La organización falla en el análisis de su entorno interno y externo, alineado con sus objetivos de negocio.
La organización no es capaz de encajar las piezas de información recolectadas de varios puntos de la misma, para analizarla y establecer posibles amenazas.
La empresa no incentiva a los analistas o personas en posiciones claves para adelantar los análisis requeridos de información
La comunidad empresarial no preserva la memoria de fallas anteriores y las aproximaciones establecidas para evitarlas.
La organización no hace un ejercicio consciente para desaprender de lo ocurrido, como una manera de repensar sus acciones anteriores y desarrollar un diseño ideal de inteligencia que le permite construir e influir el futuro cercano. (las cursivas están fuera del texto original).

Cuando se advierten amenazas emergentes, las cuales están sustentadas en información procesada y analizada, basada en los objetivos y tendencias verificadas, y éstas no corresponden al modelo de creencias y valores del que toma decisiones, sencillamente son ignoradas.

En razón a lo anterior, el cibercrimen y el ciberterrorismo se convierten en sorpresas predecibles que constantemente nos envían mensajes de su presencia, que sistemáticamente evadimos o ignoramos, aun teniendo elementos para evidenciar su presencia. Mientras no reconozcamos en la inseguridad de la información la fuente permanente de las fallas y fuente misma para aprender de la mente del terrorista o del intruso, estaremos avocados a enfrentar situaciones que pudimos haber prevenido y que ahora sólo debemos controlar o tratar.

“Las indicaciones y los avisos de que el terrorismo está evolucionando hacia un mayor uso de las tácticas del ciberterrorismo están ahí, si las queremos reconocer. La única pregunta que queda por responder es si los estados actuarán antes de que sea tarde. Desde ahora, en todo el mundo todos los días son el 10 de septiembre” (adaptado de: VERTON 2004, pág. 258).

De manera complementaria a lo anteriormente expuesto, podemos afirmar que con los constantes descubrimientos de vulnerabilidades (falla de día cero) y la inevitabilidad de la falla de los sistemas, un atacante o intruso se tomará algunas horas, para materializar su actividad criminal, mientras que una investigación de lo que ocurrió, puede tomar semanas, meses o años.

Ante este panorama, las estrategias de los estados, organizaciones e individuos deben orientarse a desarrollar sistemas de inteligencia estratégica de información ( KHALSA 2004, CLARK 2004 ) en la industria, academia y gobierno de tal forma que puedan formular un sistema de simulación de escenarios previsibles, que preparen a todos los involucrados en los esquemas de contención y reacción ante una situación de falla parcial o total. Estamos en medio de un sistema emergente altamente conectado e integrado, donde el concepto de territorialidad y límites de las naciones se hace difuso, que ante una falla de uno de sus componentes podemos advertir una emergencia o un desastre; ya las proporciones del mismo y sus impactos, corren por cuenta de todos nosotros y nuestras decisiones.

Reflexiones finales

Siguiendo a NELSON, B., CHOI, R., IACOBUCCI, M., MITCHELL, M. y GAGNON, G. (1999) y LITTLETON, M. (1995) el ciberterror, es un subconjunto del terrorismo, en el cual se usa la información como un arma, método u objetivo con el fin de lograr los objetivos del terrorista. El ciberterrorismo existe en y más allá del ciberespacio, incluyendo entre otros aspectos, manipulación o destrucción física de cualquier dispositivo, sistemas de dispositivos o procesos con un alto componente de información.

Esta nueva realidad del ciberterrorismo advierte el uso de técnicas de guerra de la información ( LONGSTAFF, T., ELLIS, J., SHAWN, H., LIPSON, H., MCMILLAN, R., HUTZ PESANTE, L. y SIMMEL, D. 1997), guerra psicológica, propaganda diseminada, reclutamiento, entrenamiento y formación de agentes virtuales, los cuales mantienen un bajo perfil en la sociedad, que hacen muy compleja su identificación y actuación. Mientras este nuevo terrorista usa la red como un escenario para mimetizarse, los ciudadanos continúan durmiendo con un enemigo con el cual conviven e interactúan sin conocer sus intenciones.

Si bien este documento no busca generar una sensación alarmista sobre esta realidad emergente, si quiere concienciar a sus lectores para que comiencen a leer en lo que constantemente se publica, no el contenido, sino el trasfondo de las noticias y las acciones que sobre ellas se advierten. Tanto el estado como los ciudadanos, son parte del nuevo juego del ciberterror, donde cualquier movimiento de las piezas implica acciones bien sea de ataque o evasión por parte de alguno de sus actores.

En este sentido, el cibercrimen se conjuga con el ciberterror en una línea difusa de comprender, pues cuando el criminal informático no sólo busca un lucro económico de sus acciones, sino que las acciones mismas atentan contra la soberanía de la una nación en un entorno digital, estamos entrando en terrenos donde podemos hablar de un atentado contra la infraestructura de información crítica de una nación, que puede ser catalogada como ciberterrorismo.

