Claudio López, Gerente de Consultoría, Urudata Ciberseguridad
En estos días en nuestro país se está viendo masivamente una serie de Netflix titulada “Día Cero”, en la cual se manejan una serie de conceptos técnicos relativos a la ciberseguridad, los cuales son ajenos al público general. Por este motivo hemos sido consultados al respecto por parte de clientes y de amistades.
Es por esto que efectuaremos una serie de columnas para desenmarañar los conceptos y ponerlos al servicio de cualquier persona independientemente de su conocimiento técnico.
Todo esto, por supuesto prometo, sin SPOILEAR.
Así que puede leer esta columna y verla tranquilo/a, si todavía no lo ha hecho.
Y, por cierto, desde el punto de vista de ciberseguridad (aunque estaríamos más cercanos al término de ciberdefensa), es muy buena.
Comencemos: El tema de la serie trata de la ocurrencia de un ciberataque masivo a un país (en este caso, obviamente la víctima es Estados Unidos), y desarrolla durante ocho capítulos básicamente en cómo se responde hoy ante este tipo de nuevo conflicto (ciberguerra).
El título de la serie ya deja entrever, al menos a los que estamos en ciberseguridad, de qué va la cosa…”Día Cero” (o Zero Day en inglés)
Una amenaza de día cero (mal llamada vulnerabilidad) es aquella debilidad conocida que presenta un sistema, la cual ya ha sido explotada por un actor de amenaza (el atacante), y ante la cual (todavía) no existe una solución.
Ejemplo aplicado a la salud: mañana se descubre un virus (ej. COVID) nuevo que genera ciertos efectos a la salud para el cual no existe antídoto.
A este nuevo virus descubierto, en el período que va desde que se lo descubre, hasta que es desarrollado y aplicado el antibiótico que protege de sus defectos, se le denomina “virus de día cero”.
Ahora bien, la pregunta natural que nos podríamos hacer es “y entonces, habiéndose detectado la amenaza de “cero día”, si bien no poseemos solución, ¿Qué se puede hacer? ¿Nos entregamos? ¿Está todo perdido?”
Y la respuesta es …no, si bien es difícil, no está todo perdido. Si bien no existe la solución, igualmente se pueden hacer muchas cosas.
Continuando con el ejemplo de la salud, se podría accionar de diferentes maneras como tomar medicamentos para combatir los síntomas y/o directamente aislar al afectado para que el virus no se siga propagando.
En síntesis, se pueden implementar controles compensatorios que, si bien no solucionan el problema de raíz, si podrían mitigar sus efectos (hasta incluso prevenirlos).
Volviendo a la serie, vemos la implementación de estos controles compensatorios: una vez identificada la amenaza de día cero se disparan ciertas acciones compensatorias como ser composiciones de comisiones nacionales de tratamiento ante emergencias, comunicaciones en medios de prensa para disminuir las posibilidades de caos social, acciones de inteligencia para la identificación y erradicación del actor de amenaza, etc, etc.
Listo, ya tiene claro el concepto primario de no solo el argumento principal de la mencionada serie, sino uno de los peores escenarios en temas de ciberseguridad.
Es por este motivo que las empresas/naciones pueden/deben trabajar siempre pensando en futuros escenarios de impacto de amenazas de día cero, creando esquemas de defensa en profundidad, en las cuales ante la falla de una de estas líneas defensivas (dada por una amenaza de día cero) pueda ser compensada con otras.
En columnas posteriores desarrollaremos otros puntos salientes de la serie y de lo que implica un ciberataque masivo a una nación, como ya existieron en el mundo real (no ficción).