La dimensión humana durante un ciberataque

Autor:
Ricardo Naranjo Faccini
Fecha de publicación:
Wednesday 21 August 2024
Tema:
Seguridad de la información, seguridad informática y cibernética
Revisado por :
Ricardo Naranjo Faccini
(Wednesday 21 August 2024)
La dimensión humana durante un ciberataque

Resumen

Este artículo ofrece una narración que entrelaza la técnica de la gestión de incidentes de ciberseguridad con un enfoque profundamente humano. La historia, basada en hechos reales, parodiados y caricaturizados, sigue a una CISO (Chief Information Security Officer) en Colombia, quien enfrenta una crisis de ransomware en una entidad compleja y diversa, abarcando sectores como la educación, hotelería y salud.

La trama se despliega durante un fin de semana crítico, donde la CISO y su equipo deben navegar la crisis bajo una presión inmensa, enfrentando no solo las dificultades técnicas, sino también los desafíos emocionales y psicológicos que surgen en momentos de alta tensión. La narrativa muestra cómo las personalidades del equipo cambian bajo el estrés, la importancia de la comunicación efectiva y cómo la cultura organizacional puede influir en la respuesta a un incidente. Además, se exploran las dificultades que surgen al lidiar con proveedores externos, la presión de los medios de comunicación y las dinámicas familiares en medio de una crisis de seguridad.

El capítulo culmina con una reflexión sobre las lecciones aprendidas, destacando la importancia de la preparación, la gestión emocional y la toma de decisiones rápidas y efectivas en la ciberseguridad. Esta narrativa no solo revela los aspectos técnicos de la gestión de incidentes, sino que también humaniza la experiencia, mostrando que detrás de cada decisión y cada acción en una crisis cibernética, hay seres humanos con miedos, esperanzas y responsabilidades.


1. La dimensión humana del SOC

1.a) Es viernes y el atacante lo sabe

El silencio de la madrugada en la ciudad era absoluto, interrumpido solo por el zumbido sordo del frío aire bogotano y el lejano rumor de algún automóvil que pasaba por la avenida desierta. Claudia, la CISO de una de las mayores entidades de servicios en Colombia, dormía profundamente cuando su teléfono sonó, cortando el silencio con una urgencia que helaba la sangre. Miró la hora: 3:00 a.m. Era viernes, el comienzo de un fin de semana de puente con la celebración del Día del Padre, pero para Claudia, sería el inicio de una odisea que nunca podría haber anticipado.

El hotel en la costa había reportado problemas al intentar sincronizarse con la base de datos central. Los archivos estaban siendo cifrados. Sin siquiera saber el alcance o el impacto real, Claudia ya sentía el peso de la crisis caer sobre sus hombros. Sabía que estos ataques habían sucedido recientemente en entidades del sector económico, ya se había anticipado, había escrito planes de respuesta a incidentes y continuidad de la información meticulosos. Pero en esos primeros momentos, se sintió como si todos esos años de preparación fueran un mero ejercicio teórico y afloraba la incertidumbre con la pregunta ¿funcionará el plan? ¿quien asumirá la responsabilidad de los daños y pérdidas? ¿su empleo estaba en juego?. No había tiempo para dudas; el enemigo estaba dentro.

A las cinco de la mañana ya estaba en su oficina, el centro neurálgico donde se dirigiría la batalla contra el ataque. A las diez, se reunió con los directivos de la entidad para el comité de crisis. Aun sin una imagen clara de lo que enfrentaban, la decisión fue firme: se basarían en la transparencia. Habían sido atacados y lo comunicarían al público. Con el corazón encogido, Claudia se reunió con el equipo de comunicaciones para explicar elo que se iba a publicar y continuó con sus labores para que ellos se encargaran de redactar el primer boletín de noticias. Pero la mala fortuna, en su ironía amarga, los traicionó. El comunicado fue malinterpretado por la prensa, que al replicar la noticia informaba erróneamente que el servicio de salud había sido comprometido. En realidad, ese servicio permanecía intacto, pero el ataque afectó al resto de los sistemas, alcanzando el 70% de los activos de información.

