Vaya título obvio, ¿verdad? Sin embargo, el conocido gurú de las finanzas e inversor Warren Buffett sentenció algo parecido con respecto a su disciplina: “La primera regla para invertir es no perder nunca dinero”. Esta afirmación, tan simple como eficaz, ha sido celebrada y difundida con diferentes variantes. ¿De verdad es necesario este consejo? ¿Esconde algo más? ¿Es aplicable a la ciberseguridad de forma que se pueda afirmar que la primera regla para no ser vulnerable es que un ataque no tenga éxito?
Buffett sabía perfectamente lo que decía. Otras muchas reflexiones, su fortuna, discurso y éxito le avalan. De hecho, la frase no es tan obvia. La genialidad consiste en sintetizar en esa aparente obviedad todo el valor que encierra. Lo que Buffett quería decir realmente es que hay que huir tanto como sea posible de la complejidad, de los discursos peregrinos, de las variables retorcidas e intimidantes, de las condiciones pasajeras… y, sobre todo, no olvidar la esencia de la inversión, que es, más que ganar dinero, no perderlo. Así de sencillo.
Parece simple decirlo porque lo realmente complicado es cómo se llega a esa simplicidad. Muchos, ante un desafío o reto que solucionar, aprenden nociones básicas de esa disciplina, se instalan rápidamente en una ilusoria comodidad y buscan atajos hacia el éxito instantáneo.
El fracaso se debe a que, en el fondo, no conocen los fundamentos de esa disciplina ni disponen de la experiencia previa mínima. Las continuas novedades les fascinan, se distraen con lo accesorio. Olvidan su objetivo. Partir siempre de los principios más fundamentales (y llegar a ellos) es lo que distingue a los expertos. Para concluir en algo tan básico se requiere de una buena base de conocimientos.
Y la ciberseguridad no es diferente. Se suele decir que en ciberseguridad todos los días surge algo nuevo y se avanza de forma tan acelerada que es imposible seguir el ritmo. No es del todo cierto. Los profesionales, en el día a día, enlazan el fallo de hoy con la técnica de ayer. Se advierten ligeras diferencias, pero (casi siempre) similar objetivo y mismos fundamentos en los ataques o la naturaleza de las vulnerabilidades.
Cambia el escenario y la tecnología, pero las técnicas, las tácticas y los procedimientos permanecen. No se descubren fórmulas rompedoras ni cambia el paradigma cada semana, sino cada varios años. Sí que es necesario estar atento a las capas de abstracción que surgen y seguir la lógica de los acontecimientos constantemente, pero sin distraerse con estos fuegos artificiales. De lo contrario, la aparente complejidad nos empujará a buscar atajos. Si no se olvida lo esencial, siempre se dispondrá de una referencia con la que simplificar, pensar con claridad y establecer una serena estrategia de defensa.
¿Y qué es lo esencial en ciberseguridad? Por simple que suene, consiste en evitar el efecto del ataque. Comprender cómo se llega a ser atacado no es tan sencillo, pero si me dieran a elegir, diría que lo imprescindible es poner el foco en establecer dos procesos sólidos: uno con el que gestionar las vulnerabilidades y otro para formar a todos los usuarios (administradores técnicos incluidos).
Parece un buen objetivo fundamental que no hay que perder de vista. A partir de ahí, surgirán diferentes métodos, fórmulas, herramientas y ramificaciones. Pero lo esencial es conocer al enemigo, qué es lo que necesita siempre en todo ataque (que va a ser un fallo humano o del software, independientemente de los métodos utilizados para conseguirlo) y ser capaz de detectarlo, aunque se disfrace de muchas formas diferentes. En definitiva, evitar el ataque, a pesar de la complejidad de las técnicas disponibles, pero con la sencillez que otorga el entender lo que ocurre detrás de aquello que pudiera considerarse atrezzo.
Si no se está dispuesto a invertir ese tiempo en comprender la compleja sencillez de la ciberseguridad, Buffett tiene otra frase: "El riesgo viene de no saber lo que estás haciendo”.