El camino del blindaje contra el 'hackeo'

Si algo distingue la internet, es la cantidad desmesurada de información que hay en ella, la diversidad de temas y ese espíritu de novedad que la atraviesa. En un minuto se suben 500 horas de video a YouTube, se envían más de 41 millones de mensajes de texto a través de plataformas tipo WhatsApp y se comparten más de 64 millones de fotografías a través de Instagram. Por no contar el sinfín de noticias, verdaderas y falsas, que surgen y se diluyen en la inmensidad del flujo informático.

Sin embargo, en el terreno del crimen cibernético, internet pareciera estar congelada en el tiempo. 'La Estafa del Príncipe Nigeriano' (y sus variantes), que ocupa el segundo lugar en la lista de los fraudes más populares a través del correo electrónico, se remonta ?con ese mismo nombre? a épocas previas a la internet y sigue resultando un negocio redituable para los cibercriminales, generando ganancias por miles de millones de dólares a nivel mundial y robando un promedio de $2,133 dólares por víctima.

Inició a través del correo postal en los años ochenta, antes de que la internet tuviera un uso masivo, y migró al correo electrónico en los años noventa. Llegando a más destinatarios, pero sin modificar significativamente su estructura. 'La Estafa del Príncipe Nigeriano', o la estafa 419 (sección del código criminal nigeriano en la que se tipifica), ha consistido, desde su origen, en lo siguiente: un desconocido envía un correo electrónico (o menaje de texto), informando que está dispuesto a entregar millones de dólares al destinatario a cambio de que este acepte ayudarlo a burlar a las autoridades de su país. No pide nada más. No en un principio.

Una vez que uno acepta ayudar, la cosa se complica. Hay que sobornar a algún guardia, agente del gobierno o autoridad, para conseguir el objetivo. El pago es mínimo: $500 dólares. La inversión aparenta ser redituable. A partir de entonces, cada nuevo contacto por parte del destinatario será para informar los avances, que falta menos para que tengamos los millones prometidos, pero que necesita un poco más de dinero. Así hasta que el remitente se canse y deje de cooperar. Normalmente con un par de miles de dólares menos en su bolsillo.

Pero el origen de la estafa va más atrás de la Nigeria de los años 80. Inició en algún momento a finales del siglo XVIII o principio del siglo XIX. Se conoció como la 'Estafa del Prisionero Español' y funcionaba exactamente como como lo hemos descrito. Un supuesto prisionero encarcelado en España por error pedía ayuda para sobornar a los guardias y poder escapar, a cambio prometía compartir con el benefactor una importante cantidad de su cuantiosa fortuna.

¿Qué es lo que permite que un mismo modo de engañar a la gente exista desde hace más de 200 años? Y, sobre todo ¿por qué en el reino de la novedad no hay una notoria actualización, innovación, reinvención, modificación o evolución en las formas de estafar a la gente? La respuesta es sencilla, el ser humano sigue siendo exactamente el mismo desde hace más de doscientos años. Nuestras motivaciones no han cambiado significativamente, la ambición se conserva como una de nuestras peores características y la ingenuidad como una de nuestras principales vulnerabilidades.

El riesgo va mucho más allá de que una persona esté dispuesta a pagar a cambio de promesas en el aire. El riesgo que la 'Estafa del Príncipe Nigeriano' y similares deja al descubierto es el poder que tiene la ingeniería social para conseguir que la gente actúe en contra de sus propios intereses. Los principales, y más exitosos, ataques cibernéticos no se apoyan en el uso de sistemas automatizados, inteligencia artificial, o un hackeo altamente tecnológico de redes para burlar los sistemas de seguridad. No. Los ataques más comunes recurren al activo de que es más sencillo hackear al interior de cualquier organización: la gente.

Ante esto, no es suficiente contar con una arquitectura robusta que proteja los recursos de las organizaciones. Es necesario construir un nuevo paradigma de ciberseguridad que permita:

Garantizar que los usuarios que se conectan sean quien debe ser y no un atacante que ha robado sus credenciales.

Evaluar el contexto de cada conexión para no poner en riesgo el total de la red a través de conexiones inseguras o sospechosas.

Reducir la sobre exposición de recursos en la red, ocultando aquellos a los que el usuario no necesita tener acceso.

Aislar los recursos críticos dentro de una red del resto de los recursos. Para que individuos mal intencionados no puedan llegar a ellos.

Evitar la posibilidad de movimientos laterales no autorizados, para reducir con ello el impacto que los atacantes pueden tener al interior de una red.