Los grandes retos de la ciberseguridad
El futuro de la seguridad digital depende de trabajar junto a campos como la estadística y el análisis de riesgos
Desde sus principios, una de las preocupaciones fundamentales de la humanidad ha sido su seguridad, bien reflejada en la pirámide de motivaciones de Maslow. Inicialmente, la especie humana debía protegerse de sus depredadores y de fenómenos meteorológicos y geológicos extremos. Con su progreso, ahora espera seguridad, además, frente a amenazas asociadas a fenómenos como el terrorismo, la energía nuclear, o los accidentes aéreos. Entre ellas, la ciberseguridad emerge de forma clara como amenaza principal.
En la actualidad, la gran mayoría de organizaciones, se ven impactadas de forma crítica por ciberamenazas. Incluso los procesos electorales pueden verse afectados. Hace poco, la noticia del ataque del WannaCry inundó las páginas de los periódicos. Días después, un artículo publicado en EL PAÍS describía cómo los ciberataques a infraestructuras se han multiplicado en los dos últimos años. El propio Mapa de Riesgos Globales, elaborado por el World Economic Forum, identifica entre las principales amenazas algunas referidas a ciberseguridad.
Las matemáticas pueden contribuir a desarrollar sociedades más ciberseguras de diferentes maneras, por ejemplo, diseñando modelos para la criptografía, la biometría de seguridad o la detección de intrusos en redes. Otra manera es ayudando al diseño y desarrollo de un mercado de seguros contra ciberamenazas. El análisis de ciberriesgos permite cuantificar el nivel de riesgo, identificar las principales ciberamenazas y vulnerabilidades, así como las salvaguardas que debe implantar cada organización para reducir la materialización de incidencias, reduciendo su verosimilitud y mitigando el impacto de las mismas. Así, los impactos negativos de las amenazas pueden gestionarse reduciéndose al menor nivel posible.
Existen ya marcos de análisis de riesgos en ciberseguridad, y para su evaluación, control y cumplimiento, como el de la ISO27001. Sin embargo, se suelen basar en las denominadas matrices de riesgo, que asocian diferentes valores de riesgo a los posibles eventos, para su gestión que, aunque se usen con gran profusión, han recibido fuertes críticas por diversos autores, pues conducen a soluciones que no terminan de ser óptimas, las llamadas asignaciones de recursos de seguridad subóptimas. Además, no suelen prestar atención al hecho fundamental que algunas ciberamenazas son de naturaleza intencionada. Frente a ello, en el proyecto H2020 CYBECO, Supporting Cyberinsurance from a Behavioural Choice Perspective, se proponen nuevos modelos más potentes, que incluirán métodos más avanzados de análisis de riesgos y de la economía experimental y del comportamiento.
Desde principios de este siglo, el incremento del terrorismo a gran escala ha motivado la creación de un nuevo campo: el análisis de riesgo adversarios, que se enfatiza en la presencia de adversarios inteligentes
Como las empresas o individuos atacados no suelen compartir sus datos de ataques recibidos, hay una falta de datos sobre ciberriesgos. Para paliarlo, se propone la utilización de simulación y de una técnica llamada juicios estructurados de expertos. Para los modelos y simulaciones se considera no solo la existencia de ciberriesgos aleatorios, como la infección fortuita con un virus, sino también la de sucesos intencionados, asociados a la ciberdelincuencia y el ciberterrorismo, con ayuda del análisis de riesgos adversarios. Además, se incluye el diseño de instrumentos de transferencia de ciberriesgos, los llamados ciberseguros, que tímidamente comienzan su andar en Europa y son necesarios para crear un ciberespacio más seguro, nuestro gran objetivo final.
Estas son algunas de las consideraciones necesarias para enfrentarnos a los nuevos riesgos que aparecen en Internet, y que permitirán adaptar la teoría del análisis de riesgos, tan útil a lo largo de la historia. Esta disciplina surgió de la necesidad del sector de los seguros de hacer predicciones sobre los sucesos asegurados y sus consecuencias. Tras los éxitos en la II Guerra Mundial de la Investigación Operativa, el análisis de riesgos se vio fuertemente influenciado por las Ciencias de la Decisión. En los años setenta, la industria nuclear y militar y la ingeniería aeroespacial cimentaron el aumento de interés por el análisis de riesgos en el estudio de la seguridad en sistemas. Al inicio de los años ochenta, Stanley Kaplan y John Garrick hicieron un importante avance en la gestión de riesgos: una vez identificados y evaluados los mismos, es posible evitar ciertas pérdidas y minimizar el impacto de otras; así, el coste del riesgo puede gestionarse y reducirse a su nivel mínimo. Desde principios de este siglo, el incremento de acciones terroristas a gran escala ha motivado la creación de un nuevo campo: el análisis de riesgo adversarios, que pone el énfasis en la presencia de adversarios inteligentes, combinando el análisis de riesgos con aportaciones de disciplinas afines a la teoría de juegos y la economía del comportamiento. Se trata ahora, pues, de adaptar todas estas ideas a la realidad del mundo digital.
David Ríos es AXA-ICMAT Chair y Numerario de la Real Academia de Ciencias.
José Vila es responsable de la Cátedra Devstat-Universidad de Valencia y Profesor Titular de la Universidad de Valencia.
Café y Teoremas es una sección dedicada a las matemáticas y al entorno en el que se crean, coordinado por el Instituto de Ciencias Matemáticas (ICMAT), en la que los investigadores y miembros del centro describen los últimos avances de esta disciplina, comparten puntos de encuentro entre las matemáticas y otras expresiones sociales y culturales, y recuerdan a quienes marcaron su desarrollo y supieron transformar café en teoremas. El nombre evoca la definición del matemático húngaro Alfred Rényi: “Un matemático es una máquina que transforma café en teoremas”.
