Ciberseguridad a ciegas: por qué gastamos fortunas en muros si no sabemos qué protegemos

Invertir millones en ciberseguridad sirve de poco si fallamos en la premisa más básica: no se puede defender lo que no se conoce. Mientras las organizaciones se obsesionan con blindar el perímetro ante ataques que no dan tregua, a menudo descuidan el inventario interno. Esa falta de visibilidad real sobre los datos y activos es, hoy por hoy, una vulnerabilidad mucho más crítica y frecuente que cualquier amenaza externa.

Por Aneyka Esilka Hurtado Mena, Profesora de la Facultad de Informática, Electrónica y Comunicación de la Universidad de Panamá.

Si miramos lo que ha pasado en la última década, casi todo el debate en ciberseguridad se ha centrado en qué tan sofisticados son los "malos" de la película. Se habla mucho del Ransomware as a Service (básicamente, el alquiler de herramientas para secuestrar datos) o de ataques que parecen salidos de una novela de espías. Sin embargo, cuando uno se pone a revisar con lupa las brechas de seguridad más graves de los últimos cinco años, aparece un patrón que inquieta bastante y que no es tan espectacular: la mayoría de los desastres no ocurren porque el atacante fuera un genio invisible, sino porque la empresa tenía "puertas traseras" abiertas que ni sabía que existían. Es lo que llamamos la paradoja de la defensa ciega: construir castillos inexpugnables para proteger cosas que importan poco, mientras dejamos las joyas de la corona tiradas en un rincón oscuro sin vigilancia.

Hemos digitalizado todo tan rápido que los equipos de seguridad han perdido el control del terreno. Las viejas fronteras ya no sirven. Ahora, con la mezcla de nubes híbridas, el trabajo remoto y miles de dispositivos IoT enganchados a la red, la superficie de ataque se ha vuelto inmanejable para la capacidad de vigilancia humana actual.

Antiguamente, tener visibilidad era tan simple como saber qué computadoras estaban enchufadas en la oficina. Hoy, el desafío es monumental: implica rastrear contenedores digitales que aparecen y desaparecen en la nube, controlar quién accede desde fuera y lidiar con el fenómeno del Shadow IT. Con este término nos referimos a esa práctica tan común donde los empleados, buscando agilidad, utilizan aplicaciones o servicios no autorizados por la empresa, como nubes personales o herramientas gratuitas, creando puntos ciegos invisibles para el equipo de seguridad. Carecer de un inventario actualizado de todo esto es, hoy por hoy, un riesgo mucho mayor que cualquier virus nuevo.

Ahora bien, entender la "visibilidad" va más allá de hacer una lista de computadoras. Gestionar el riesgo de verdad significa entender el contexto del negocio: ¿qué datos sensibles pasan por ese servidor viejo? ¿Quién tiene permiso para entrar a esa base de datos crítica? Muchas organizaciones cometen el error de meter todo en el mismo saco, protegiendo igual a la impresora del pasillo que al servidor donde guardan las patentes. Sin clasificar qué es importante y qué no, los equipos de seguridad terminan agobiados por un exceso de alertas, persiguiendo falsos problemas mientras las amenazas reales se mueven lateralmente por la red sin que nadie se dé cuenta.

Y luego está el gran agujero negro: los proveedores externos. El caso de SolarWinds en 2020 fue el despertar forzoso para todos. Nos enseñó que ya no hace falta atacar de frente; basta con infiltrarse en una actualización de software legítima. Los atacantes no rompieron la puerta principal de miles de empresas, simplemente se colaron a través de un proveedor de confianza, demostrando que tu seguridad depende enteramente del eslabón más débil de tu cadena.