No había tiempo para correcciones. La contención del incidente era la prioridad. Claudia sabía que sus equipos enfrentarían jornadas extenuantes y con el equipo de atención a crisis organizaron tanto turnos de trabajo como descansos. Pero los problemas humanos, esos que no están en ningún manual, comenzaron a surgir de inmediato. Los empleados, desestimando las órdenes de apagar los equipos, seguían trabajando con ellos, inclusive recibió una llamada informándo que se encontró a una persona escondida con su portátil bajo su escritorio, ignorando que al hacerlo, ponían en peligro todo lo que quedaba en pie. La indisciplina que caracteriza a la cultura latinoamericana y el sentimiento del deber cumplir con las metas, en un equipo de 10.000 funcionarios, se convirtió en un enemigo invisible. Claudia tomó la decisión de desconectar físicamente las subredes, llamando al personal de vigilancia física en cada edificio para que desconectaran los cables de red de cada uno de los equipos y poner bajo custodia cada uno de los portátiles encontrados en las oficinas de todo el país, con la esperanza de frenar el potencial avance del ransomware.

El edificio administrativo fue cerrado para evitar que los problemas menores distrajeran al equipo de respuesta, una decisión que dejó a muchos empleados sorprendidos y frustrados. Pero Claudia sabía que no podían permitirse ni una distracción. En medio de la tensión, emergieron realidades inesperadas entre su equipo. Aquellos que siempre habían sido fuertes y confiables, ahora estaban en pánico; otros, en cambio, callados y poco visibles en el día a día, se revelaron como los más sólidos, brindando las ideas más valiosas.

El software de hotelería y los puntos de venta, afortunadamente, funcionaban de forma autónoma durante un tiempo antes de requerir la sincronización, permitiendo a la entidad operar en un momento crítico para su supervivencia económica. Pero Claudia sabía que no podrían superar esta crisis solos. Los proveedores de atención a incidentes y forense digital fueron contactados y aquí la vulnerabilidad económica del ataque mostró su cara. Los precios exorbitantes, la desconfianza hacia supuestos expertos que se ofrecían con soluciones mágicas, que podrían ser el mismo atacante buscando información u otra puerta de entrada y la desesperación por encontrar a alguien en quien confiar hicieron que Claudia sintiera que caminaba por un campo minado. Por fortuna un proveedor acudió en su ayuda, seguramente pensando en afianzar una relación futura, actuó como un verdadero aliado, comprendiendo su situación y sin oportunismos, sin contrato ni pagos anticipados.

A mitad del día, los bancos activaron sus propios protocolos de seguridad cuando un cliente reportaba estar bajo ciberataque, las cuentas bancarias de la entidad fueron congeladas. Sin liquidez, la situación se tornó aún más crítica, no sólo para el área de seguridad sino para toda la organización. El estrés y la presión eran indescriptibles. Claudia sentía que su vida entera había sido una preparación para este momento, pero ahora, en el centro de la tormenta, se preguntaba si realmente estaba lista. Los documentos de respuesta a incidentes, cuidadosamente redactados, estaban ahí, pero no había tiempo de revisarlos. Todo lo que quedaba era su instinto y los años de experiencia que la habían traído hasta aquí, con la fortuna de que, siendo su equipo el que, bajo su liderazgo había redactado ésa documentación, todos tenían en su mente lo más importante.

El viernes por la noche, llegó a casa a las once, solo para ver el ataque en primera plana en las noticias. La crisis que intentaba contener en su oficina ahora era un espectáculo nacional. No durmió esa noche. Los pensamientos de todo lo que podía salir mal la mantenían despierta, la incertidumbre pesaba más que el cansancio físico.

1.b) Un sábado con una luz de esperanza

El sábado, con la crisis aún en plena marcha, Claudia cumplió con su deber familiar, llevando a su hija al colegio antes de regresar al campo de batalla. Fue un día de pequeños milagros: los backups no habían sido comprometidos. Era un rayo de esperanza en medio de la tormenta, una señal de que, tal vez, podían salir de esta.

A medida que la situación se estabilizaba, Claudia comenzó a ver con más claridad. Su estilo de liderazgo, siempre conciliador y negociador que dentro de los límites del respeto imponía la disciplina, había forjado lazos de apoyo que ahora daban sus frutos. Los funcionarios, que antes veían a la seguridad como una carga, ahora enviaban mensajes de ánimo, ofreciendo su ayuda en lo que fuera necesario.

El proveedor de informática forense, ya familiarizado con la situación, le recordó a Claudia que las decisiones críticas debían ser tomadas. Este llamado a la responsabilidad la sacudió del pánico. No podía seguir dejando que otros llevaran el timón; ella era la capitana de este barco en llamas y era su deber llevarlo a puerto seguro.

