Hace algunos meses, el periodista Kevin Townsend me pidió algunos comentarios sobre phishing para un artículo de investigación que estaba preparando. Me dijo:
El phishing se resume a dos preguntas básicas:
- ¿Podrá alguna vez la tecnología solucionar el problema? ¿Cuáles son los mejores enfoques?
- ¿Podrá alguna vez la concientización solucionar el problema? ¿Cómo?
Si la respuesta es "no" a las dos, ¿deberíamos concentrarnos en aceptar que [el phishing] va a tener éxito y enfocarnos en descubrir y mitigar los efectos de un engaño exitoso?
Pero la pregunta es esta: ¿son el phishing y otras manifestaciones del cibercrimen problemas puramente tecnológicos? Aunque así lo fuera, ¿podrían ser resueltos solo con tecnología?
Hasta cierto punto, la industria de la seguridad se basa en la idea de que siempre hay una respuesta tecnológica a un problema de tecnología (como, de hecho, ha convencido a muchos de sus clientes que esperen), pero "siempre" es mucho decir.
En general, cuando nos ocupamos a nivel tecnológico de un vector de ataque, los atacantes empiezan a trabajar para encontrar la forma de evadir nuestra solución. Es el juego del gato y el ratón que tanto hemos comentado.
Eso no significa que no deberíamos buscar soluciones técnicas; significa que generalmente no podremos encontrar una solución definitiva a estos problemas. A veces abandonamos un enfoque por completo, y muchas otras veces seguimos recalculando mientras cambia la naturaleza de las amenazas.
Puede que esté roto, ¿podrás arreglarlo?
Sobrevivir en un ecosistema de amenazas y protecciones contra esas amenazas requiere más que el empuje tecnológico. Esperar que la industria de la seguridad solucione todo es tan realista como esperar que la tecnología médica erradique la enfermedad o la tecnología forense erradique la delincuencia en el mundo físico. En el mundo en línea no existe una única solución de seguridad que vaya a proteger a todos.
Tal vez necesitamos una palabra mejor que "solución". Algo que suene menos como "esta es la victoria gloriosa que pondrá fin a la guerra" y más como "esto podría ganar esta batalla". Para citarme a mí mismo (en un artículo para Heimdal Security en el que contribuí):
La industria de la seguridad es bastante buena proporcionando una amplia gama de soluciones parciales a una amplia gama de ataques tecnológicos, pero la tecnología evoluciona continuamente a ambos lados de la división sombrero blanco/sombrero negro, por lo que -dejando de lado lo que afirma el marketing- nunca hay 100% de seguridad. Mucho menos originada en un solo producto. En la mayoría de los casos, las organizaciones y los individuos eligen qué medidas defensivas adoptan, y si se protegen o no.
Desafortunadamente, esas decisiones no siempre serán las que los expertos en seguridad consideran las mejores.
Tecnología versus personas
El phishing no es solo un problema técnico, y tampoco lo es el cibercrimen en general; hablaré de cibercrimen genérico más que de phishing en este artículo. A decir verdad, el cibercrimen, como su hermano anterior a la era digital, es primordialmente un problema social, o más bien un conjunto de problemas sociales interconectados.
- Comportamiento criminal (online u offline), y los factores económicos, educacionales y psicológicos detrás del mismo. Para citarme un poco más:
La sociedad puede realmente causar un comportamiento confuso cuando el individuo debe suscribirse a más de un código, y sin embargo los elementos de un código son incompatibles con los de otro, lo que conduce a un incómodo estado de disonancia cognitiva, que podría conducir a comportamiento irracional. En otros casos, quizás sea solo que en una era en la que las noticias falsas vestidas de sátira son la moneda común de las redes sociales, la evolución de la tecnología ha superado ampliamente la capacidad de la persona promedio para aplicar los preceptos comunes de la socialización cotidiana al mundo en línea.
- Comportamiento de la víctima y factores subyacentes similares. No me refiero solo a las víctimas que imprudentemente no toman las precauciones razonables, sino también a los bancos y otras instituciones que contribuyen al problema por no cumplir con un nivel suficiente de seguridad al comunicarse legítimamente con los clientes.Cada vez que un banco envía un correo electrónico dirigido a "Estimado cliente" o que incluye un enlace con múltiples redirecciones desde "haga clic aquí", hace más difícil para las posibles víctimas distinguir entre correos de phishing y correos legítimos. Si ni siquiera saben tu nombre, ¿cómo puedes estar seguro de que es realmente tu banco? Si no sabes a dónde dirige un enlace, o si se dirige a un sitio cuyo nombre no parece tener conexión con el banco, ¿cómo sabes si es seguro?
- Legislación y cuestiones de aplicación de la ley. Incluso allí donde hay una legislación apropiada, no hay voluntad y recursos para aplicarla de una manera adecuada.
