lunes, 14 de marzo de 2011

OPSEC en los tiempos de la web 2.0

En términos militares se conoce como OPSEC (Seguridad de las operaciones) al proceso que identifica si las acciones propias pueden ser observadas por los sistemas de la inteligencia del adversario, con el fin de determinar si la información obtenida que se podría interpretar de ella puede ser útil, y después determina las medidas que eliminan o reducen la explotación del adversario de la información propia.

El concepto moderno de OPSEC nació durante la guerra de Vietnam al observar las fuerzas armadas norteamericanas que algunas de sus operaciones no tenían el éxito esperado, por ejemplo cuando una zona iba a ser bombardeada o ocupada el enemigo desaparecía misteriosamente, era como si el Vietcong conociera de antemano las intenciones norteamericanas. Descartada la posibilidad de que el enemigo estuviera descifrando las comunicaciones o que contara con espías de suficiente nivel se llego a la conclusión de que deducía el lugar y momento de las operaciones de la información que las propias fuerzas revelaban de forma inadvertida. Dicho de otro modo, pequeños fragmentos de información aparentemente inocua eran combinados para predecir las operaciones militares. Un programa con nombre en código Purple Dragon confirmo esta posibilidad, implementadas las medidas recomendadas por dicho estudio la efectividad de las operaciones mejoro de forma sustancial. Por esta razón histórica las unidades militares dedicadas a OPSEC suelen utilizar un dragón purpura como parte de sus emblemas. (PURPLE DRAGON: The Origin and Development of the United States OPSEC Program)


Un ejemplo clásico de OPSEC consiste en, pongamos por ejemplo, determinar el estado una organización simplemente observando el parking si este es visible desde el exterior. Variables como si han aumentado el tiempo que las plazas permanecen ocupadas durante la jornada laboral o especialmente fuera de la misma durante la noche o días festivos, pueden revelar una situación de alerta o trabajo por encima de lo normal.

Un problema para la implementación de una política OPSEC es determinar qué datos resulta peligroso que sean expuestos y cuáles no, o cuales es inevitable que puedan ser observados. Normalmente se trata de información que no está clasificada y es muy difícil marcar el limite. Un excesivo secretismo, compartimentalización, etc. pueden en ocasiones ser perjudiciales en cuanto que ralentizan las operaciones, impiden los trabajos normales o obstaculiza la normal comunicación interna y externa de la organización.

Y esto nos lleva a nuestro actual mundo de redes sociales como twitter o facebook. Muchos miembros de fuerzas armadas, fuerzas y cuerpos de seguridad del estado, empleados del sector de la defensa, etc. participan en este tipo de sitios o en foros tradicionales, ya sean de temática general o de temática específicamente militar. La mayoría actúan siguiendo los principios de OPSEC cuando no de simple sentido común y no suelen revelar información critica, pero como hemos visto en ocasiones no es necesario descubrir directamente los secretos, un análisis cuidadoso de otros indicadores puede revelar información útil en el ámbito militar o de seguridad interior: ya sea en operaciones en marcha, o de capacidades de los sistemas propios.

Un perfecto ejemplo sería el caso de Dozerf22 , apodo usado en un foro de aviación por un teniente coronel y piloto de F22 , el más moderno caza furtivo de la USAF. Este militar fue investigado por haber realizado más de 300 post, respondiendo a preguntas de todo tipo sobre capacidades y funcionamiento del avión.


En una ironia del destino, un estudio interno de OPSEC sobre este caso, "CyberOPSEC: An F22 Case study", en el que se le ponía como ejemplo a no seguir, y que no estaba pensada para ser revelado públicamente, acabo publicado en internet.

No hay comentarios:

Publicar un comentario en la entrada