Dicen los gobiernos y empresas en medio de la globalización, que van en pos de la seguridad informática. ¿Es esto alarde sin contenido o realmente piensan hacerlo? Es que la seguridad informática en realidad se trata del famoso problema de la puerta y la llave, un fenómeno en que, por más siglos que transcurran, siguen siendo un eterno problema. Yo todavía no vislumbro el día en que eso ocurra.
Nos hablan de que usarán epidemiología y firmware para detectar conductas virales o subversivas en un sistema, que es como si el coche detectara el uso de una ganzúa o herramienta para la apertura del coche, o detectara al legítimo dueño. ¿Realmente puede la tecnología ser tan inteligente? Puede que a nivel de algoritmo específico sí, pero a nivel del problema humano de la puerta y la llave, no.
Antes de continuar, aclaro que en este lado del charco, lo que en España se llama "costes" en este lado se llama "costos". Habiendo aclarado la nomenclatura, continuemos.
El problema de la llave y la puerta
Cuando lidiamos con este problema tenemos el problema de que tenemos una puerta y una llave, donde nosotros queremos ingresar y salir con libertad, pero no permitir que terceros lo hagan. Como este problema ocurre con millones de personas, los problemas que ocurren con uno, suelen suceder a millones. Y como cada cabeza es un mundo, y cada uno tiene sus "cadaunadas", seguimos con el sempiterno problema de nunca acabar.
- La puerta cerrada y las llaves adentro.
- Llaves extraviadas en lugares públicos
- Llaves robadas
- ¿Quién tiene la otra copia de la llave?
- La llave debajo del felpudo
- ¿El cerrajero es honesto?
- La puerta está sin cerrojo.
- La puerta está abierta.
- etc...
¿Acaso algún día la humanidad podrá declarar como frase obsoleta, la expresión "adónde <adjetivo pintoresco> están las <adjetivo pintoresco> llaves"?
¿Cuál es la receta para no perder las llaves (tan sólo uno de los tantos problemas con llaves y puertas)? Poner atención al manejar la llave, donde y cómo se guarda sin que se enganche o resbale fuera del bolsillo, comprobación volumétrica de la llave en el bolsillo, el proceso de entrar en contacto con la llave, el proceso de extracción de la llave, el efecto del entorno y en el entorno del uso de la llave, obstáculos para el cierre accidental de puertas abiertas hasta que llegue el momento del cierre, cierre de cremalleras, velcros, botones, imperdibles o costuras militares al sacar o meter la llave, evitar que la llave caiga en aberturas como alcantarillas, rendijas de elevadores, y la creación de hábitos de manejo de llaves. Es una tarea demasiado complicada como para que la resuelva cada ser humano que compone la humanidad.
Al final la seguridad informática 100% termina siendo como diseñar un coche imposible de robar. Para ello el dueño tiene una llave, y el carro tendría que ser imposible de abrir sin la llave, pero el dueño podría dejar las llaves adentro del coche y tendrán que acudir a alguien para que abra el coche. ¿Cómo hace el coche para saber si el que abre es el dueño o no? ¿Es que reconoce la llave o la ganzúa? ¿Cómo se asegura de que el portador es el dueño o una persona legítimamente autorizada por el dueño? Seguro tendrá que ser un coche con una computadora superinteligente, casi como el ser humano. Aún así, quien desee usar la llave sin autorización, acude a la debilidad humana, al error de diseño harto conocido, al refrito de los mismos fraudes de antaño.
Puertas y llaves. El problema eternamente imposible...
La ingeniería social
El fraude nunca ha sido creativo, lo que hace es que se moderniza en las formas, no el fondo. Una de las formas más famosas de engaño en internet ha sido el famoso fraude nigeriano que es un refrito de otro más antiguo, que lleva siglos de existir.
La estafa más famosa de Internet, el fraude del nigeriano, es una evolución de otra, nacida en el siglo XVI y conocida como el fraude del prisionero español. El fraude del prisionero español surgió en las guerras con Inglaterra. Consistía en mandar cartas pidiendo dinero para el rescate de un noble británico, preso en España. A cambio, el lord premiaría a sus benefactores. Una variante era rico español en cárcel tunecina. A finales del siglo XX, se transmutó en el fraude del nigeriano, que empezó con el fax y actualmente circula por Internet: un e-mail explica la muerte traumática en África de toda una familia, que ha dejado una cuantiosa herencia. Si no aparecen herederos, el Estado se incautará del dinero. El emisor de la carta ofrece ir al 50%. Otras veces, el emisor es hijo de un ex dictador africano o un oficial del Gobierno que precisa sacar dinero del país. Si la víctima pica, empieza el carteo con documentos falsos y detalles de la operación, que no debe revelar a nadie. - El fraude del nigeriano
En este fraude el estafador logra que la víctima abra el "cofre" del dinero que guarda, y se lo entregue. Es una variación del mismo problema de la llave y la puerta, si pensamos que el dinero es lo que se resguarda detrás de la puerta.
