AMENAZA, VULNERABILIDAD Y RIESGO:

La evolución constante de las nuevas tecnologías suele generar un gran interés para
quienes las utilizan como eje de su trabajo, lo cual los lleva a tratar de conocer y
aprovechar cada avance y cada nuevo dispositivo que aparece. Por otro lado, el trabajo
diario muchas veces los obliga a focalizarse en la solución de cuestiones específicas,
provocando a menudo la degradación de una visión más amplia de todas las aristas que
acompañan las soluciones que es factible implementar.

En el campo de la seguridad de la información esta realidad se refleja también en la

necesidad de comprender las fallas que se presentan en el día a día, junto a la presión
cotidiana que sienten los profesionales para solucionarlas. Este panorama dificulta la
posibilidad de una visión integral de la protección de la información y los sistemas. Muchas
veces no se dimensionan ciertos conceptos fundamentales como son los de amenaza,
vulnerabilidad y riesgo, los cuales constituyen la base de la gestión de riesgos y de
cualquier programa o actividad que se lleve adelante respecto a la protección de la
información.

En efecto, cualquiera que sea el tamaño, finalidad, complejidad del negocio o de la

plataforma tecnológica, ninguna organización debe desconocer los riesgos que se plantean
para cada uno de los procesos que constituyen su actividad y, una vez identificados, no
debe dejar de gestionarlos. Si esto último ocurriera, irremediablemente se afectaría su
desempeño pudiendo, inclusive, verse obligada a cesar su actividad.

Por consiguiente, y para una efectiva gestión del riesgo, necesariamente deberán conocerse
las situaciones que pueden afectar a la organización, es decir de qué debe protegerse, cuál
es su información y sus recursos críticos, y si las medidas que ha implementado para
preservarlos evitarán o minimizarán cualquier impacto negativo. Al desarrollar su actividad
en un escenario cambiante, el profesional se verá obligado a evaluar  de modo permanente
la situación en la que se encuentra y a asegurarse de que las medidas de protección
establecidas siguen siendo efectivas.

En esta línea, el presente artículo se propone rescatar ciertos conceptos básicos, comprender
sus implicaciones y plantear las relaciones que existen entre ellos, para lograr una gestión
segura de la información.

.Vulnerabilidades

Se establece este concepto de vulnerabilidad en primer lugar en virtud de la dimensión que

ha cobrado en la actualidad. En efecto, las vulnerabilidades se han vuelto una materia en sí
misma, ya que su búsqueda, desarrollo de pruebas de concepto,  explotación y publicación
de las actualizaciones que las corrigen son parte de un ciclo que involucra múltiples actores
interesados, entre los que pueden citarse instituciones académicas, investigadores
independientes, empresas especializadas, gobiernos y hasta organizaciones supranacionales.
Una vulnerabilidad es una debilidad de un bien o de un control, que puede ser aprovechada
por una amenaza. Se trata de una característica negativa del bien, también conocido como
activo o recurso de información, o de un control que se implementó sobre él, que lo hace
vulnerable. En efecto esa vulnerabilidad es susceptible de ser aprovechada y varía de
acuerdo con los cambios en las condiciones que dieron origen a su existencia o a las
acciones que se tomen con el fin de evitar su explotación o aprovechamiento.

De esta definición se desprende que las vulnerabilidades afectan a los bienes de una
organización, pero también pueden darse sobre un procedimiento destinado a protegerlo.
En cada uno de estos casos, corresponderá analizar las posibilidades de que las
vulnerabilidades sean aprovechadas, sus características y su ciclo de vida.

Un caso particular lo constituye el software utilizado masivamente, como por ejemplo las
aplicaciones Web, los sistemas operativos y la ofimática, para el cual el tema de las
vulnerabilidades constituye además una pérdida de confianza en productos y proveedores.
Su origen y las causas por las cuales aparecen, su divulgación, los vectores de ataque, sus
posibles impactos y su alcance, entre otros factores, vuelven al tema complejo y en
continuo avance, resultando motivo tanto de grandes especulaciones como de alarma real
en algunos casos.