Dado que estas dos amenazas, son tan reales como la información existente en todos los formatos, es deber tanto de individuos, organizaciones y estados dedicar esfuerzos y recursos para avanzar en una estrategia de administración de riesgos que permitan hacer evidente esa propiedad inherente a los objetos como lo es la inseguridad, para así, no sorprendernos ante los retos que ésta nos proponga, sino que podamos responder al desafío con la misma fuerza y habilidad con que ella nos pone a prueba.

Cibercrimen y ciberterror son dos amenazas que se hacen invisibles al tejido social, a las regulaciones estatales, a las consideraciones de la industria, pues saben que existen otras prioridades que preocupan a gobiernos, industria e individuos. Por tanto, si esto es correcto, estamos gestando un escenario emergente de variables intangibles, que actualmente viven entre nosotros, que se pasean frente a nosotros, sin que las podamos comprender o percibir. Cibercrimen y ciberterror son dos verdades tan evidentes, que sistemáticamente negamos y evadimos, por ser demasiado creíbles.

Referencias

BAZERMAN, M. y WATKINS, M. (2004) Predictable surprises. The disasters you should have seen coming and how to prevent them. Harvard Business School Press.

CLARK, R. (2004) Intelligence Analysis. A target-centric approach. CQ Press.

DENNING, D. (2000) Cyberterrorism. Disponible en: http://www.cs.georgetown.edu/~denning/infosec/cyberterror.html (Consultado: 16-03-2008)

GASSER, U. y HAEUSERMANN, D. (2007) E-compliance. Toward a roadmap to an effective risk management. Research Publications. Harvard Law School.

GORDON, S. y FORD, R. (2003) Cyberterrorism. Symantec. White Paper. http://www.symantec.com/avcenter/reference/cyberterrorism.pdf (Consultado: 16-03-2008)

HOWARD, J. (1997) An Analysis Of Security Incidents On The Internet 1989 – 1995. Tesis doctoral. Carnigie Mellon University. Disponible en: http://www.cert.org/research/JHThesis/Start.html (Consultado: 16-03-2008)

KHALSA, S. (2004) Forecasting terrorism. Indicators and proven analytic techniques. The Scarecrow Press, Inc.

KNETZGER, M. y MURASKI, J. (2008) Investigating high-tech crime. Pearson Prentice Hall.

LITTLETON, M. (1995) INFORMATION AGE TERRORISM:
TOWARD CYBERTERROR. United States Navy. Naval Postgraduate School http://www.fas.org/irp/threat/cyber/docs/npgs/terror.htm.(Consultado: 16-03-2008)

LONGSTAFF, T., ELLIS, J., SHAWN, H., LIPSON, H., MCMILLAN, R., HUTZ PESANTE, L. y SIMMEL, D. (1997) Security of the Internet. En The Froehlich/Kent Encyclopedia of Telecommunications vol. 15. Marcel Dekker, New York, 1997, pp. 231-255. Disponible en: http://www.cert.org/encyc_article/tocencyc.html ( Consultado: 16-03-2008 )

NELSON, B., CHOI, R., IACOBUCCI, M., MITCHELL, M. y GAGNON, G. (1999) Cyberterror. Prospect and Implications. United States Navy. Naval Postgraduate School. Disponible en: http://handle.dtic.mil/100.2/ADA393147 (Consultado: 16-03-2008)

RAYMOND CHOO, K. K, SMITH, R. y McCUSKER. (2007) Future directions in t echnology-enabled crime: 2007-09. Research and Public Policy Series. No.78. Disponible en: http://www.aic.gov.au/publications/rpp/78/rpp78.pdf (Consultado: 16-03-2008 )

RICE, D. (2008) Geekonomics. The real cost of insecure software. Addison Wesley.

STAMBAUGH, H., BEAUPRE, D., ICOVE, D., BAKER, R., CASSADAY, W y WILLIAMS, W. (2001) Electronic Crime Needs Assessment for State and Local Law Enforcement. National Institute of Justice. Research Report. Disponible en: http://www.ncjrs.gov/pdffiles1/nij/186276.pdf (Consultado: 16-03-2008 )

TAYLOR, R., CAETI, T., KALL LOPER, D., FRITSCH, E y LIEDERBACH, J. (2006) Digital Crime and digital terrorism. Pearson Prentice Hall.

UNIÓN INTERNACIONAL DE TELECOMUNICACIONES - UIT. (2008) Agenda sobre ciberseguridad global. Disponible en: http://www.itu.int/cybersecurity/ (Consultado: 16-03-2008)

VERTON, D. (2004) Blackice. La amenaza invisible del ciberterrorismo. Mcgraw Hill.

Autor del Artículo: