¿Debería responder a un incidente cibernético? La respuesta no siempre es clara. Pero los investigadores han desarrollado un modelo que debería facilitar la toma de decisiones.
Al ver la película Una mente bella, donde Russell Crowe interpretó a John Nash, un profesor de matemáticas que ganó el Premio Nobel por sus contribuciones a un concepto complejo llamado teoría de juegos, uno nunca adivinaría que una hipótesis de su equilibrio Nash ayudaría algún día a mejorar la estrategia de ciberseguridad.
El equilibrio de Nash es una parte fundamental de la teoría de los juegos y actualmente es el método más utilizado para predecir el resultado de una interacción estratégica. Aunque el término juego se utiliza, está lejos de lo que la mayoría de nosotros consideraría una diversión. Para Nash y otros académicos en este campo, un juego consiste en los siguientes elementos:
- Un conjunto de jugadores
- Un conjunto de acciones (estrategias puras) que están a disposición de cada jugador
- Una función de pago (utilidad) para cada jugador
Este artículo de Economist ayuda a explicar lo que Nash descubrió:
Equilibrio Nash y ciberseguridad
Un aspecto de la ciberseguridad que es difícil de navegar es a quién culpas por un incidente cibernético y, lo que es más importante, ¿es incluso una buena idea culpar a alguien? No es difícil ver que conocer las respuestas a estas preguntas sería beneficioso para las víctimas de un ataque cibernético.
Aquí es donde entra en juego el equilibrio de Nash. Investigadores de la Universidad de Nuevo México e IBM Research, junto con Robert Axelrod de la Universidad de Michigan (famoso por resolver el dilema del prisionero), determinaron que con algunas modificaciones, el equilibrio de Nash podría ayudar a responder las preguntas anteriores.
El juego de la culpa
El equipo publicó sus hallazgos en el artículo de Proceedings of the National Academy of Sciences (PNAS) titulado Strategic aspects of cyber attack, attribution, and blame. El artículo examina cuándo una víctima debe publicar información sobre un ataque cibernético, cuándo debe responder y qué tipo de respuesta es apropiada. Nicole Casal Moore, en este comunicado de prensa de la Universidad de Michigan, dijo: «Los investigadores…. utilizan ejemplos históricos para ilustrar cómo se aplica el modelo del Juego de la Culpa a los casos de conflicto cibernético o tradicional que involucran a Estados Unidos, Rusia, China, Japón, Corea del Norte, Estonia, Israel, Irán y Siria».
En el artículo del PNAS, los investigadores dijeron:
Los investigadores sugirieron entonces que las víctimas actualmente toman decisiones estratégicas basadas en la capacidad de identificar al atacante y si pueden tomar represalias exitosas. Además de ser capaz de culpar y castigar, el modelo de Juego de Culpas del equipo de investigación tiene en cuenta lo siguiente:
- Vulnerabilidad del atacante
- Nivel de conocimiento de la víctima
- Pagos por diferentes resultados
- Creencias de cada jugador sobre su oponente
¿Culpar o no culpar?
Los medios tecnológicos están repletos de noticias de estados nación víctimas, organizaciones públicas y empresas que culpan a una u otra facción de un ataque cibernético. Interesantemente, los investigadores sugieren precaución en este sentido: Señalar con el dedo aumentará las expectativas de que se hará algo. Sin embargo, no siempre es posible tomar represalias. Otra cosa a considerar es si el costo será mayor para nombrar públicamente al atacante o no hacer nada.
Stephanie Forrest, una distinguida profesora de la Universidad de Nuevo México, trae a colación otro buen punto. En este comunicado de prensa de la Universidad de Nuevo México, dijo: «A diferencia de la tecnología nuclear, puede ser extremadamente difícil identificar a la parte responsable de un ataque cibernético, y esto complica la decisión estratégica de cuándo culpar».
El primer paso debe ser….
Es por eso que Axelrod y los otros investigadores creen que el primer paso debería ser determinar si el supuesto atacante es vulnerable. Para ello, la plataforma del Juego de la Culpa ofrece una serie de preguntas que los responsables políticos pueden formular cuando deciden si es factible responder a un ataque cibernético. «La vulnerabilidad se presenta en varias formas», dijo Moore. «Podría significar que una nación es susceptible a un contraataque cibernético. También podría significar que el atacante se encuentra en una posición geopolítica difícil y que ser culpado de una violación cibernética de alto perfil podría ser perjudicial».
Es sólo el comienzo
Al equipo de investigación le preocupa que los ataques cibernéticos no hagan más que aumentar, al igual que la culpa y las represalias. En un intento de calmar las aguas digitales, Axelrod dijo a Moore: «Vale la pena tratar de entender todo lo que podamos sobre los incentivos y la dinámica para que podamos pensar en cómo prevenirlos. Esperamos que nuestro modelo ayude a los políticos a identificar las lagunas en sus conocimientos y a centrarse en estimar los parámetros antes de nuevos ataques cibernéticos».
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves
.
….
Tus pensamientos
¿Ha tenido que lidiar con la decisión de cómo responder a un ataque cibernético? ¿Qué factores influyeron en su decisión? Comparta sus consejos y experiencias con otros miembros de ConsejoTecnologico.com.