Daños involuntarios provenientes de la Ciberseguridad

Es cierto que normalmente, en el ámbito de la ciberseguridad, se trata de buscar el escenario ideal donde tratamos de minimizar el riesgo, y maximizar las medidas de seguridad en tanto no impacten en la actividad productiva de la empresa.

Sin embargo, rar vez se tienen en cuenta aquellos aspectos que pueden suponer un problema. Es decir, conseguir el máximo nivel se “securizacion” dentro de la empresa, conlleva un detrimento de esta.

Recientemente se publicó un artículo sobre los problemas de la securizacion del entorno, presenta ciertos problemas, o incluso llega a ser contraproducente, debido a consecuencias imprevistas de esta acción de prevención. En este estudio publicado mediante la colaboración de varios académicos de las universidades de Luxemburgo, Londres, Bristol y Florida, en el que se identificaban 7 aspectos negativos que son inherentes a esta labor de protección.

• Desplazamiento: el desplazamiento del delito ocurre cuando el delito se traslada a otros lugares, tiempos, objetivos, métodos, perpetradores o delitos, como resultado de las iniciativas de prevención del delito. Los ejemplos incluyen el surgimiento de nuevos mercados de drogas en línea después del derribo de Silk Road, o sitios de phishing que se mudan a dominios y hosts que son más resistentes a los esfuerzos de derribo.
• Normas inseguras: La implementación de contramedidas fomenta comportamientos inseguros, creando la posibilidad de un mayor daño. Los ejemplos incluyen crear una dependencia de los controles técnicos, cuya labor rutinaria, crea patrones fácilmente identificables por los atacantes.
• Costos adicionales: Las contramedidas a menudo pueden implicar costos adicionales para la empresa términos de tiempo o recursos. Si no se ha realizado un análisis de costo-beneficio, los costos para algunas partes interesadas pueden superar el daño original. Los ejemplos incluyen: Sistemas de denuncia de abuso de redes sociales que suponen una carga de revisión manual para las empresas o casos en la concienciación de los empleados contra el phishing que coloca la responsabilidad de la detección de phishing en los propios usuarios.
• Uso indebido: Una variedad de actores puede utilizar indebidamente una contramedida desarrollada para prevenir daños intencionalmente para crear nuevos daños. Los ejemplos incluyen sistemas de informes que se utilizan de manera maliciosa o intereses comerciales competitivos, y los detalles proporcionados con fines de verificación de identidad se venden a los anunciantes.
• Clasificación errónea: Los sistemas tecnológicos o administrativos que crean distinciones buenas / malas o permitidas / no permitidas clasificarán ocasionalmente contenido no malicioso o individuos como maliciosos. El daño que sufrirán los afectados por la clasificación errónea puede ser significativo si no se anticipa.
• Amplificación: Las intervenciones superfluas o innecesarias, pueden ser contraproducentes, causando un aumento en el comportamiento dirigido a la prevención.
• Interrupción: Las contramedidas pueden interrumpir la operación de otras contramedidas potencialmente más efectivas. Los ejemplos incluyen los dispositivos utilizados que eliminan contenido malicioso, destruyendo evidencia para el enjuiciamiento penal.

FUENTE: https://www.cl.cam.ac.uk/~ytc36/Identifying_Unintended_Harms.pdf