Tradicionalmente, unos de las características que
más les gusta destacar a algunos analistas sobre la ciberguerra es su carácter
eminentemente asimétrico.
Una guerra asimétrica es aquella donde el tamaño,
los recursos o la estrategia de los contendientes difieren notablemente
El aspecto que más se suele destacar de esta
asimetría es la posibilidad de que un contendiente pequeño pero con una fuerza
de hacking de élite pueda dañar de forma importante a un oponente mayor, a pesar
de la diferencia de tamaños o recursos.
Inicialmente esto se ha dado por sentado y se han
aportado múltiples ejemplos (caso HBGary, caso Target, caso Diginotar) para
apoyar esta idea, pero a nosotros nos surgen varias dudas.
¿Realmente un oponente pequeño con pocos recursos
e inversión puede llegar a tener capacidades suficientes como para dañar de
forma notable a uno mayor?
En algunos casos puede ser así y tenemos ejemplos que lo apoyan, pero puede que esta no sea la
norma.
Si analizamos por ejemplo el catálogo de herramientas de inteligencia de la unidad TAO de la NSA salido a la luz
recientemente, veremos hasta que punto pueden llegar las capacidades de una
organización con abundantes recursos económicos invertidos en seguridad. Estas
capacidades pueden llegar a hacer parecer ridículas las capacidades de
organizaciones más pequeñas.
En caso de conflicto, una organización con estas capacidades
podría “machacar” fácilmente a un oponente menor en la mayoría de frentes.
Como decíamos en el post anterior, muchas veces el
tamaño si importa.
¿Realmente la inversión en ciber seguridad de las
grandes organizaciones se corresponde a su tamaño?
Los ejemplos que se ponen para demostrar que la
ciberguerra es asimétrica, suelen consistir en casos conocidos donde un pequeño
grupo ha infligido un grave daño a una gran organización.
Pero, realmente estas grandes organizaciones
estaban invirtiendo en seguridad de acorde a su tamaño.
No tenemos cifras detalladas para valorar esto,
pero conociendo el sector es probable que en la mayoría de estos casos, estas
grandes organizaciones realmente no estaban invirtiendo en seguridad de acorde
a su tamaño, o no lo estaban haciendo de manera adecuada.
La asimetría pues no sería tanta. La mayoría de
estos casos no serían por tanto realmente ejemplos de un enfrentamiento entre
un “David” y un “Goliat”. En la mayoría de casos, el supuesto “David” estaría
haciendo una gran inversión en tiempo y personal especializado (que también son
costosos) en su enfrentamiento contra un “Goliat” en horas bajas y con más
fachada que otra cosa.
No hay comentarios:
Publicar un comentario