Parece que Derek Bok, que fue rector de Harvard, dejó para la posteridad la frase: “Si la educación le parece cara, pruebe con la ignorancia”. Una ligera modificación y podemos adaptarla al mundo de la ciberseguridad con la misma validez. Si la ciberseguridad te parece cara, prueba con el pago del ransomware. ¿A qué nos referimos?
Con este aforismo, Bok emitía varios mensajes. El primero es que, como en todo, no se puede confundir valor con precio. El coste de la ciberseguridad se puede medir en euros, por supuesto. Una estrategia de ciberseguridad y digitalización adecuada va asociada a un presupuesto inicial y luego a un mantenimiento que podría ser por ejemplo anual. Un coste en dispositivos y humano perfectamente medible que, no olvidemos, es un proceso continuo. De nada sirve una inversión inicial sin un seguimiento posterior. Pero si todo el mundo puede disponer de un presupuesto y calcular un coste, quizás el valor de los datos que se protegen no sea tan sencillo de suponer ¿Cuánto se pierde o se puede llegar a perder como consecuencia de un ataque grave? ¿Y cuánto dejar de ganar? ¿Y por la acumulación de otros ataques que no detienen pero afectan a la operativa? El valor que aporta la ciberseguridad es complejo de calcular porque además puede tratarse de proteger información valiosa por motivos no económicos, o potencialmente tan importante, que de perderla se podría arruinar una compañía por completo. ¿Qué precio tiene eso?
Lamentablemente, sí hay quien conoce perfectamente cómo ponerle precio al valor de la información: las bandas de ransomware. Si la víctima no sabe ponerle precio a su operativa digital o a los datos acumulados, los atacantes lo tienen todo calculado. Ellos no confunden valor con precio y saben cuánto será exactamente. Desprendidos de todo escrúpulo hacia la empresa, para los atacantes solo existe un parámetro: el pago, cuya cuantía será la que el atacado esté dispuesto a pagar por el rescate. Actualmente los ataques de ransomware saben cuánto dinero pedir en función de la facturación de una compañía, para que el pago sea asumible.
¿Y si la víctima no paga el rescate? Entonces es cuando el atacante, que no podrá percibir el precio, apelará al valor de los datos. Comienza el chantaje. Si no puede sacar un rendimiento económico directo de la información privada, aprovechará el valor único que supone para la víctima vulnerando su principal característica, que es precisamente que sea privada. Haciéndola pública, sabe que el impacto será muy negativo para la compañía. Es el premio de consolación para el atacante que si bien no obtiene un beneficio económico del ataque, consigue un efecto de advertencia para el resto de las potenciales víctimas. Este acto les alerta de que el peligro es real, que su trabajo es serio, que cumplen sus promesas de extorsión y que más vale que paguen cuando toque. Una extorsión en toda regla.
¿Qué podemos hacer entonces? La frase inicial, tanto aplicada a la educación como a la ciberseguridad, dice más de lo que parece. Habla de que no contar con una inversión razonable en estrategia de ciberseguridad nos privaría de los beneficios de mantenernos seguros. Pero además sugiere que la falta de inversión en ciberseguridad nos lleva a lo opuesto, o sea, a una posición mucho más grave que la situación inicial. Una persona no educada es, además, un ignorante. Una compañía sin inversión en estrategia es, además, una víctima muy probable. No invertir no consiste en quedarte sin algo o ahorrarse la inversión, sino posiblemente signifique una pérdida directa muy grave ya no en lo económico sino en lo reputacional.
La única respuesta es una inversión razonable en ciberseguridad, igual que lo es en educación. Por los beneficios que conlleva y también por los peligros asociados a no disponer de ninguna. Podremos entender mejor los ataques, repelerlos con mayor facilidad, disponer de una copia de respaldo adecuada, limitar los datos robados si se detecta a tiempo el ataque… y encontrarnos en una mejor posición incluso cuando el ataque ocurra. Una buena estrategia en ciberseguridad, como la educación, nos hace más libres.