La evaluación de las amenazas

0

Mayo de 2012
Iván Obolensky

En septiembre de 2013 entrará en funcionamiento el centro de datos de la Agencia de Seguridad Nacional (National Security Agency o NSA) en Bluffdale, Utah. Desde esta multimillonaria instalación se podrá interceptar y controlar la inmensa cantidad de datos electrónicos que se transmiten desde cualquier parte del mundo. El centro almacenará, descifrará y analizará estos datos y, dado que se trata de la Agencia de Seguridad Nacional, resulta lógico suponer que realizará una evaluación permanente de las amenazas sobre la base de la información reunida.

¿Qué es exactamente la evaluación de las amenazas?

La evaluación de las amenazas es un documento que describe aquello que es valioso para un individuo o una organización y debe ser protegido. Cubre quién o cuáles son las amenazas, y dónde están las vulnerabilidades. Describe lo que sucedería si una amenaza se concreta y cuáles serían las consecuencias. Luego recomienda lo que puede hacerse para minimizar la exposición o la pérdida.

Estas evaluaciones hacen hoy parte de la cultura corporativa y las utilizan incluso las organizaciones pequeñas.

Para iniciar la evaluación de las amenazas, se define primero el alcance: quién la utilizará y cuál será su amplitud. Un ámbito reducido sería el caso de la vulnerabilidad individual o corporativa frente a un ataque de hackers, mientras que la evaluación de las amenazas nacionales podría cubrir cientos, si no miles, de posibles contingencias. A las amenazas, en términos de severidad y exposición, se les otorga por lo general un valor numérico que ofrece una idea de su importancia relativa. Luego se detallan las amenazas potenciales en cuanto a quién y de qué se trata.

Se trazan entonces las políticas y procedimientos para la defensa, y si el daño potencial es muy amplio y oneroso, se puede recomendar una ofensiva preventiva.

El resultado es un documento de amplio alcance que esboza las posibles amenazas, la exposición, las políticas y los procedimientos para luchar contra ellas, y que comprende recomendaciones para ser implementadas. La evaluación se convierte así en una herramienta para la gestión de los directivos, que se actualiza regularmente.1

Las prioridades de las amenazas pueden cambiar y ayudar a comprender mejor el pensamiento, tanto a nivel nacional como individual. Por ejemplo, en Estados Unidos, antes de 1995, se hizo énfasis fundamentalmente en las amenazas externas; pero con el atentado de Oklahoma City y los ataques con ántrax de 2001, los riesgos de las amenazas internas cobraron mayor relevancia.

Desde 2008 se viene percibiendo un aumento en la insatisfacción generada por las incertidumbres económicas, lo que ha llevado a que los gobiernos del mundo sean vulnerables a perturbaciones internas más amplias y más violentas. En consecuencia, los gobiernos de las naciones democráticas han ido implementado planes para monitorear no solo a sus enemigos externos sino también a sus propios ciudadanos.

Basta mirar el derrocamiento del Gobierno egipcio en 2011 para reconocer que la capacidad de reducir el uso de Internet y de los teléfonos celulares representa un preciado medio de control de la población en tiempos de disturbios civiles.

La legislación de Estados Unidos con respecto a los interruptores de Internet (kill switch en inglés)* y la detención por tiempo indefinido, sin juicio ni cargos, de ciudadanos sospechosos de participar en actos de terrorismo, así como una adición reciente a la Ley Highway de suspender los pasaportes incluso por una simple investigación sobre temas de impuestos, son hechos que están en aumento y que generan para los ciudadanos un escrutinio cada vez más severo.2

En Gran Bretaña es legendario el extraordinario número de cámaras de circuito cerrado instaladas en todas partes.

La evaluación de las amenazas varía en función de quien las haga. Si uno fuera un gobierno, las acciones anteriores podrían ser consideradas prudentes. En nuestro papel de ciudadanos, una evaluación de las amenazas propias resultaría diferente.

En cualquier caso, una evaluación realista y útil de las amenazas tendría que incluir la recolección y el procesamiento de información.

Para una organización grande, esto supondría la formación de bases de datos que le permitan identificar patrones de interés.

