Dilema del prisionero – Cómo los ciberataques no divulgados nos ponen en peligro a todos
Según el Wall Street Journal, se estima que el 90 por ciento de los incidentes cibernéticos en las empresas públicas no fueron divulgados en las declaraciones reglamentarias en 2018. Eso significa que los titulares que leemos sobre los ciberataques hoy en día son solo la punta del iceberg. De hecho, la práctica de las empresas de guardar silencio sobre este tipo de incidentes tiene una larga historia. En 2012, por ejemplo, una revisión de los archivos de la SEC descubrió que el número de incidentes notificados no aumentó ese año a pesar de que la SEC le pidió a las empresas que lo notificaran el año anterior. La verdad es que nadie sabe el número real de ataques que no se divulgan cada semana, y nos está costando caro.
Las empresas actúan en su propio beneficio
Hay muchas razones por las que las empresas no informan de incidentes como los ataques de ransomware y otros problemas similares que no se ajustan a la normativa estándar. Hacerlo puede provocar un daño a la reputación de la marca de una empresa que puede mermar los ingresos y el precio de las acciones. Muchas PYMES se dejan llevar por el mito de que pagar el ransomware resolverá sus problemas o que este tipo de ataques no afecta a organizaciones de su tamaño. Creen que el pago de un rescate permitirá acelerar los tiempos de recuperación o reducir los costes de reparación. Por desgracia, estas ideas resultan a menudo engañosas.
Nadie puede culpar a una empresa por querer ocultar la vergüenza y el apuro problemático en que puede encontrarse una organización durante un ciberataque. Sin embargo, aunque pueda parecer que el silencio es lo mejor para los ejecutivos de la compañía, en realidad las empresas se están perjudicando más a largo plazo. Esta ironía se demuestra claramente a través del «dilema del prisionero», un tipo de teoría de juegos que se utiliza habitualmente para ilustrar el equilibrio adecuado entre cooperación y competencia.
¿Qué es el dilema del prisionero?
El dilema del prisionero ejemplifica la paradoja de que dos o más partes que trabajan en su propio interés pueden no producir un resultado óptimo para sí mismos al final. Se centra en la premisa de que dos delincuentes que trabajaron juntos para cometer un delito están ahora separados en régimen de aislamiento. Las autoridades carecen de pruebas contundentes para acusarles del delito en cuestión, por lo que su caso depende de que uno de los ladrones delate al otro para que declare. Cada uno de los condenados puede elegir entre permanecer leal a su cómplice y guardar silencio durante el interrogatorio o traicionar a su compañero de fechorías y testificar en su contra. Su decisión tendrá uno de los siguientes resultados:
- En caso de que ambos cooperen como equipo, ambos serán acusados de un delito menor que conlleva una condena de 1 año de prisión. Ambos cumplirán colectivamente entonces 2 años. Esto representa la situación ideal.
- En caso de que uno de ellos traicione al otro y testifique en su contra, esa persona quedará en libertad mientras que el acusado deberá cumplir una condena de 5 años de prisión.
- En caso de que ambos decidan declarar contra el otro, cada uno cumplirá 2 años de cárcel por su parte en el delito, lo que supone una condena colectiva de 4 años para ambos.
Como se puede ver, ambos se benefician al máximo si trabajan de forma cooperativa entre sí. Pero, como es bien sabido, hay poco honor entre ladrones y ninguno de ellos puede resistir la tentación de trabajar únicamente por su propio interés, lo que al final resulta más perjudicial para ambas partes. Hoy en día se pueden encontrar fácilmente ejemplos de esta paradoja en la vida real. Por ejemplo, dos partidos políticos deben elegir a menudo entre trabajar de forma cooperativa entre sí por el bien del país o actuar únicamente en beneficio de las próximas elecciones del partido.
El dilema también se presenta para las víctimas del ransomware. ¿Decide una empresa actuar por su propio interés y mantener un ciberataque en secreto para que nadie lo descubra, o sigue el camino correcto e informa del incidente para que la comunidad en general pueda beneficiarse de su franca colaboración?
Ciberseguridad y el dilema del prisionero
Como la mayoría de las personas que han sido víctimas del robo de su coche o de algún tipo de delito contra la propiedad, la mayoría de los crímenes nunca se resuelven. Según datos del FBI de 2017, más del 70% de los robos y el 86% de los delitos de hurto nunca se resolvieron o aclararon. Una de las principales razones es que un incidente de un solo crimen es más difícil de resolver. Un único incidente de asesinato sólo se resuelve en el 60% de las ocasiones. Sin embargo, a medida que los delincuentes cometen un número cada vez mayor de delitos, empiezan a establecer pautas, y son esas pautas las que permiten a las fuerzas del orden recomponer el rompecabezas y llevar a los delincuentes ante la justicia.
Del mismo modo, es extremadamente difícil encontrar a los autores de un solo ciberataque. Debido a la naturaleza omnipresente de los ciberataques hoy en día, las organizaciones policiales a gran escala han intensificado sus esfuerzos y han aumentado el nivel de recursos destinados a resolver los delitos digitales. Cuantos más datos puedan recopilar de los múltiples incidentes denunciados, mayores serán las posibilidades de determinar y localizar a los atacantes para ponerlos entre rejas. Apartar a estas bandas de ransomware para que no puedan continuar con sus actividades maliciosas se presenta como la situación ideal, ya que el 80% de las víctimas de ransomware declaran haber sido atacadas de nuevo. La cooperación es la clave para acabar con la delincuencia.
Es necesaria una mayor visibilidad
La idea de que no se puede defender lo que no se ve es una estrategia de ciberseguridad fundamental. La visibilidad en todo tu parque informático es esencial para eliminar los puntos ciegos y las exposiciones vulnerables de tu red. Sin embargo, también es importante no dejarse cegar por un ataque. Es muy difícil de protegerse ante los «ataques de día cero» porque no se sabe mucho de ellos. De hecho, seguirán siendo «ataques de día cero» hasta que alguien dé un paso adelante e informe de la existencia de la vulnerabilidad en cuestión.
Si los vecinos son conscientes de los robos que se producen en su localidad, sabrán que deben estar más atentos a la creciente probabilidad de que se produzca un delito. Del mismo modo, si las organizaciones están más dispuestas a informar de los ataques de manera oportuna, otras entidades dentro de esa industria o las que son susceptibles en cuanto a los mismos fallos pueden aumentar su vigilancia en la protección contra este tipo de amenazas. El ransomware es una lucha global y las empresas deben reconocer que la franqueza y la cooperación ayudan a beneficiar a todos, incluidos ellos mismos.
Conclusión
Afortunadamente, la tendencia puede estar cambiando hacia una mayor transparencia cooperativa. Algunas compañías de ciberseguros exigen ahora que se informe de un incidente de ransomware para mantener la cobertura del incidente. Además, un número cada vez mayor de organismos reguladores están ampliando la definición de incidente cibernético más allá de la tradicional violación de datos. Los encargados de proteger la infraestructura digital de las organizaciones hoy en día deben poder contar con una advertencia mucho mejor que un titular en las noticias. Todos debemos adoptar un enfoque más proactivo de la inteligencia sobre amenazas para protegernos a nosotros mismos y a nuestra comunidad. Cuando se trata de ciberseguridad, la cooperación es para tu beneficio.