 Esto nos enseñó que confiar ciegamente en un proveedor puede abrir un hueco en nuestras defensas. Las empresas suelen no tener ni idea de cuán seguros son sus socios, asumiendo que, si ellos mismos están 'parchados', todo está bien. Pero la realidad es que, al conectar sistemas mediante APIs (esas interfaces que permiten que dos aplicaciones hablen entre sí), la vulnerabilidad de un proveedor se contagia al instante al cliente. Gestionar el riesgo hoy exige mirar más allá de las cuatro paredes de la empresa.

Deberíamos empezar a usar más el término "Deuda de Visibilidad". Es parecido a la deuda técnica: se acumula cuando preferimos implementar cosas rápido en lugar de documentar y controlar. Cada vez que lanzamos un nuevo servicio sin conectarlo al sistema de monitoreo, o le damos acceso temporal a alguien y olvidamos quitárselo, esa deuda crece. Con el tiempo, se crea una especie de niebla interna donde los equipos de operaciones de seguridad (SecOps) tienen que adivinar si algo raro es normal o un ataque, lo que retrasa muchísimo la reacción cuando pasa algo de verdad.

La visibilidad es también la base para aguantar el golpe y recuperarse. Si te cae un ransomware, la diferencia entre un susto y el cierre del negocio está en saber exactamente qué se infectó y dónde están las copias de seguridad limpias. Sin un mapa claro que diga qué aplicación depende de qué servidor, los planes de recuperación son pura teoría. Las empresas que no tienen este nivel de detalle tardan semanas en volver a operar porque, básicamente, no confían en sus propios sistemas recuperados por miedo a que el virus siga ahí escondido.

Y, curiosamente, tener demasiadas herramientas de seguridad a veces empeora las cosas. La empresa promedio usa docenas de programas distintos que no se hablan entre sí, creando islas de información. El cortafuegos ve una cosa, el antivirus otra y el sistema de identidades una tercera. Al no tener una "fuente única de verdad", los analistas pierden tiempo juntando datos en hojas de cálculo, un proceso lento y donde es fácil equivocarse. 

Aunque la industria se llene de siglas prometedoras como XDR (Detección y Respuesta Extendida) o las cada vez más necesarias CNAPP (Plataformas de Protección de Aplicaciones Nativas de la Nube), la tecnología es papel mojado si no existe una cultura real de vigilancia.

 Ocurre algo similar con la presión legal: normativas como el Reglamento General de Protección de Datos (GDPR) o los estándares de seguridad de datos para tarjetas de pago (PCI-DSS) han forzado a las empresas a encender la luz sobre sus activos. El problema es que, demasiadas veces, esta visibilidad se busca sólo para cubrir el expediente burocrático y no como una estrategia de defensa genuina.Los auditores piden saber dónde están los datos sensibles, y es ahí cuando a muchos les entra el pánico al ver el desorden que tienen. Una gestión de riesgos inteligente usa estas normas como base para asegurarse de que la visibilidad sobre los datos personales sea algo de todos los días, no sólo cuando viene la auditoría.

Por último, el factor humano sigue siendo impredecible. Los ataques de ingeniería social o phishing (esos correos engañosos para robar datos) se aprovechan de que no vigilamos cómo se comportan los usuarios. Si una cuenta legítima empieza a bajar gigabytes de información a las 3 am ¿es un empleado muy trabajador o alguien que robó la contraseña? Sin sistemas de Análisis de Comportamiento de Usuarios y Entidades (conocidos técnicamente como UEBA), que aprenden automáticamente qué es lo 'normal' para cada empleado, distinguir entre un compañero y un intruso es casi imposible antes de que el daño esté hecho.

En resumen, para los próximos cinco años, hay que cambiar el chip. Invertir en la última herramienta de inteligencia artificial servirá de poco si no arreglamos primero lo básico. La tesis es clara: no hay seguridad si no hay observabilidad. Las empresas que sobrevivan no serán las que tengan murallas más altas, sino las que tengan la luz encendida en todos sus rincones digitales, entendiendo que, en este mundo, lo que no ves es lo que te va a hacer daño.

Le puede interesar: IA agéntica: el nuevo frente de la seguridad informática