La dificultad que surge al acopiar cantidades masivas de datos es que alguien o algo eventualmente tendrá que procesarlos y sintetizarlos de modo que puedan ser utilizados por los planificadores y los directivos.

En el caso de la Agencia de Seguridad Nacional, o de cualquier agencia de inteligencia, la información no solo debe ser correcta, sino también oportuna y tener el énfasis adecuado, pero dicha información es costosa y su obtención no resulta fácil.

Uno puede entrenar a alguien para que actúe como el agente 007 y vaya a un área, consiga la información relevante, haga frente a la amenaza, y al mismo tiempo escriba un guión para una superproducción de Hollywood; pero capacitar y encontrar agentes excepcionales es difícil y costoso. Ellos también están sujetos a la fragilidad humana, como lo demuestran los numerosos casos de agentes traidores reportados a lo largo de los años.

Además, ante amenazas tanto externas como internas, la opción de menor costo y no menos efectiva consiste simplemente en supervisar todo el tráfico de las comunicaciones, tal como se hizo con éxito contra los japoneses y los alemanes durante la Segunda Guerra Mundial, y conocer así las intenciones y los planes de toda clase de enemigos.

Para ser eficaz en el monitoreo de la información es necesario poder leer el tráfico que se recibe y es aquí donde entran en juego las instalaciones en Bluffdale, Utah. Allí se contará con una versión más potente y más rápida del supercomputador XT4 de Cray, llamado Jaguar por su alta velocidad de procesamiento.

Descifrar los códigos ha sido siempre un complemento necesario para la supervisión de las comunicaciones. En la rivalidad entre la decodificación y el encriptado, la capacidad del sector privado para encriptar ha superado la capacidad de decodificar. Esto ha traído como resultado un gran volumen de tráfico registrado, pero ilegible, por lo menos hasta ahora. Pero con la potencia computacional que pronto estará disponible en Bluffdale, la información previamente encriptada se vuelve vulnerable al desbloqueo mediante computación de caracteres, en un ambiente de violación de contraseñas.

El almacenamiento de transmisiones, que incluso son actualmente indescifrables, sirve para dos propósitos. Mientras más datos primarios se encuentren disponibles, más probable será que puedan hallarse patrones y más rápidamente se desbloqueará el encriptado. En segundo lugar, una vez que la codificación se rompe, se cuenta con un registro histórico de largo plazo. Esto permite a la agencia ver subrepticiamente lo que se decía y se escribía mientras el transmisor consideró su comunicación ilegible. Esto le puede ofrecer al decodificador la capacidad de descubrir cómo ha actuado en el pasado una fuente y luego extrapolar su probable actuación en el futuro ante una amenaza potencial. También es posible utilizar posteriormente esta información en procesos penales, ya que establece vínculos entre las acciones planificadas y los eventos.

Para que esta forma de recolección de inteligencia revele su total importancia, su objetivo debe ser monitorear y almacenar todas las comunicaciones electrónicas posibles, desde los correos electrónicos hasta las transmisiones de voz, y desde datos numéricos hasta los tweets, a través de todas las frecuencias y a lo largo de todas las vías en cualquier momento y en cualquier lugar del mundo. Se trata de una gran cantidad de información. Para verlo con un poco de perspectiva, el volumen de tráfico telefónico en 2001 fue de alrededor de 500 millones de llamadas al día en todo el mundo y su crecimiento ha sido exponencial. Y esto es sólo el tráfico de telefonía celular. Para controlar toda la información electrónica y guardarla se requiere una instalación muy grande. Además, para procesarla y filtrarla de manera que se puedan detectar patrones y amenazas se requerirá otro tipo de cálculo. Esto se conoce como minería de datos.3

Un ejemplo de la minería de datos es un programa denominado NORA (Non-Obvious Relationship Awareness), que sirve para la detección de relaciones no obvias entre distintos datos. Jeff Jonas armó en la década de 2000 un programa de este tipo para los casinos de Las Vegas. Con él se filtran enormes cantidades de información personal que comprenden fechas de nacimiento, números de seguro social, registros de viajes y muchas otras bases de datos, con el fin de establecer conexiones ocultas entre individuos que aparentemente no tienen ninguna relación. El objetivo del programa era prevenir un crimen antes de que ocurriera. Con su empleo se podía rastrear a potenciales empleados tramposos antes de que fueran contratados por un casino.4