Concientización, capacitación y educación
Esperar que la industria de la seguridad solucione todo es como esperar que la medicina erradique la enfermedad
Entonces, ¿pueden la educación y la capacitación resolver el problema? Probablemente nunca lo sepamos. Muchas veces a lo largo de los años he dicho algo como "no sabemos si educar a los usuarios funciona porque nadie lo ha hecho aún". Es una manera simplista y sencilla de decirlo, para ser honesto, aunque servirá como respuesta a la aseveración de que "si la educación del usuario fuera a funcionar, ya habría funcionado a estas alturas".
Se trabajado mucho para elevar el nivel de concientización en seguridad y protección personal a través de una cierta forma de educación, y me gusta pensar que hice mi aporte en ello, por ejemplo con este paper que escribí con Sebastián Bortnik en 2014: "Lemming Aid and Kool Aid: Helping the Community to help itself through Education".
Allí preguntábamos:
¿Cómo podemos alcanzar el equilibrio al enseñar buenas prácticas de informática en un panorama cada vez más complejo, con audiencias que tienen experiencia y conocimientos técnicos muy variados? ¿Pueden los enfoques de seguridad amigables para el usuario integrarse a un framework defensivo formal, incluso nacional?
E hicimos algunas sugerencias sobre cómo podría lograrse.
Educación, educación, educación
Desde que me volqué al campo de la seguridad, me veo más como un educador (por intención propia) que como un investigador. Me di cuenta hace mucho tiempo que hay hordas de gente que es mucho mejor que yo para desensamblar malware y escribir código para detectar actividad maliciosa. Considero un privilegio la posibilidad de trabajar con algunas de esas personas (no solo en ESET, sino en la industria de seguridad en general), y me honra que me soporten al punto de leer mis artículos y escuchar mis presentaciones.
Así que si bien no podía hacer mi trabajo si no tenía un conocimiento razonable de la tecnología maliciosa y las tecnologías que hemos desarrollado para enfrentarla, mi interés y habilidades no tienen tanto que ver con bits y bytes, sino más bien con los aspectos psicosociales de la criminología y la victimología.
Después de todo, mi historial académico está relacionado a las ciencias sociales y la ciencia informática, motivo por el cual a veces veo las cosas de manera distinta a mis compañeros con más talento técnico, y tengo más esperanza de que las personas que no son particularmente sabias en TI pueden, hasta cierto punto, ser entrenadas para ser menos vulnerables a ataques, especialmente a aquellos que explotan el aspecto psicológico y no el técnico.
Me temo que voy a citarme a mí mismo de nuevo:
Muy, muy a menudo... una amenaza depende menos de la efectividad de su tecnología que de cuán efectivamente manipula la psicología de la víctima.
La manipulación psicológica de la víctima es un componente central de lo que solemos llamar ingeniería social. La susceptibilidad a la ingeniería social a veces puede reducirse con medidas técnicas: el análisis textual de mensajes de email con el objetivo de detectar texto característico de ciertos tipos de comunicación con fines criminales, por ejemplo. Sin embargo, los educadores se inclinan a un enfoque complementario, a mayor plazo, que implica hacer a las personas más difíciles de manipular.
Reconocimiento de amenazas
Un paso para lograr esto es a través de un entrenamiento relativamente simplista en el reconocimiento de amenazas: por ejemplo, los "cuestionarios de phishing" que Andrew Lee y yo examinamos en 2007 en un artículo para Virus Bulletin (Phish Phodder: is User Education Helping or Hindering?). Pero el principio KISS para eliminar toda complejidad no siempre es suficiente.
Lo que funciona en diseño de ingeniería no siempre funciona en educación. Hay una tensión perpetua entre mantener la comunicación dentro de los límites del entendimiento de una audiencia, pero siendo lo suficientemente precisa y completa como para ir más allá. Es la Undécima Ley de Smog de Datos: "Cuidado con historias que disuelven toda complejidad".
Incluso un cuestionario mal diseñado aumenta la conciencia del problema, pero puede ser peor que inútil si refuerza las suposiciones equivocadas por parte del participante. Algunos cuestionamientos parecen promover un servicio: "La discriminación es demasiado difícil para tu pequeño cerebro; compra nuestro producto, o utiliza nuestro servicio gratuito de barra de herramientas/verificación de sitio/lo que sea".
Eso no está mal en sí mismo; un vendedor está en el negocio de vender productos o servicios. Si el producto o servicio en cuestión es gratuito, parece aún más grosero criticar, pero hay un problema en que este mensaje fomenta la dependencia, no la conciencia; peor, que la dependencia está en una solución técnica que probablemente confía en la detección de casos específicos de actividad maliciosa, en vez de una clase genérica de detección.
Claramente, hay otras limitaciones en la eficacia de un enfoque paternalista de "Dioses y hormigas". Al mostrar a las víctimas potenciales algunos ejemplos de amenazas, a veces pueden extrapolarlas cuando se enfrentan a ejemplos de la misma clase. Pero no lo suficiente.
Sin embargo, por muy deseable que sea en teoría proporcionar a todos las habilidades analíticas de un experto en seguridad, claramente no es una posibilidad realista en el lugar de trabajo, y mucho menos en casa.