En cuanto a las causas, las vulnerabilidades pueden darse por fallas de diseño, por una
codificación deficiente o insegura, por errores en la implementación o por falta de
mantenimiento, entre otros motivos. Cada etapa del desarrollo, implementación y
mantenimiento de una pieza de software es susceptible de poseer una debilidad que es
factible usar para alterar su funcionamiento. Un ejemplo significativo es el protocolo
utilizado para el envío de correos electrónicos, que no fue diseñado pensando en la
seguridad[1] y que provoca que hoy suframos la consecuencia de este problema de diseño,
por citar un caso, cuando se usa para distribuir phishing, suplantando identidades.

Un tipo especial de vulnerabilidad es la conocida como día cero o “zero-day”. Recibe esta
calificación desde el momento en que es descubierta y hay evidencias de que existe un
código que puede aprovecharla, denominado como “exploit”, hasta que se hace
públicamente conocida y el fabricante del producto afectado no la corrige. Mientras no
aparezcan soluciones o medidas de mitigación, este tipo de vulnerabilidades abre una
ventana de tiempo que puede utilizarse para infectar una gran cantidad de sistemas, con una
alta probabilidad de éxito. Esto genera la existencia de un mercado de compra-venta de
vulnerabilidades, en el cual se les asigna un valor monetario.

Las vulnerabilidades que logran ser aprovechadas impactan a usuarios hogareños,

organizaciones gubernamentales y empresas de todo tamaño. Valen como ejemplo los casos
ocurridos en febrero de este año con Java, cuando las redes internas de Facebook, Twitter y
Apple fueron infectadas por código malicioso.

En el campo de la seguridad de la información, el problema de las vulnerabilidades ha dado

lugar a un nuevo escenario. Ya no resultan suficientes las soluciones simples o aisladas sino
que se hace necesario implementar “seguridad en profundidad”, que proteja todos los
activos de acuerdo con su criticidad, y también contemple la capacitación y la
concientización a los empleados sobre las nuevas amenazas.

Respecto a la forma en que se da tratamiento a estas vulnerabilidades, existe un fuerte

debate en el que las partes parecen nunca ponerse de acuerdo, mientras las derivaciones
negativas del mercado de compra-venta de fallas continúa su desarrollo, con consecuencias
negativas para todos los damnificados. Por este motivo, en estos últimos tiempos, varias de
las grandes empresas de TI han implementado programas de incentivos para que se les
reporten los descubrimientos de fallas, demostrando con ello que han entendido el riesgo
que significa que los delincuentes las aprovechen

Cabe mencionar finalmente que otro aspecto, no menor, si bien no tratado específicamente
en este artículo por su complejidad, es el de las vulnerabilidades sobre las personas, de las
cuales se benefician los malhechores a través de la ingeniería social.

.Amenazas

El término amenaza, en contraposición al de vulnerabilidad, requiere pensar los posibles

problemas que nos pueden afectar en un futuro cercano, por lo que plantea un
posicionamiento anterior a un hecho, que representa algún grado de probabilidad de
materializarse. A manera de ejemplos de amenazas reales pueden citarse los virus, los
delincuentes informáticos o las intrusiones.

No existe una terminología uniforme en el campo de la informática al respecto, ya que se

habla de amenazas cibernéticas, ciberamenazas, amenazas a la seguridad de la información
o a la informática. El concepto hace referencia a una situación potencial que supone un
daño para un activo o para un control implementado en una organización, con cierta
probabilidad de ocurrencia. La ITU (International Telecommunication Union) define una
amenaza como una violación potencial a la seguridad y, en ese sentido, para el contexto
informático debe interpretarse para la seguridad de la información.