¿Cuál es la solución al fraude nigeriano? No ser avaro, no ser ingenuo. Si algo parece demasiado bueno para ser cierto, probablemente lo es. El problema de la ingeniería social es que se entrega las llaves de la puerta.
El componente de retroalimentación de la máquina
El ser humano en los sistemas hombre máquina ha sido visto simplemente como un elemento de retroalimentación, como una pieza más de la máquina, una pieza que tiene ciertas capacidades cognitivas. Dichas capacidades al servicio del fraude, o la disminución natural del uso de dichas capacidades en virtud del carácter repetitivo de un trabajo, o simplemente la ingenuidad o la avaricia, convierten al ser humano en un potencial elemento de subversión dentro del sistema hombre-máquina. Tratar de negar y forzar algo distinto es ir contra la naturaleza del diseño de la mente humana. Es que la evolución nunca nos diseñó para estar atentos a una naturaleza salvaje que trate de estafarnos.
Así, el ser humano es el eslabón más débil y mientras más seres humanos haya, más posibilidades de brechas de seguridad hay.
El problema ya no radica sólo en la seguridad frente a personas externas, sino internas también. Un porcentaje de miembros dentro de la organización querrán hacer fraude si ven el incentivo correcto. ¿Cómo se reconoce a estas personas con mentalidad criminal? No se puede, la gente es honesta hasta que quiere. ¿Es el ser humano 100% reemplazable? Sería absurdo reemplazar a una persona honesta por convicción, por una habitualmente deshonesta que cubre sus malas andanzas.
Cada persona que retroalimenta la tecnología es vulnerable a perder o entregar sus llaves.
El fraude cuantitativo
Con el fin de contrarrestar este problema, las empresas han diseñado sistemas de métricas de desempeño para asegurarse de que hacen su trabajo. Sin embargo estos sistemas suelen tener debilidades y brechas de seguridad cuando ocurre alguna de las siguientes situaciones:
- Se vuelve posible tirarle los problemas a otros.
- Se vuelve posible manipular o influir en alguna parte del proceso de recolección de información de desempeño.
Normalmente las métricas están orientadas a lo cuantitativo (como los costos, la producción), no a lo cualitativo (la satisfacción del cliente y la calidad) y al tener ese enfoque cuantitativo se olvidan de que los clientes son esenciales para la existencia del negocio, y tanto la calidad como la satisfacción son esenciales. Aunque en el discurso las empresas hablan de "cantidad, pero no descuides la calidad", en la práctica sólo incentivan la cantidad. Y es que precisamente el fraude surge de las deficiencias cualitativas que se pueden explotar.
¿Por qué no se solventan las deficiencias cualitativas? Primero que todo se ocupa que alguien tenga la motivación para mejorar las cosas, normalmente en aspectos que los jefes no sabían que estaban mal. En segundo lugar, mejorar lo cualitativo cuesta dinero, y el resultado es cualitativo en el corto plazo, aunque a largo plazo se refleje en lo cuantitativo, en un ambiente organizacional donde normalmente no se vislumbra causa y efecto. Entonces, lo cualitativo deja de ser la prioridad para las empresas, en virtud de los números.
Así como la avaricia hace vulnerable a una víctima de estafa, así también los problemas cualitativos hace a las empresas vulnerables al fraude. El directivo cuantitativo crea un sistema cualitativo que pierde o entrega las llaves.
La brecha de seguridad de la deslocalización
Los arquitectos de la globalización pensaron muy bien la idea de reemplazar empleados por otros más baratos en otros países, y diseñaron todo para que el traslado sea lo más barato posible, y así se puede reemplazar al recurso humano como si fuera un recurso, un repuesto. Pensaron en el outsourcing para que el CEO pueda ganar dinero tirando los problemas de manejo de personal a terceros. Han logrado manipular e influir la contabilidad, de modo que registran deudas como ingresos, y gastos como inversiones.
Han creado todas las condiciones para que haya una brecha de seguridad. Antes los bancos tenían una fortaleza con guardias de seguridad con protocolos de actuación para cada uno de los empleados de una sucursal. Pero vieron que reemplazar a las personas por máquinas que no desacatan procedimientos era más barato. Y que lo más barato era trasladar el manejo de datos a otros países, y pensaron que poner leyes para sancionar las fallas de seguridad en manejo de información privada o datos de seguro social de empresas era suficiente.
