Filtradores en ciberseguridad: ¿una amenaza o un aliado?

Filtraciones

En el ámbito de la ciberseguridad , existe un interesante debate en torno a los filtradores: ¿son agitadores o héroes? En una situación ideal, el papel de un filtrador en ciberseguridad, también conocido como ciberdenuncia, es simple: servir como un perro guardián que identifica e informa posibles violaciones de seguridad, vulnerabilidades o prácticas de ciberseguridad poco éticas dentro de las organizaciones para su rápida rectificación. 

Si bien el rol parece sencillo, a menudo está plagado de complejidades y las diferentes organizaciones lo perciben de manera diferente.

En el círculo de la ciberseguridad, los directores de seguridad de la información (CISO) entienden que el papel de un ciber filtrador, aunque se considera que es lo mejor para el público, puede hacer mella en la imagen de la organización.

Algunos ven al filtrador en ciberseguridad como un personal ético y obediente cuya preocupación es corregir las prácticas incorrectas de las organizaciones en relación con la privacidad de los datos y el cumplimiento, así como fomentar una especie de controles/equilibrios en el sistema para evitar el uso arbitrario de la tecnología y acceso a datos sensibles y no sensibles

Otros podrían percibir al filtrador como un informante alarmista y un individuo egoísta cuyas acciones pueden ser impulsadas por la autogratificación, un medio para ganar la atención de la organización debido a quejas no resueltas contra un superior o la organización en su conjunto, o algo tan simple como las recompensas monetarias asociadas a una filtración exitosa. 

Independientemente de en qué lado de la división se encuentre, este artículo no pretende elegir un lado, sino analizar la cultura de la filtración de irregularidades en ciberseguridad y sugerir formas de mejorarla. 

Evolución de la denuncia de irregularidades

Antes de que la denuncia de irregularidades ganara importancia en los últimos años, ya existía en el siglo XVI, y su historia legal se remonta a la Ley de Protección de Whistleblowers de 1778 .

La ley fue consecuencia del caso de dos oficiales navales estadounidenses, Richard Marven y Samuel Shaw, quienes denunciaron torturas de prisioneros de guerra británicos por parte de su oficial al mando, Esek Hopkins. Durante ese tiempo, los filtradores enfrentaron graves consecuencias como victimización y despido.

Alrededor de 1930, comenzó a surgir el significado contemporáneo que entendemos hoy. El término adquirió un sentido metafórico, refiriéndose a un individuo que informa sobre irregularidades o con el objetivo de dirigir la atención del público a un caso.

Filtradores: ¿amenaza o aliado?

La percepción de la denuncia de irregularidades en materia de ciberseguridad como un aliado o una amenaza se basa en diferentes perspectivas y su impacto. Generalmente, los filtradores actúan como defensores de la transparencia, garantizando que las organizaciones recorran el camino correcto hacia el cumplimiento normativo. 

Pero los acontecimientos muestran que la denuncia de irregularidades, si no se maneja adecuadamente, podría dejar al filtrador no sólo a merced de sus empleadores sino también en el tribunal de la opinión pública.

Un ejemplo significativo es Edward Snowden, excontratista de la Agencia de Seguridad Nacional (NSA) de Estados Unidos. En 2013, Snowden filtró información clasificada a The Guardian, revelando extensos programas de vigilancia global llevados a cabo por la NSA. Sus acciones provocaron debates sobre la vigilancia gubernamental y la privacidad individual y una conversación global.

Las revelaciones de Snowden generaron una mayor conciencia pública sobre la privacidad de los datos y el posible uso indebido de las herramientas de vigilancia. Mientras que algunos lo vieron como un héroe, otros lo vieron como un enemigo del Estado que expuso información sensible que podría poner en peligro la seguridad nacional. Snowden se exilió en Rusia antes de ser acusado de violar la Ley de Espionaje.

En otro caso, el 30 de abril de 2020, en el caso de la Ley de Reclamaciones Falsas Qui Tam (representa un incentivo concreto para quien tiene conocimiento de hechos de corrupción) iniciado por Alexander Chepurko, la jueza del Tribunal de Distrito de EE.UU. Tanya Walton Pratt emitió una sentencia importante de 69,6 millones de dólares contra E-biofuels.