Dicho lo anterior se aprecia que es un término que generaliza y enuncia los problemas a los
que se encuentra expuesta una organización, a través de los denominados agentes de
amenazas, que son las entidades que aprovechan una vulnerabilidad.

Otra definición es aquella que la caracteriza como cualquier acción o acontecimiento no

deseado e inesperado con la capacidad de ocasionar consecuencias adversas. En este caso,
se habla de ella como origen de un incidente no deseado, que podría causar daños a un
sistema u organización, según la define el estándar ISO/IEC-27002, si cualquiera de ellos
presentara alguna debilidad o falla.

Existen amenazas relacionadas con fallas humanas, catástrofes naturales o ataques

deliberados. Las fallas humanas pueden ser con intención o sin ella, debido a negligencia,
impericia o mal uso. También se clasifican como internas o externas dependiendo de su
origen: desde dentro de la propia organización o desde un punto remoto. Dentro de las
amenazas naturales son ejemplos los terremotos o las inundaciones.
En rigor de la verdad, en el contexto de la interacción de los individuos a través de medios
electrónicos y la diversificación de las tecnologías utilizadas en la actualidad, las
clasificaciones sirven para orientar y segmentar el estudio de los problemas, aunque no
siempre los modelos conceptuales se ajustan a la realidad.

Las amenazas varían en el tiempo. Los factores que contribuyen a un panorama de

amenazas siempre cambiante son el constante crecimiento de la cantidad y el tamaño de las
redes y del número de usuarios interconectados, la profusión de las bases de datos en línea,
la inmadurez de las nuevas tecnologías que se lanzan al mercado sin haber sido probadas en
forma exhaustiva, la alta disponibilidad de herramientas automatizadas de ataque y las
técnicas de ingeniería social.

Los distintos escenarios que plantean las amenazas deben contemplarse dentro de planes de
continuidad del negocio y siempre deben identificarse y estimarse debidamente al gestionar
los riesgos.

.Riesgo

La materialización de una amenaza que aprovecha una vulnerabilidad expone a las

organizaciones y sus sistemas informáticos a lo que se conoce como riesgo. El riesgo puede
ser definido como la posibilidad de que algo que ocurra impacte negativamente sobre la
información o sobre los recursos para gestionarla. La Norma ISO/IEC-27002 lo define
como la combinación de la probabilidad de ocurrencia de un determinado hecho y sus
consecuencias. La probabilidad de ocurrencia es el producto del análisis sobre datos
históricos respecto a cuántas veces sucedió un hecho similar en un periodo de tiempo que
se tomará como unidad. Se entiende por consecuencias, el impacto, es decir, los hechos o
acontecimientos que resultan de uno o varios eventos evaluados para esa organización.

La determinación de la probabilidad de ocurrencia y la valoración del impacto tienen lugar

en el proceso de gestión del riesgo, que dará como producto la decisión de distribuir o
aplicar los controles, sobre la base de una ecuación de costo/beneficio, dando como
resultado la determinación del nivel de riesgo aceptable y la identificación del riesgo a
mitigar.

Los riesgos en las organizaciones pueden ser de todo tipo: ambientales, de mercado,
financieros, estratégicos, operacionales, de cumplimiento, etcétera. Los riesgos vinculados
al uso de tecnologías de información son transversales a todos.

Frente a estos, deben aplicarse controles, entendidos como cualquier medida, que permita
prevenir, detectar o minimizar el riesgo asociado con la ocurrencia de una amenaza
específica. Se trata de medidas dirigidas a producir un efecto sobre la probabilidad de
ocurrencia de una amenaza determinada o sobre su impacto.

Los controles pueden ser de naturaleza técnica, de gestión o legal, de acuerdo con la
definición dada en la Norma ISO/IEC antes citada.
En el rubro de controles técnicos, el mercado de software y de equipamiento es basto, y los
ajustes para su puesta en marcha deben además efectuarse acorde a estándares de seguridad,
que muchas veces brindan los fabricantes o las buenas prácticas de organizaciones
especializadas como OWASP (The Open Web Applications Security Project), por citar un
ejemplo.

