La seguridad de la información no es solo tecnología. El humanware es fundamental para estar prevenido frente a este tipo de amenazas.

En estos últimos días la prensa ha estado difundiendo noticias sobre un nuevo fenómeno que está afectando a la sociedad global. Muchos le llaman "juego", pero realmente de juego no tiene nada. Su nombre, Ballena Azul, aparentemente lo hereda del apodo de su organizador original, quien en una red social rusa, casi 4 años atrás comenzó a estimular esta macabra iniciativa.

Sin entrar en detalles, quienes lo "juegan" entran en una suerte de programa de 50 días a lo largo de los cuales deben cumplir con una serie de prendas cada vez más desagradables y peligrosas, y cuyo desafío final es, perder la vida para ganar la partida.

Está haciendo estragos en el mundo entero; solo como muestra, en Rusia, donde según parece nació, entre noviembre de 2015 y abril de 2016 (en solo 6 meses) se suicidaron 130 niños y adolescentes. De allí comenzó a propagarse al mundo entero, y al día de hoy en Uruguay, que se sepa al menos, ya cobró 7 víctimas oficiales.

Adicionalmente, hay noticias de que en Rusia fue detenido recientemente su creador original, un joven que hoy tiene 21 años y que en sus declaraciones ha dicho "Sí, realmente lo hice. Murieron felices. Les di lo que no tienen en la vida real: calidez, comprensión y comunicación". A la vez, hace una apología de una limpieza social, con argumentos de deplorable fundamento.
Hasta allí, los hechos a la vista.

Pero analicemos lo que hay detrás, y para eso, utilicemos un modelo que nos es muy familiar, la seguridad de la información en nuestras organizaciones.

En ellas, aplicamos controles tecnológicos y administrativos, implementamos sistemas de gestión, nos ajustamos a cuerpos normativos, disponemos de sistemas de detección, hacemos auditorías, buscamos vulnerabilidades y procuramos remediarlas rápidamente. ¿Y por qué todo esto? Simplemente porque queremos proteger nuestro más preciado activo: nuestra información, vital para la existencia de las organizaciones.
A nivel social, podemos vernos como una gran organización, donde los activos somos nosotros mismos, tú, que estás leyendo esto, tu familia, yo y la mía, todos en general, el humanware de esta gran organización de la que somos parte llamada humanidad.

Y estamos bajo ataque, permanentemente; la amenaza es interna, son miembros de la misma sociedad quienes la atacan, no son extraterrestres. Al igual que los sistemas tecnológicos también tenemos vulnerabilidades, nuestras mentes son vulnerables a amenazas muchas veces desconocidas, es decir, del tipo zero-day, mediante las cuales nos pueden inducir a seguir conductas negativas y hasta autodestructivas.
Y nuestros sistemas dan señales, pero a menudo no las vemos o no sabemos reconocerlas.

Cada vez implementamos menos controles, nuestros detectores de anomalías están descalibrados, nuestras políticas no existen o son de aplicación cada vez más laxa y están tremendamente desactualizadas.

Internet no tiene la culpa, por si alguien piensa que es así. Internet es tan solo una brutal y maravillosa herramienta, que como tal, podemos usarla para bien o para mal. Una de sus principales propiedades es que actúa como un gigantesco lente de aumento, de todo. Hoy, información y contenidos multimedia de cualquier tipo, fluyen por las redes a velocidades tiempo atrás insospechadas, haciendo que cualquier cosa sea visible para cualquiera en cualquier lado. Y nuestras políticas y procedimientos para la gestión del humanware, son de la época en que Internet aun no existía, y por tanto, tampoco su poder de lente de aumento.

Es este gran lente de aumento el que hace que el delirio de un psicópata que vive en las antípodas del planeta llegue rápidamente a todos sus rincones, y aprovechando las vulnerabilidades que existan en quienes lo reciben, afecte a aquellos que las tengan. Es un ataque no dirigido, es un broadcast maligno, cuyo objetivo no es otro más que el que logra. Y hay que implementar defensas.

De las declaraciones del joven detenido recientemente se desprende algo que debería preocuparnos y mucho: "Les di lo que no tienen en la vida real: calidez, comprensión y comunicación". Esto debería disparar todas las alarmas de nuestros sistemas de detección de anomalías; nos está gritando en la cara "¡no están atendiendo a sus hijos!".

Me estremece el escuchar a una niña de 12 años decir que su mejor amiga era una tablet que se le perdió; me entristece que un padre se enorgullezca de que su nene de 2 años sabe manejar la tablet mejor que él.
Y entonces, ¿qué hacemos? ¡Ya sé! ¡Destruimos todas las tablets y listo!

No. Esta opción no parece que vaya a resolvernos el problema, porque entonces deberíamos seguir por los teléfonos celulares, las computadoras mismas y hacer desaparecer Internet toda, y cualquier otro medio de difusión masiva.

La herramienta no es la responsable de los problemas. Los responsables somos nosotros mismos, como colectivo, como miembros de una sociedad global y fundamentalmente como integrantes de una familia. Es en la familia donde debemos implementar los controles y los sistemas de monitoreo; es en la familia donde debemos tener los detectores de intrusión, los paneles de alarmas y los detectores de vulnerabilidades.

Estaremos protegiendo nuestro activo más preciado: nuestras vidas y las vidas de los que amamos. Sin esto, de poco vale que nuestras organizaciones dispongan de las mejores defensas para proteger la información.

La seguridad de la información no es solo tecnología. El humanware es fundamental, pues sin él, la tecnología por sí sola no es suficiente. Entonces, como sociedad, comencemos a cuidar de él desde su "fabricación" y evitemos la explotación de las vulnerabilidades que pueda tener.
Más que comprarles el tablet o el celular, escuchemos a nuestros hijos y hablemos con ellos.

Ing. Hugo Köncke
Gerente Regional de Consultoría
Security Advisor