas, lo que ha llevado a que los gobiernos del mundo sean vulnerables a perturbaciones internas más amplias y más violentas. En consecuencia, los gobiernos de las naciones democráticas han ido implementado planes para controlar no solo a sus enemigos externos sino también a sus propios ciudadanos.

Basta mirar el derrocamiento del Gobierno egipcio en 2011 para reconocer que la capacidad de reducir el uso de Internet y de los teléfonos celulares representa un preciado medio de control de la población en tiempos de disturbios civiles.

La legislación de Estados Unidos con respecto a los interruptores de Internet (kill switch en inglés)[*] y la detención por tiempo indefinido, sin juicio ni cargos, de ciudadanos sospechosos de participar en actos de terrorismo, así como una adición reciente a la Ley Highway de suspender los pasaportes incluso por una investigación sobre temas de impuestos, son hechos que vienen cobrando fuerza y que generan para los ciudadanos un escrutinio cada vez más severo.2

En Gran Bretaña es legendario el extraordinario número de cámaras de circuito cerrado instaladas en todas partes.

La evaluación de las amenazas varía en función de quien las haga. Si uno fuera un gobierno, las acciones anteriores podrían ser consideradas prudentes. En nuestro papel de ciudadanos, una evaluación de las amenazas propias resultaría diferente. En cualquier caso, una evaluación realista y útil de la amenaza tendría que incluir la recolección y el procesamiento de información. Para una organización grande, esto supondría la formación de bases de datos que le permitan identificar patrones de interés.

La dificultad con las cantidades masivas de datos es que alguien o algo eventualmente tendrá que procesarlos y sintetizarlos de modo que puedan ser utilizados por los planificadores y los directivos.

En el caso de la Agencia de Seguridad Nacional, o de cualquier agencia de inteligencia, la información no solo debe ser correcta, sino también oportuna y tener el énfasis adecuado; pero dicha información es costosa y su obtención no es fácil.

No se puede entrenar a alguien para que actúe como el agente 007 y vaya a un área, consiga la información relevante, haga frente a la amenaza, y al mismo tiempo escriba un guión para una superproducción de Hollywood; capacitar y encontrar agentes excepcionales es difícil y costoso. Ellos también están sujetos a la fragilidad humana, como lo demuestran los numerosos casos de agentes traidores reportados en los últimos años.

Además, ante amenazas tanto externas como internas, la opción de menor costo y no menos efectiva consiste simplemente en supervisar todo el tráfico de las comunicaciones, tal como se hizo con éxito contra los japoneses y los alemanes durante la Segunda Guerra Mundial, y conocer así las intenciones y los planes de toda clase de enemigos.

Para ser eficaz en el monitoreo de la información es necesario poder leer el tráfico que se recibe, y es aquí donde entran en juego las instalaciones en Bluffdale. Allí se contará con una versión más potente y más rápida del supercomputador XT4 de Cray, llamado Jaguar por su alta velocidad de procesamiento.

Descifrar los códigos ha sido siempre un complemento necesario para la supervisión de las comunicaciones. En la rivalidad entre la decodificación y el encriptado, la capacidad del sector privado para encriptar ha superado la capacidad de decodificar. Esto ha traído como resultado un gran volumen de tráfico registrado, pero ilegible, por lo menos hasta ahora. Pero con la potencia computacional que pronto estará disponible en Bluffdale, la información previamente encriptada se vuelve vulnerable al desbloqueo mediante ataques implacables.

El almacenamiento de transmisiones que son indescifrables, incluso en este momento, sirve para dos propósitos. Mientras más datos primarios se encuentren disponibles, más probable será que puedan hallarse patrones y más rápidamente se desbloqueará el encriptado. En segundo lugar, una vez que la codificación se rompe, se cuenta con un registro histórico de largo plazo. Esto permite a la agencia ver subrepticiamente lo que se decía y se escribía mientras el transmisor consideró su comunicación ilegible. Esto le puede ofrecer al decodificador la capacidad de descubrir cómo ha actuado en el pasado una fuente y luego extrapolar cómo es probable que actúe en el futuro una amenaza potencial. También es posible utilizar esta información para efectos penales en el futuro, ya que establece vínculos entre las acciones planificadas y los eventos.

