martes, 23 de septiembre de 2014

Guerra no tan asimétrica

Tradicionalmente, unos de las características que más les gusta destacar a algunos analistas sobre la ciberguerra es su carácter eminentemente asimétrico.

Una guerra asimétrica es aquella donde el tamaño, los recursos o la estrategia de los contendientes difieren notablemente

El aspecto que más se suele destacar de esta asimetría es la posibilidad de que un contendiente pequeño pero con una fuerza de hacking de élite pueda dañar de forma importante a un oponente mayor, a pesar de la diferencia de tamaños o recursos.

Inicialmente esto se ha dado por sentado y se han aportado múltiples ejemplos (caso HBGary, caso Target, caso Diginotar) para apoyar esta idea, pero a nosotros nos surgen varias dudas.

¿Realmente un oponente pequeño con pocos recursos e inversión puede llegar a tener capacidades suficientes como para dañar de forma notable a uno mayor?

En algunos casos puede ser así y tenemos ejemplos  que lo apoyan, pero puede que esta no sea la norma.

Si analizamos por ejemplo el catálogo de herramientas de inteligencia de la unidad TAO de la NSA salido a la luz recientemente, veremos hasta que punto pueden llegar las capacidades de una organización con abundantes recursos económicos invertidos en seguridad. Estas capacidades pueden llegar a hacer parecer ridículas las capacidades de organizaciones más pequeñas.

En caso de conflicto, una organización con estas capacidades podría “machacar” fácilmente a un oponente menor en la mayoría de frentes.

Como decíamos en el post anterior, muchas veces el tamaño si importa.

¿Realmente la inversión en ciber seguridad de las grandes organizaciones se corresponde a su tamaño?

Los ejemplos que se ponen para demostrar que la ciberguerra es asimétrica, suelen consistir en casos conocidos donde un pequeño grupo ha infligido un grave daño a una gran organización.

Pero, realmente estas grandes organizaciones estaban invirtiendo en seguridad de acorde a su tamaño.

No tenemos cifras detalladas para valorar esto, pero conociendo el sector es probable que en la mayoría de estos casos, estas grandes organizaciones realmente no estaban invirtiendo en seguridad de acorde a su tamaño, o no lo estaban haciendo de manera adecuada.

La asimetría pues no sería tanta. La mayoría de estos casos no serían por tanto realmente ejemplos de un enfrentamiento entre un “David” y un “Goliat”. En la mayoría de casos, el supuesto “David” estaría haciendo una gran inversión en tiempo y personal especializado (que también son costosos) en su enfrentamiento contra un “Goliat” en horas bajas y con más fachada que otra cosa.

No hay comentarios:

Publicar un comentario