¿Deberíamos pasar a la ofensiva?

By:
Hiscox España
Hiscox España

Queridos lectores, para cerrar este año, me gustaría plantear un debate interesante que llevo exponiendo desde hace tiempo y que vuelve a tomar fuerza a la luz de una noticia reciente del gobierno de Australia.

El debate es si debería estar permitido realizar ataques a los cibercriminales, sea como método de venganza o bien como medida preventiva, siguiendo ese lema que reza “la mejor defensa es un buen ataque”.

Primero, la noticia que ha vuelto a traer este debate han sido las declaraciones del ministro de ciberseguridad australiano, tras los ataques sufridos por dos compañías clave, Medibank (seguros) y por Optus (telecomunicaciones), que han provocado la exposición de datos de millones de ciudadanos.

En sus declaraciones, el ministro ha abierto la puerta a pasar a la ofensiva contra los cibercriminales con una fuerza de trabajo gubernamental, compuesta por 100 expertos en la materia, cuyo objetivo será “hackear” de manera proactiva a los grupos de cibercriminales. Pasamos de estar a la defensiva a llevar la guerra al terreno cibernético de los cibercriminales.

Dejando a un lado las cuestiones legales (que este autor no se siente preparado para abordar con el conocimiento que el tema requiere), sí considero que ésta es una buena noticia en el campo de la ciberseguridad, pues, como explicaba recientemente en una de las conferencias que impartía, si conseguimos que el coste de realizar ciberataques para los ciberciminales se incremente lo suficiente, ganaríamos esta guerra que libramos en el ciberespacio. Esto lo ilustraba con la siguiente gráfica, donde tomaba la ratio de crecimiento del malware en los últimos años (lo que podríamos usar como concepto de I+D que invierten los cibercriminales) y lo enfrentaba a la ratio de crecimiento de sus ingresos.

Datos cruzados: I+D: volumen de ataques de ESET. Beneficios: ingresos FBI Crime Report 2021

 

De esta forma, considero que una proporción 1:1 (el 2020 es el año más cercano a esta situación) es el punto de inflexión para los cibercriminales, pues es el punto donde, aportando un 1% más de esfuerzo en generar malware, recibo un 1% más de ingresos, luego se justifica el esfuerzo. Lógicamente, cualquier proporción mayor en cuanto a ingresos hará que el cibercrimen crezca (el I+D es rentable y, por lo tanto, seguimos ampliando el negocio), en tanto que proporciones mayores en el lado del esfuerzo, provocarían una ralentización de esta industria del crimen, pues debo aplicar un esfuerzo mayor al beneficio que me reporta.

El porqué de mi creencia creo que es sencillo: alguno de vosotros, lectores, ¿se haría narcotraficante por un salario de 2.500 € al mes? Quizá hay alguno que se lo plantea, pero, en general, los riesgos (como ir a la cárcel) superan con creces los beneficios que se está ofreciendo por realizar esas acciones ilegales. Lo mismo sucede si os propongo dejar un trabajo por embarcaros en un proyecto que os da unos ingresos un 10% superiores, pero donde tenéis que familiarizaros con nueva tecnología o metodologías. Seguramente la mayoría preferirá algo ya conocido, incluso renunciando a cierta ganancia, por esa comodidad.

Considero que esto mismo es aplicable con los cibercriminales: si conseguimos que el esfuerzo y el coste de sus actividades se dispare, ya no solo dificultando, como hemos venido haciendo, el acceso a los sistemas, sino, además, volviendo en su contra parte de la carga, los grupos de cibercriminales menos eficientes y los más adversos al riesgo cesarán sus operaciones (como ya ha sucedido en el pasado con grupos como Revil o Cl0p). Con menos grupos de cibercriminales (aunque nos quedemos con los más eficientes en sus operaciones), podemos concentrar mejor los recursos en éstos y provocarles daños aún mayores, lo que a su vez acaba iterativamente con otros grupos algo mejor preparados que los de la primera oleada. Este proceso, se repetiría de manera recurrente (seguramente hasta alcanzar un equilibrio, ya que no se podrá eliminar a todos) hasta mejorar significativamente el panorama actual de amenazas de ciberseguridad.

Quiero finalizar, por tanto, reivindicando la necesidad de mantener este debate de manera extensa, valorando todas las posibles ramificaciones, que las tiene (legales, económicas, reputacionales), y pidiendo que no lo desechemos, como hemos venido haciendo en el pasado más reciente. Imagino que no todos estaréis de acuerdo con esta reflexión, pero espero que, al menos, os anime a pensar y debatir al respecto. ¡Portaos bien estas navidades, sobre todo en el ciberespacio, ¡nos veremos el próximo año!