Para que esta forma de recolección de inteligencia revele su total importancia, su objetivo debe ser que pueda monitorear y almacenar todas las comunicaciones electrónicas posibles, desde los correos electrónicos hasta las transmisiones de voz, y desde datos numéricos hasta los tweets, a través de todas las frecuencias y a lo largo de todas las vías en cualquier momento y en cualquier lugar del mundo. Se trata de una gran cantidad de información. Para apreciarlo con un poco de perspectiva, el volumen de tráfico telefónico en 2001 fue de alrededor de 500 millones de llamadas al día en todo el mundo y su crecimiento ha sido exponencial. Y esto es solo el tráfico de telefonía celular. Para controlar y guardar toda la información electrónica se requiere una instalación muy grande. Además, para procesarla y filtrarla de manera que se puedan detectar patrones y amenazas se requerirá otro tipo de cálculo. Esto se conoce como minería de datos.3

Un ejemplo de la minería de datos es un programa denominado NORA (Non-Obvious Relationship Awareness), para la detección de relaciones no obvias entre distintos datos. Jeff Jonas armó en la década de 2000 un programa de este tipo para los casinos de Las Vegas. Con él se filtran enormes cantidades de información personal que comprende fechas de nacimiento, números de seguro social, registros de viajes y muchas otras bases de datos, con el fin de establecer conexiones ocultas entre individuos que aparentemente no tienen ninguna relación. El objetivo del programa era prevenir un crimen antes de que ocurriera. Con su empleo se podía rastrear a potenciales empleados tramposos antes de que fueran contratados por un casino.4

Un programa similar a nivel nacional denominado Conocimiento Total de la Información (Total Information Awareness o TIA), apareció en 2003. Su objetivo era identificar comportamientos terroristas entre las interacciones transaccionales de los ciudadanos comunes. Su aparición creó un revuelo entre los defensores de la privacidad y se derogó, por lo menos ante la opinión pública, poco después de haberse anunciado. Programas similares se encuentran vigentes. Según un informe de GOA publicado en 2004, cincuenta y dos agencias federales operaban 199 programas de minería de datos. Esto evidencia el hecho de que se han convertido en una herramienta muy útil en todos los niveles.5

La eficiencia de un programa de minería de datos es proporcional a la cantidad y calidad de los datos con que se alimente. Avances recientes (y quizás los más grandes) en la acumulación y el procesamiento de información personal han sido la creación y el uso generalizado de Facebook y Twitter. Con ellos se ha abierto la disponibilidad de un nuevo tipo de relación de datos. Cualquier programa de minería de datos similar al NORA de Bluffdale debería encontrar en una base de datos como esta una extraordinaria oportunidad.

Y justo cuando parecía que la forma más sencilla de salirse del escrutinio consistía en no utilizar ningún aparato electrónico, el reciente anuncio de la utilización sin restricciones de aviones no tripulados en zonas despobladas hace desaparecer cualquier esperanza. Además, al dejar de utilizar cualquier dispositivo electrónico, una vigilancia tan incluyente como la que se prevé, podría destacar el hecho de que la información esperada no se esté generando, lo que dará lugar a un escrutinio más estrecho aún. Todavía no se sabe a ciencia cierta cuáles serán exactamente las consecuencias de estas decisiones políticas, pero la tendencia se está dando.

Un hecho particular sobre la evaluación de las amenazas es que se trata de herramientas, que pueden y deben influir en la formulación de políticas, pero no ser la base para la definición de estas, ya sea en una organización pequeña o grande. Al enfatizar las amenazas, los directivos tienden a verse atrapados por la naturaleza inherente a este tipo de análisis y a olvidar el propósito y la misión de la organización.

Esto se aplica a todos los que utilicen estas herramientas, ya sean los gobiernos o los ciudadanos.


  1. Bayne, J. (2002), An Overview of Threat and Risk Assessment, SANS Institute Infosec Reading Room. Consultado el 27 de abril de 2012 en: http://www.sans.org/reading_room/whitepapers/auditing/overview-threat-risk-assessment_76.
  2. Armstrong, M. (2012), Who is Really Behind the Curtain. Consultado el 27 de abril de 2012 en: http://www.inflateordie.com/files/Behind%20the%20Curtain%2004-22-2012.pdf.
  3. Bamford, J. (2012), The NSA Is Building the Country’s Biggest Spy Center (Watch What You Say), revista Wired Magazine. Consultado el 27 de abril de 2012 en: http://www.wired.com/threatlevel/2012/03/ff_nsadatacenter/all/1.
  4. Young, R. (2007), What Happens in Vegas…, Frontline. Consultado el 27 de abril de 2012 en: http://www.pbs.org/wgbh/pages/frontline/homefront/etc/producer.html.
  5. Ibid.

Si desea inscribirse en nuestro artículo mensual, por favor haga clic aquí.

¿Interesado en reproducir uno de nuestros artículos? Consulte nuestros requisitos de reproducción.

© 2012 Dynamic Doingness, Inc. Todos los derechos reservados. Ninguna parte de esta publicación puede ser reproducida sin el permiso escrito del autor.

[*]Kill switch” es un mecanismo utilizado para desactivar o apagar una máquina, un dispositivo o un programa informático.

Leave a Reply