El 17 de diciembre de 1996, durante la recepción por el cumpleaños del emperador Akihito en la residencia del embajador japonés en Lima, un grupo del MRTA abrió un forado en el muro posterior de la casa. No estaban en ninguna lista de invitados; llevaban semanas observando la residencia. El ataque fue diseñado para secuestrar a los asistentes y exigir la liberación de terroristas presos. En la puerta, los guardias hicieron exactamente lo que debían: verificaron invitaciones, controlaron el acceso y mantuvieron el orden. Eso era exactamente lo que el MRTA esperaba. La falla real no fue de los guardias de seguridad en la puerta. La falla crítica fue que nadie se dio cuenta de las semanas de preparación, nadie detectó el alquiler de la casa contigua, ni el movimiento de armas, ni que estaban siendo observados. El ataque no comenzó con la explosión del muro. Comenzó en silencio, mucho antes, en el perímetro que nadie estaba vigilando.
Esta imagen captura la lógica de los sistemas de detección de vulnerabilidades cibernéticas que todavía utilizamos. Como quien coteja contra una lista de invitados, cotejamos los sistemas que evaluamos contra bases de datos de fallas conocidas. Es una metodología útil, pero con un límite muy evidente en la imposibilidad de actuar sobre aquello cuya existencia todavía no conocemos. Somos naturalmente ciegos a lo que no sabemos que no sabemos. El problema es mayor cuando esas vulnerabilidades ocultas provienen de combinaciones de fallas todavía por descubrir.
Los sistemas más avanzados de inteligencia artificial operan hoy con una lógica diferente. No buscan colarse en una lista de invitados, sino que razonan sobre la arquitectura del sistema para inferir dónde están los muros posteriores para hacerlos explotar. Identifican debilidades estructurales nunca catalogadas y diseñan secuencias para explotarlas. Hoy se están encontrando vulnerabilidades que nadie sabía que existían y que llevaban décadas siendo auditadas con herramientas convencionales. Algunas de estas fallas han estado presentes durante más de veinticinco años en sistemas construidos con la seguridad como prioridad central. Los guardias de la puerta las habían estado ignorando porque nunca supieron que las tenían que resguardar.
Esta discontinuidad hace insuficiente la metáfora de la Reina Roja[1]; esta metáfora describe los problemas de ciberseguridad como los de una competencia entre defensores y atacantes que evolucionan a ritmos similares sin que ninguno alcance ventajas sostenibles. Lo que ocurre hoy es distinto. La diferencia no es de grado, pues se trata de un cambio en donde la economía de los ataques cibernéticos ha sido modificada totalmente. Descubrir vulnerabilidades ya no requiere tanto tiempo, tanta coordinación ni tanto talento especializado. Defender sigue siendo costoso y sigue implicando defender todo a la vez; sin embargo, atacar es cada vez más barato. Los ataques que antes requerían de equipos especializados trabajando durante meses hoy pueden ejecutarse con una instrucción muy rápidamente.
Este desequilibrio se amplía cuando los sistemas dejan de operar aislados. Las tendencias hacia mayor interoperabilidad crean valor real, no hay duda, pero al mismo tiempo reconfiguran los riesgos. Cada nueva conexión abre la posibilidad de nuevas vulnerabilidades. Las finanzas abiertas ilustran bien este punto. La lógica es sólida, pero cada API y cada proveedor adicional amplían el perímetro expuesto. La seguridad, como siempre, sigue dependiendo del eslabón más débil. También es cierto que la estandarización que hace posible la interoperabilidad introduce arquitecturas tan parecidas que permiten fallas que escalan más rápido. Esto no es un argumento en contra de las finanzas abiertas. Es un argumento a favor de entender sus implicancias completas.
El problema central es un problema de oportunidad. Las transformaciones hacia mayor interoperabilidad son de mediano plazo, implican marcos regulatorios que tardan años en diseñarse y en aplicarse, inversiones que toman tiempo en madurar y cambios organizacionales que requieren ciclos completos. Los modelos de riesgo actuales se construyeron cuando las capacidades ofensivas eran otras. Las decisiones sobre apertura y estandarización deben tomar en cuenta las nuevas capacidades ofensivas. Ya no podemos descansar solamente en los controles de la puerta. El mayor desafío estará, entonces, en fortalecer la resiliencia en todo el perímetro, y en asumir muy conscientemente que las vulnerabilidades no se eliminarán, sino que tendrán que ser administradas continuamente.
La Reina Roja seguirá corriendo, pero con otras reglas. La carrera ya no es solo entre depredadores y presas, sino entre sistemas y nuestra capacidad de gobernarlos. La pregunta fundamental no está en si debemos o no debemos avanzar hacia una mayor apertura, sino en cómo es que vamos a hacer para contar con los instrumentos de defensa al ritmo que estas nuevas reglas exigen.
Y mientras esa pregunta permanezca abierta, en algún lugar alguien estará alquilando la casa de al lado.
[1] En el libro Alicia a través del espejo, de Lewis Carrol, la Reina Roja le dice a Alicia: “Aquí, como ves, hace falta correr todo cuanto puedas para permanecer en el mismo sitio”.
Martin A. Naranjo 