Read the rest of the post ' El riesgo de pedir demasiados datos personales en los Hoteles '
Ya en el pasado, queridos lectores, desde este mismo medio, hemos tocado cómo la ciberseguridad debe ser entendida con una aproximación de gestión de riesgos. Pues bien, hoy os quiero traer algunas anécdotas que me han sucedido recientemente y que pueden ayudar a ilustrar por qué mucha gente no entiende este enfoque de riesgo y las “aparentes incoherencias” asociadas.
Lo primero, recordemos que el enfoque de riesgo se basaba en dos parámetros fundamentales: la probabilidad y el impacto de una determinada amenaza. Esto es lo que determina la gravedad de un determinado riesgo. Pues bien, recientemente me han sucedido dos situaciones que me han ayudado a ver la importancia que tiene la información que conocemos y cómo la percibimos para valorar los riesgos.
La primera, es relativa a las etiquetas físicas que recibimos con cada paquete. Mi mujer, recientemente, me recriminaba, en sus propias palabras: “Tú mucha ciberseguridad en el mundo digital, pero no borras los datos ni la dirección ni nada de los paquetes que recibes antes de tirarlos al contenedor de papel y cartón”. Y tiene razón; es un riesgo el que alguien se pueda hacer con esos datos. Ahora bien, exploremos los vectores de este riesgo.
En cuanto a la probabilidad del hecho de que, de una etiqueta con mi dirección física se derive un ataque, es bastante reducida. No porque no haya gente rebuscando en la basura, que eso lo he visto, tristemente, muy a menudo, sino porque no soy ninguna persona reconocible por nombre y apellidos y a la que haya un especial interés en atacar. Sin embargo, el factor más diferencial, para mí, es que cualquiera realmente interesado o motivado en atacarme solo tiene, bien que mirar los nombres del buzón del edificio o bien seguirme de manera discreta para ver dónde vivo. Por tanto, no veo sentido a obsesionarme con proteger un vector de acceso a la información que pueden obtener sencillamente por otros medios. Prefiero centrarme en impedir que se pueda producir un ataque físico a mi domicilio, asumiendo que cualquiera puede saber la dirección.
Respecto al impacto, un ataque físico en tu domicilio tiene un impacto muy elevado, ya que puede llegar a suponer un riesgo para uno mismo y para la familia. Por eso, las medidas desplegadas para reducir ese impacto son:
- de carácter preventivo: sabiendo que cualquiera puede saber dónde vivo, hay que desconfiar cuando alguien llama a la puerta o al telefonillo, aunque sepa datos como el nombre y el apellido, y tener una cerradura y puerta robustas;
- o de carácter correctivo, esto es, actuar en caso de que se produzca, con alarmas u otros mecanismos.
La otra circunstancia que sucedió recientemente fue también relacionada con la familia. Mi cuñada, ante mi obsesión por que todos tengan los dispositivos actualizados, me comentaba que un amigo les recomendaba no actualizar sus iPhone en el primer mes para evitar posibles errores en las actualizaciones. Si bien parece un consejo con sentido, de nuevo, analicemos sus variables.
La probabilidad de sufrir un fallo por una actualización de iOS, aunque se ha dado, es realmente baja. Para eso existen los programas de pruebas de los sistemas operativos en versiones beta, para pulir los errores más críticos e intentar que las actualizaciones salgan sin fallos. Contra esta probabilidad, tenemos la probabilidad de que la actualización viene a corregir fallos de seguridad que ya están siendo explotados activamente (como pasó con iOS 16.1.2 o iOS 16.3.1). De modo que, comparando ambas probabilidades, una es más remota que la otra, ya que los ataques ya se están materializando.
Si analizamos el impacto, nos daremos cuenta de que, de nuevo, las dos circunstancias tienen impactos profundamente diferentes. El impacto de un error de actualización, en el peor de los casos, pongamos que nos fríe totalmente la batería (como ha sucedido en el pasado) y nos toca ir a una Apple Store a que nos cambien el teléfono (creo que es sobradamente conocido cómo es el servicio técnico de Apple y lo bien que funciona). Hemos perdido un día y no tener el teléfono operativo ese tiempo, pero recibimos uno a cambio, con la actualización bien aplicada. Ahora bien, si no actualizamos, como en el caso de la actualización de iOS 16.3.1, tenemos dos vulnerabilidades siendo explotadas que permiten el control total en remoto de nuestro teléfono, con todo lo que ello implica. De nuevo, un impacto que, al menos para este autor, supera lo razonable y se sale del nivel de riesgo que estoy dispuesto a asumir.
En definitiva, la información es clave para poder tomar decisiones complejas en la materia de ciberseguridad, pero, si nos esforzamos por tener información razonablemente completa, podremos entender las implicaciones de tomar (o no tomar) determinadas medidas, y estaremos tratando la ciberseguridad como se merece, desde una gestión de riesgos. No hay incoherencia en las actuaciones, sólo diferentes perspectivas del riesgo.
Espero que el artículo os haya servido para ilustrar esta cuestión con ejemplos y, como ya es habitual, ¡os veo a todos en el próximo artículo!