Un programa similar a nivel nacional denominado Conocimiento Total de la Información (Total Information Awareness o TIA), apareció en 2003. Su objetivo era identificar comportamientos terroristas entre las interacciones transaccionales de los ciudadanos comunes. Su aparición creó un revuelo entre los defensores de la privacidad y se derogó, por lo menos ante la opinión pública, poco después de haberse anunciado. Programas similares se encuentran vigentes. Según un informe de la Asociación de Propietarios de Armas de Estados Unidos (Gun Owners of America o GOA) publicado en 2004, cincuenta y dos agencias federales operaban 199 programas de minería de datos. Esto evidencia el hecho de que se han convertido en una herramienta muy útil en todos los niveles.5

La eficiencia de un programa de minería de datos es proporcional a la cantidad y calidad de los datos con que se alimente. Un avance reciente de la inteligencia (y quizás de los más grandes) en la acumulación y el procesamiento de información personal ha sido la creación y el uso generalizado de Facebook y Twitter. Con ellos se ha abierto la disponibilidad de un nuevo tipo de relación de datos. Cualquier programa de minería de datos similar al NORA de Bluffdale debería encontrar en una base de datos como esta una extraordinaria oportunidad.

Y justo cuando parecía que la forma más sencilla de salirse del escrutinio consistía en no utilizar ningún aparato electrónico, nos llega el reciente anuncio de la utilización sin restricciones de aviones no tripulados en zonas despobladas. Además, al dejar de utilizar de un momento a otro cualquier dispositivo electrónico, una vigilancia tan incluyente como la que se prevé podría destacar el hecho de que la información esperada no se esté generando, lo que dará lugar a un escrutinio más estrecho aún. Todavía no se sabe a ciencia cierta cuáles serán exactamente las consecuencias de estas decisiones políticas, pero la tendencia se está dando.

Un hecho particular sobre la evaluación de las amenazas es que se trata de herramientas que pueden y deben influir en la formulación de políticas, pero no ser toda la base para la definición de estas, ya sea en una organización pequeña o grande. Al enfatizar las amenazas los directivos tienden a verse atrapados por la naturaleza defensiva que es inherente a este tipo de análisis y a olvidar el propósito y la misión de la organización.

Esto se aplica a todos los que utilicen estas herramientas, ya sean los gobiernos o los ciudadanos.


* “Kill switch” es un mecanismo utilizado para desactivar o apagar una máquina, un dispositivo o un programa informático.


1 Bayne, J. (2002). An Overview of Threat and Risk Assessment. Consultado el 27 de abril de 2012, en SANS Institute InfoSec Reading Room: http://www.sans.org/reading_room/whitepapers/auditing/overview-threat-risk-assessment_76

2 Armstrong, M. (2012, abril 22). Who is Really Behind the Curtain? Consultado el 27 de abril de 2012, en Martin Armstrong.org: http://www.inflateordie.com/files/Behind%20the%20Curtain%2004-22-2012.pdf

3 Bamford, J. (2012, marzo 15). The NSA is Building the Country’s Biggest Spy Center (Watch What You Say). Consultado el 27 de abril de 2012, en http://www.wired.com/threatlevel/2012/03/ff_nsadatacenter/all/1

4 Young, R. (2007, mayo 15). What Happens in Vegas… Consultado el 27 de abril de 2012 en http://www.pbs.org/wgbh/pages/frontline/homefront/etc/producer.html

5 Ibid.


Si desea inscribirse en nuestro artículo mensual, por favor haga clic aquí.

¿Interesado en reproducir uno de nuestros artículos? Consulte nuestros requisitos de reproducción.

© 2012 Dynamic Doingness, Inc. Todos los derechos reservados. Ninguna parte de esta publicación puede ser reproducida sin el permiso escrito del autor.

Leave a Reply