1.c) El día del padre

El domingo, día del padre, cuando acostumbraba departir con su familia en la calidez de su hogar, la realidad de la crisis se manifestó en pequeños detalles, como las cajas de la comida rápida, el menú de su equipo durante la crisis, apiladas y los baños desatendidos. En la vorágine, había olvidado coordinar el apoyo del personal de servicios generales. Afortunadamente, desde el centro de atención en salud, no sólo se quedaron en mensajes de apoyo, le enviaron parte de su personal de servicios como ayuda para mantener el lugar habitable y mantener el confort del personal, que estaba revisando, saneando y recuperando, uno a uno todos los equipos, desde los servidores hasta los portátiles; largas jornadas y turnos desgastantes. Ellos, siempre pensando en la salud, no sólo enviaron personal de servicios generales, también enviaron fisioterapeutas para que el equipo de recuperación pudiera tener un eventual masaje que le brindara un impulso para continuar con sus labores. No era algo que se mencionara en los manuales, pero ahora Claudia entendía que en una crisis, todo, absolutamente todo, importaba.

El lunes llegó con una extraña calma. Los directivos no habían mostrado mucha preocupación; probablemente estaban celebrando el Día del Padre, ajenos al caos que se desataba bajo la superficie. Claudia los convocó a un comité de crisis, anticipando los problemas que aparecerían al reinicio de las actividades el martes. Pero antes, uno de sus colegas la detuvo: "No has dormido bien en tres días. Se te nota. Ve al baño, péinate, maquíllate. Tienes que transmitir confianza." Entró al baño, miró su reflejo y por un momento, se sintió ajena a sí misma. ¿Cómo había llegado hasta aquí?

Mientras se tomaba un momento para sí, dos empleadas entraron al baño, sin notar su presencia. "Dicen que los delincuentes pidieron un millón de dólares y que los van a pagar", murmuró una. Claudia sintió un nudo en el estómago. Sabía que los rumores podían ser tan dañinos como el propio ataque. Decidió esperar a que salieran antes de hacerlo ella. No quería enfrentarse a más incertidumbre, ya tenía suficiente.

1.d) La continuidad del negocio

Finalmente, tras una semana agotadora, los sistemas fueron restaurados y la entidad volvió a funcionar. El informe forense confirmó que el sistema de alarmas había funcionado, pero un pequeño error humano, una llamada no contestada, había interrumpido el proceso, el funcionario tomó la decisión de marcar un falso positivo el cual desencadenó todo. Los bancos liberaron las cuentas y aunque las autoridades no insinuaron negligencia, Claudia sintió que más que víctimas, los trataban como sospechosos.

Tras lograr salir adelante y tener todo en orden, mes y medio después, cuando un transformador eléctrico estalló, dejando sin energía al datacenter, Claudia sintió que la paranoia la consumía. Envió personal al sitio, solo para asegurarse de que no era otro ataque. El daño fue real, un incidente desafortunado, pero después de todo lo vivido, la sombra de la desconfianza la seguía de cerca.

Claudia había sobrevivido a la crisis, pero sabía que las cicatrices de esa semana quedarían con ella y su equipo para siempre. Había aprendido que la preparación era esencial, pero que la verdadera prueba venía en la ejecución, en los detalles más pequeños y en la resistencia para mantener la cabeza fría y proyectar confianza en tu equipo, aún cuando el mundo a tu alrededor parecía arder.

2. 10 Lecciones Aprendidas

A pesar de que la mayoría de la literatura técnica, las buenas prácticas, y los estándares internacionales se centran en procedimientos y tecnologías, rara vez abordan la complejidad de trabajar con personas en momentos de crisis. La realidad es que, en el corazón de cada incidente, están los seres humanos, con sus emociones, reacciones y limitaciones. Este factor, tan crucial y al mismo tiempo tan difícil de encontrar en manuales y normas, puede marcar la diferencia entre una respuesta efectiva y un colapso organizacional.

  1. La Resiliencia bajo Presión: La gestión de una crisis cibernética no solo pone a prueba las capacidades técnicas, sino también la resistencia emocional y psicológica del equipo. La preparación técnica debe ir acompañada de una preparación emocional. Los líderes deben estar listos para enfrentar no solo el ataque, sino también el impacto que este tiene en las personas a su cargo.

  2. La Importancia de la Transparencia y la Comunicación: La decisión de mantener la transparencia es clave, pero debe manejarse con extremo cuidado. La desinformación y los errores en la comunicación pueden amplificar la crisis, generando pánico y desconfianza tanto dentro como fuera de la organización.

  3. El Valor de la Colaboración y la Confianza en el Equipo: En una crisis, es común que algunas personas muestren una fortaleza inesperada mientras otras sucumben al estrés. Un líder debe ser capaz de identificar rápidamente estas dinámicas y apoyar a su equipo, delegando según las capacidades demostradas en el momento.

