Proactivo es mas que preventivo.
Imagen creada con IA.
En la era digital, la seguridad informática ha dejado de ser un nicho técnico para convertirse en una preocupación fundamental para entidades, gobiernos y personas por igual. Durante años, la percepción general se centró en la reacción fortificada que partía de construir muros en forma de cortafuegos, antivirus y software de detección de intrusos. Sin embargo, este enfoque, aunque necesario, era insuficiente.
El panorama de las ciberamenazas ha evolucionado con velocidad vertiginosa, a la vez que los adversarios son cada vez más sofisticados, persistentes y creativos. Pero la verdadera resiliencia no está en la capacidad de reaccionar a un ataque, sino en la habilidad de evitar que este se produzca y, lo que es más importante, anticiparse al mismo.
Esto condiciona la necesidad de profundizar en dos conceptos que hacen más robusto el sistema: prevención y la proactividad. Estos representan un cambio de paradigma que al ser adoptado, contribuye a diseñar, gestionar y utilizar los sistemas, que transforman la seguridad de una barrera pasiva a un escudo inteligente y dinámico.
Es básico partir del contenido de estos conceptos, para establecer sus puntos de contacto y diferencias, y, lo esencial, demostrar cómo su aplicación a través de acciones concretas y humanas fortalece la seguridad de los sistemas informáticos de manera exponencial.
Prevención.
Para comprender cómo estos conceptos actúan de manera integrada, es esencial verlos por separado, porque a menudo se usan como sinónimos, pero describen enfoques distintos pero complementarios.
La prevención en ciberseguridad es el conjunto de medidas y tecnologías diseñadas para impedir que amenazas conocidas y vulnerabilidades identificadas puedan explotarse con éxito. Equivale en el ámbito digital a cerrar las puertas y ventanas con llave, instalar una alarma y poner una barrera física, entre otro. Su enfoque se centra en lo que ya se conoce desde el análisis de riesgos.
Es por tanto un cuerpo de conocimiento consolidado: firmas de malware conocidas, vectores de ataque documentados (phishing o inyección SQL por ejemplo), y vulnerabilidades de software que han sido descubiertas y para las que existe un parche. Las acciones preventivas son, en gran medida, una respuesta a estas amenazas preexistentes.
En la prevención es característico desarrollar acciones que se sustentan en:
• Enfoque en lo conocido, porque su principal fortaleza es la defensa contra amenazas analizadas y comprendidas.
• Se basa en herramientas y buenas prácticas que se implementan a través de software específico (antivirus, cortafuegos, sistemas de prevención de intrusiones) y la adhesión a estándares y políticas de seguridad.
• Naturaleza reactiva a la amenaza, no al incidente, porque se acciona ante la existencia de una amenaza conocida, sin esperar la ocurrencia de un incidente, pero no se buscan nuevas amenazas de manera activa.
• Mantenimiento del “estado seguro” con el objetivo de mantener la integridad y confidencialidad de los sistemas tal como están, protegiéndolos de desviaciones conocidas.
Son ejemplos clásicos de acciones preventivas la instalación y mantenimiento de un software antivirus, la configuración de cortafuegos para bloquear el tráfico no deseado o malicioso, la aplicación de parches de seguridad de manera oportuna en sistemas operativos y aplicaciones, la realización de copias de seguridad regulares de los datos críticos y la educación de usuarios sobre los peligros que los asechan como el phishing.
La prevención es la base fundamental sobre la que se construye cualquier estrategia de seguridad. Sin ella, los sistemas estarán completamente expuestos a las amenazas más comunes y persistentes. Es por ello una línea de defensa necesaria y esperada.
La Proactividad implica cazar las sombras del futuro
Si la prevención es construir la fortaleza, la proactividad buscar más allá de lo conocido, explorado el sistema en busca de puntos débiles y anticipar los movimientos de un posible atacante, incluso antes de que planfique el asalto. La proactividad en ciberseguridad es el enfoque sistemático y continuo para identificar, evaluar y neutralizar amenazas y vulnerabilidades potenciales antes de que puedan ser explotadas. Su enfoque se centra en trabajar sobre lo que no se conoce aún pero que puede ocurrir en el futuro.
La proactividad parte de reconocer que los atacantes innovan constantemente, desarrollando técnicas de «día cero» (zero-day) y métodos de evasión para burlar las defensas preventivas tradicionales. En lugar de esperar a que una nueva amenaza se convierta en un problema conocido, la proactividad busca activamente signos de peligro inminente para trabajar sobre ellos.
La clave de la proactividad está en desarrollar un enfoque hacia lo desconocido y emergente con el objetivo es descubrir vulnerabilidades no parcheadas, actividades maliciosas que no coinciden con firmas conocidas y debilidades en la configuración o en los procesos humanos. También está impulsada por la inteligencia y el análisis al realizar asociaciones que se basa en el intelecto humano, la curiosidad y el análisis de datos que en herramientas automatizadas., lo que se vincula con la anticipación que permite actuar con previsión, buscando problemas antes de que se manifiesten como incidentes y así desafiar el estado de seguridad para poner a prueba las defensas existentes, a través de intentos para quebrarlas para encontrar y corregir sus fallos.
Son ejemplos clásicos de acciones proactivas la caza de amenazas (threat hunting) en la que los analistas de seguridad (analistas) buscan en redes y logs los indicadores que manifiesten un compromiso que las herramientas automáticas han pasado por alto, son vitales también las pruebas de penetración éticas que simulan un ataque, para explorar las vulnerabilidades y evaluar respuestas del del sistema. Un lugar importante los tienen las auditorías de seguridad y evaluaciones de vulnerabilidades junto a los análisis de inteligencia de amenazas porque estos últimos investigan las tácticas, técnicas y procedimientos de los atacantes para anticipar sus próximos movimientos y adaptar las defensas en consecuencia.
La proactividad eleva una estrategia de seguridad a la excelencia, marcando la diferencia entre ser una víctima pasiva que espera por el ataque de los ciberdelincuentes a partir de la evaluación de riesgos que tiene a mano a convertirse en un un adversario difícil para los ciberdelincuentes porque sus acciones anteceden sus acciones delictivas.
Este es el punto de partida para, más que pedir, exigir a los usuarios de las TIC por un modo de actuación proactivo en una ciberseguridad que es tarea de todos.
Para continuar profundizando en el tema en una próxima entrega el objetivo será demostrar como ambos conceptos son las dos caras de una misma moneda.