Y piensan que con la tecnología pueden eliminar los problemas de seguridad, cuando los humanos que retroalimentan son seres humanos muy baratos en países con altísima corrupción, que son propensos a perder sus llaves, y que no están acostumbrados a efectuar la difícil tarea de no perder llaves, ni están acostumbrados a ver la honestidad como algo infaltable. Si a eso le sumas la alta rotación, debido a la ausencia de garantías sociales que facilitan los despidos, al final tienes personas que realmente no se identifican, no sienten pertenencia, sino simplemente el sentimiento de que hay un propósito meramente utilitario en ambas partes de la relación laboral, y eso empuja a que gane el bando del mejor postor, si la persona decide no ser honesta.
Es como si anunciaras tu empresa financiera o de manejo de datos, como algo seguro. Pero en realidad tu empresa funciona bajo un cobertizo en una favela de Brasil o en una casucha rentada en India, donde despides a la gente cuando te da la gana y les pagas un salario muy barato. Les dices que se esfuercen y que produzcan mucho con promesas de éxito, y un día simplemente decides irte a otro lugar más barato y les avisas que serán despedidos cuando te vayas. Así funciona la muy segura empresa en el proceso de la deslocalización. Y si la empresa original tenía estándares de seguridad, en la primera o segunda o tercera subcontratación, seguramente esa seguridad ya no existe.
La deslocalización pone el manejo de llaves en manos de cualquiera.
Los hackers
Ah, claro, pero dices que tu tecnología asegura que el proceso es seguro, que los datos son seguros o que el dinero que manejas es seguro. Seguramente pensarás que allí los hackers tendrán miedo de meterse, especialmente si les dices que son sistemas avanzados e imposibles de subvertir. Los hackers lo tomarán como un desafió intelectual y tratarán de batir esa tecnología.
Es como gritar a los cuatro vientos que tienes una grande, pesada y segura caja fuerte con combinación imposible en la diligencia cuyo itinerario todo el mundo conoce. No es muy sabio.
Nunca le digas a un hacker que no puede abrir la puerta. No lo amenaces tampoco, porque el hacker es por excelencia el guardián de la puerta, que opera bajo sus propias reglas.
Lo numérico y lo cualitativo
Lo irónico de todo es que en estos tiempos donde lo importante es lo numérico, el crimen informático va en ascenso, y no es de extrañar, pues mientras más cuantitativos y avaros se vuelven los empresarios, más descuidados e ingenuos se vuelven con lo cualitativo, y la receta mortal de la inseguridad es la ingenuidad y la avaricia, procedente de la alta gerencia.
De este modo, el problema no es exactamente que tengas un recién graduado en India que pierde las llaves a cada rato. El problema es que por andar de avaro e ingenuo, el directivo de la empresa crea las condiciones sistémicas cualitativas de diseño de la compañía para que las puertas queden abiertas y/o las llaves queden por todos lados desatendidas.
La tecnología es una puerta más, y por ende no es 100% efectiva para contrarrestar el problema de la llave y la puerta, en presencia de directivos descuidados que bajaron el costo del cuido de sus llaves, porque lo creyeron innecesario.
Un buen directivo haría un inventario de talentos únicos de sus empleados y les sacaría provecho, crearía un ambiente protector, pero desafiante, y como resultado del esfuerzo bien dirigido y del liderazgo donde entre todos se protegen contra la adversidad trabajando en conjunto, vienen las utilidades.
En el caso contrario, el directivo avaro piensa en el dinero, contrata recursos humanos desechables que se volverán mercenarios bajo su regencia, se enfoca en métricas y deslocaliza su empresa cuando recibe ofertas de gangas en otro lugar. Y mientras tanto piensa que lo cualitativo no existe, porque no es cuantificable, y piensa que el riesgo no existe porque no ha sucedido antes, olvidando que el fraude se aprovecha de lo cualitativo, del mal manejo de las llaves, y aunque el fraude ocupe mucha logística, realmente no ocupa mucha inventiva, porque de seguro ya hace siglos habrán hecho un fraude similar, con los matices de aquellos tiempos.
Y el problema cualitativo sin resolver desde hace siglos es muy fácil. Se trata de un problema de llaves y puertas, que lleva siglos sin resolverse. Resolver el problema es caro y sus resultados de corto son cualitativos. Querer lo cualitativo de la seguridad informática y lo cuantitativo de los bajos costos es como querer estar arriba y abajo a la vez, en una escalera. La escalera imposible.