Las revelaciones de Chepurko expusieron actividades fraudulentas dentro del sector de biocombustibles de energía renovable, lo que llevó a uno de los casos de fraude ambiental y de valores más importantes de Indiana. Presentado en el programa de televisión CBS “Whistleblower”, el caso dio lugar a procesamientos exitosos por parte del gobierno, que culminaron con el encarcelamiento de seis personas involucradas en el plan de fraude. El autor intelectual recibió una sentencia de 20 años de prisión, mientras que el ex director ejecutivo de una empresa que cotiza en bolsa recibió una sentencia de 10 años.

Un caso de denuncia de irregularidades más reciente y popular es el caso Peiter Zatko vs. Twitter . Zatko, dentro del equipo ejecutivo de Twitter, era el principal responsable de la supervisión de la seguridad. Contratado para mejorar las medidas de seguridad después de que una violación de alto perfil afectara las cuentas de figuras influyentes, identificó problemas críticos, particularmente relacionados con una supervisión de seguridad inadecuada y el acceso de los empleados a cuentas privadas, que llevaron a la violación anterior.

Al final, se hizo público como filtrador, lo que provocó su despido. Durante una audiencia en el Senado, destacó que la priorización de una mejor visibilidad de la seguridad de la plataforma había sido eclipsada por otros objetivos, como la generación de ingresos y el crecimiento de usuarios.

Se trata de tres casos de denuncia de irregularidades que tuvieron diferentes impactos resultantes.

El primer caso destaca los riesgos que enfrentan los filtradores y el impacto personal en ellos.

El segundo caso ilustra la posible recompensa para el filtrador, pero también revela cómo la denuncia de irregularidades podría afectar negativamente a una organización desde el punto de vista financiero, aunque sea por una causa justa.

Si bien el último caso aún está en curso y aún no es definitivo, subraya los desafíos éticos asociados con la denuncia de irregularidades en ciberseguridad y su impacto potencial en la vida de quién realiza la filtración.

Lo que piensan los expertos en ciberseguridad sobre la denuncia de irregularidades

En declaraciones a Techopedia, Ryan R. Johnson, Director de Privacidad de Savvas Learning, señaló que:

“Los filtradores de ciberseguridad pueden considerarse ojos adicionales que ayudan a garantizar el cumplimiento de la ciberseguridad. Si bien, a primera vista, la práctica puede generar preocupaciones, sus acciones a menudo sirven como un mecanismo valioso para identificar vulnerabilidades e incumplimientos y, en última instancia, fortalecer la cultura corporativa en términos de seguridad.

“En pocas palabras, alentar a los empleados a informar sus inquietudes solo fortalece la postura de seguridad de una organización”.

Anurag Gurtu, CPO de StrikeReady, dijo: “Los filtradores en ciberseguridad pueden verse como una amenaza y un aliado, dependiendo de la cultura corporativa.

“Si una empresa valora la transparencia y la conducta ética, los filtradores son aliados que ayudan a hacer cumplir el cumplimiento y la integridad. Sin embargo, en entornos donde las prácticas de seguridad son laxas o el comportamiento poco ético se esconde debajo de la alfombra, pueden ser vistos como una amenaza al status quo”. 

Mejorar la cultura de la denuncia de irregularidades en ciberseguridad

Mejorar la cultura de denuncia de irregularidades en ciberseguridad es crucial para protegerse contra las amenazas, pero requiere reconocer los riesgos que enfrentan los filtradores.

Para proteger al filtrador, las organizaciones deben establecer canales de denuncia anónimos para proteger su identidad; garantizar la protección jurídica; brindar educación y apoyo y en materia de ciberseguridad, fomentar una cultura de transparencia y confianza, y reconocer y recompensar las divulgaciones éticas con prontitud, ya que estas medidas los protegen y fomentan la presentación de denuncias y fortalecen el marco de ciberseguridad.

Por lo tanto, en lugar de reaccionar contra los filtradores, el gobierno y las organizaciones deberían hacer más para protegerlos y crear programas que no sólo aborden cuestiones técnicas sino también preocupaciones éticas y relacionadas con el cumplimiento.

Publicado en techopedia.com