Para los aspectos funcionales, la industria brinda hoy normas que ayudan a identificar y
mitigar muchos de los riesgos, así como certificaciones para profesionales interesados en
aspectos particulares. Sin embargo, el punto a resaltar es que más allá de los múltiples
enfoques es importante no perder una visión global.

En efecto, la visión estratégica de la seguridad debe ser reflejada en herramientas aplicadas

de manera planificada con objetivos claros y revisados de manera periódica, para que sean
implementadas en los procesos de toda la organización. Estos procesos se definen como
aquellos que buscan la identificación y evaluación de los riesgos, así como también adoptar
los pasos para su reducción a un nivel aceptable y devendrán en programas que serán la
base para la adopción de medidas de gestión, controles técnicos, procedimentales y
normativos, que mitiguen los riesgos a los que se encuentra expuesta la información.

.Interacción entre vulnerabilidades, amenazas y riesgos

El cuadro precedente muestra en forma gráfica la interacción entre los distintos elementos
analizados. Vemos que las amenazas se vinculan con causas potenciales con posible
impacto negativo sobre la información, en la medida en que los bienes a los que sea factible
que afecten posean debilidades o se registren fallas en los controles que los protegen. Este
último concepto se resume en el término vulnerabilidad, que al ser explotada por la
amenaza expone a la organización al riesgo. Dicho riesgo surgirá del análisis de su
probabilidad de ocurrencia y del impacto sobre el bien a proteger.

Este esquema en constante cambio por la incorporación de nuevos bienes, la aparición de

amenazas y el descubrimiento de vulnerabilidades requiere la constante atención del
profesional dedicado a la seguridad de la información y plantea un desafío permanente para
el logro de una protección efectiva de la información.

Conclusión

El escenario en el que hoy desarrollan su actividad las organizaciones presenta múltiples

amenazas de características cambiantes. Algunas son preexistentes y otras surgen a partir
de nuevos avances.  Por otra parte, muchos productos en el mercado tecnológico se liberan
para su venta sin una adecuada verificación de su seguridad. Esta peligrosa combinación
requiere una permanente consideración de las vulnerabilidades que puedan afectar la
información y los recursos que la gestionan. Lo cierto es que el riesgo en las organizaciones
aparece desde el momento en que inician sus actividades. A lo largo de su existencia
podrán identificarse y reducirse pero nunca se eliminarán en su totalidad. Es por ello que
puede afirmarse que las organizaciones se encuentran siempre en riesgo, en mayor o menor
medida, cuando aprovechan los beneficios de las tecnologías de la información.

Por consiguiente, el profesional que se dedica a cualquiera de las áreas de la seguridad de la

información deberá tener en cuenta estos conceptos frente a cada paso que dé, identificando
las amenazas, las vulnerabilidades y riesgos que afectan a los procesos en los que se
desempeña, para así estar en condiciones de definir los controles a implementar. Esta
responsabilidad no debe evadirse para cumplir adecuadamente su tarea.

Finalmente, cabe agregar que la seguridad no es un concepto del que se pueda hablar en
términos absolutos. En materia informática se presenta una situación particular, dado que se
requiere aplicar un conocimiento técnico y funcional muy específico y nuevo, en
comparación con otras disciplinas. La diversidad de plataformas, la masividad de las
aplicaciones, el crecimiento de las tecnologías móviles y la interacción social de los
individuos en Internet se establecen hoy como características que afectan desde el punto de
vista de la seguridad a las organizaciones modernas a lo largo de toda su actividad. Sin
embargo, la buena noticia es que en la actualidad existen herramientas como la gestión de
riesgos, que permiten entender aquellas situaciones que pueden causar un daño real sobre la
información, redes y procesos, y que brindan una adecuada protección. No es tan simple
como incorporar un equipo o una pieza de software, pero el esfuerzo vale la pena.