No todos los consejos son buenos
La implementación de un esquema que tenga alguna chance de educar a todos los que lo necesitan requeriría recursos, acuerdos y coordinación que hacen que sea altamente improbable ver algo así sucediendo en nuestra vida, o la de nuestros hijos. Y no todos los consejos son buenos.
Hay muchísima información gratuita disponible, de muchas fuentes: los medios, fabricantes de la industria de la seguridad, agencias gubernamentales, agencias de refuerzo de la ley, e individuos más o menos altruistas que ofrecen consejos, análisis de productos y demás. Desafortunadamente, la calidad de estos recursos es variable, y apuntan al sector de la comunidad que quizá es el menos capaz de discriminar entre buenos y malos consejos. Especialmente consejos que compiten en algún punto con los de otras fuentes.
Gente parcheando
No creo que la educación pueda cambiar tanto a la naturaleza humana como para que X nunca quiera engañar a Y, aún cuando Y sea tan inocente como para caer en un engaño. Hasta que la educación alcance lo imposible, los scammers seguirán estafando y, en una era tecnológica, usarán tecnología para alcanzar sus objetivos maliciosos. Las leyes y las entidades encargadas de hacerlas cumplir solo tendrán éxito parcial, y las víctimas se comportarán de la manera que las hace convertirse en víctimas.
Sin embargo, la educación y la capacitación pueden ayudar a todos los que viven en el mundo digital a comportarse menos como víctimas.
A continuación reproduciré una parte de un paper que escribí junto a Randy Abrams, titulado "People Patching: Is User Education Of Any Use At All?":
La educación del usuario también es una parte esencial de la evolución sociológica. Las amenazas que vemos en Internet no son nuevas conceptualmente: solo una implementación tecnológica. Los ataques de ingeniería social han estado entre nosotros desde antes que Helena de Troya.
Sin embargo, la economía de escala en la ejecución de tales ataques fue tan relativamente pequeña que no se consideró necesaria una educación generalizada en reconocimiento de las técnicas utilizadas. La historia del caballo de Troya se ha enseñado durante siglos como historia y como metáfora, pero no se ha visto como una ilustración de uno de los riesgos integrales de la vida cotidiana.
Internet resultó en un crecimiento exponencial en el uso de ataques de ingeniería social, hasta el punto en que el conocimiento sobre cómo se ejecutan estos ataques es un requerimiento en la sociedad contemporánea.
Defensa y autodefensa
Si bien el uso adecuado de la tecnología defensiva en múltiples capas contribuye en gran medida a proteger a las personas sin requerir que sean expertos en seguridad, la tecnología se puede implementar más eficazmente para complementar la educación de quienes la usan, como comentamos hace tiempo Jeff Debrosse y yo en el paper "Malice Through the Looking Glass: Behaviour Analysis for the Next Decade".
Después de mucha investigación, ha quedado claro que llevar la teoría al siguiente nivel – determinar la acción más probable que un usuario tomará en una situación dada, permitiendo el refuerzo de decisiones "seguras" y la sanción (o al menos el control) de decisiones "inseguras" – puede hacer a un entorno informático mucho más seguro para el usuario final, porque su software de seguridad sería capaz de determinar con mayor precisión el resultado de sus acciones.
Estas medidas pueden ayudar a las instituciones a mejorar sus propios mensajes y trabajar continuamente para mejorar su propia seguridad y la de sus clientes.
Enséñales bien a tus hijos
Aquí hay un extracto de otro artículo ("Internet Safety for Kids: 17 Cyber Safety Experts Share Tips for Keeping Children Safe Online") al que he contribuido, después de que me preguntaran cuál era el consejo de seguridad en Internet más importante para padres. Como habrás entendido por el título, eso era lo que Erin Raub, que compiló ese artículo, buscaba de los distintos expertos.
Sin embargo, no hace falta una larga trayectoria en Facebook y otros sitios de redes sociales para darse cuenta de que muchos adultos nunca han sido educados en términos de pensamiento crítico y escepticismo saludable, y que también necesitan ayuda para "enseñarles a confiar en su propio juicio en lugar de basarse exclusivamente en soluciones técnicas y recursos de información "oficiales" en conflicto ... [y] dirigirlos hacia estrategias para desarrollar un análisis y un juicio acertados — lo que los educadores llaman pensamiento crítico. Pero es una tarea demasiado crítica para dejar a los educadores...".
Es importante que todo el mundo reconozca lo inseguro que es Internet, no solo como vector de ataques directos, sino también como fuente de información. Por lo tanto, no debemos abandonar la educación en materia de seguridad para adultos ni para niños, y debemos seguir utilizando y mejorando la tecnología para que sea más difícil utilizarla con fines maliciosos. Por supuesto, debemos reconocer que el phishing y otros elementos del cibercrimen seguirán encontrando víctimas, y haremos todo lo posible para minimizar el impacto antes y después del hecho.