  4. Preparación Integral más allá del Manual: Los planes de respuesta a incidentes son vitales, pero la capacidad de adaptarse a lo imprevisto es igual de importante. La crisis real rara vez se desarrolla exactamente como está escrita en los manuales, por lo que la improvisación y el pensamiento crítico son habilidades indispensables.

  5. La Gestión de Recursos Humanos en la Crisis: Detalles aparentemente insignificantes, como la limpieza o la comida, pueden tener un gran impacto en el bienestar y la eficiencia del equipo durante una crisis prolongada. Un líder debe anticipar estas necesidades y asegurarse de que el equipo esté bien cuidado.

  6. La Gestión de las Relaciones Internas: Cultivar relaciones sólidas con el equipo, sensibilizar al personal y negociar para alcanzar acuerdos que protejan la seguridad de la información mientras se impone disciplina con respeto, permite al CISO ganarse su autoridad en lugar de simplemente ejercerla. Estas relaciones se convierten en un pilar fundamental durante las crisis, cuando el apoyo y la solidaridad de los compañeros se vuelven esenciales en los momentos de mayor presión psicológica.

  7. La Imagen y la Percepción: En momentos de crisis, la percepción de control y confianza es crucial. Los líderes deben ser conscientes de cómo su comportamiento y apariencia pueden influir en la moral del equipo y la confianza de la alta dirección.

  8. La Importancia de la Planificación Financiera: La crisis puede ser exacerbada por problemas financieros, como la congelación de cuentas. Es fundamental tener un plan financiero que contemple la necesidad de liquidez en situaciones de emergencia.

  9. El Miedo Residual y la Paranoia: Tras una crisis, es normal que quede una sensación de inseguridad o paranoia. Es responsabilidad del líder ayudar a su equipo a recuperar la confianza y aprender de la experiencia, sin permitir que el miedo paralice la organización.

  10. La experiencia no se improvisa: La preparación que brinda la académia y las certificaciones que pueda obtener un oficial de seguridad de la información son una pieza fundamental para demostrar la calidad de la persona para ocupar el cargo. Sin embargo, enfrentar crisis, bien sea superándolas o fracasando, le brinda al profesional una visión estratégica invaluable que no se consigue en los libros.

Estas lecciones subrayan que, en la seguridad de la información, los aspectos técnicos y humanos están profundamente entrelazados. Un líder efectivo debe navegar ambos con igual destreza, sabiendo que la verdadera prueba no solo es la de los sistemas, sino la del espíritu humano.

Disclamer

Los hechos relatados en este artículo están basados en un incidente real de seguridad de la información. Si bien no se mencionan nombres de personas ni de entidades para proteger su privacidad y confidencialidad, el suceso descrito ocurrió de manera muy similar a como se narra aquí. Los detalles han sido presentados de forma general para ilustrar las complejidades y desafíos que enfrentan los profesionales de la seguridad cibernética en situaciones críticas.

Licencia

 
La dimensión humana durante un ciberataque está bajo una licencia de Creative Commons Reconocimiento-CompartirIgual 4.0 Internacional.

Ricardo Naranjo Faccini

Ricardo Naranjo Faccini Desarrollador WWW

Nació en Barranquilla, Atl, Colombia el 14 de enero de 1971

  • Magíster en Ingeniería de Sistemas y Computación de la Universidad de Los Andes 1998
  • Ingeniero Civil de la Universidad de Los Andes 1995
  • Diplomado en docencia en Ingeniería de la Pontificia Universidad Javeriana 2008
  • Gerente de la firma Skina IT Solutions, su gestión ha llevado a la empresa al nivel de exportación de software. Experto en calidad en el desarrollo de software con énfasis en el uso de herramientas libres orientadas hacia WWW.
  • CTO de AuthorsGlobe, empresa participante en el MIT 100K, elegida como parte del "TOP 10" entre 300 proyectos presentados en este concurso del Massachussets Institute of Technology MIT.
  • Durante el periodo 2004-2005 se desempeñó como Gerente de desarrollo de negocios NOVELL en Nexsys de Colombia.
  • Ejerce docencia como catedrático en la Universidad Javeriana, al igual que lo ha realizado en la Universidad de Los Andes, Universidad de Manizales y Universidad autónoma de Bucaramanga.
  • Comprometido con la divulgación del software libre y su aplicación en Colombia, ha dictado más de 60 conferencias en todo el país, co-fundador de LinuxCol, la primera comunidad de usuarios de Linux en Colombia.
  • Colaborador del grupo ACIS-Linux.

Calle 95 #47-33 int 8

Calle 95 #47-33 int 8, Bogotá, Colombia

Tel: +57 300 214 6210

ventas@skinait.com

Desarrollado por Skina IT Solutions