Fraude digital y cibercrimen ¿Estamos perdiendo la guerra?
Este artículo de Jeimy Cano fue publicado en su blog IT-Insecurity – http://insecurityit.blogspot.com, una respetada publicación sobre la seguridad informática y las experiencias que permiten a profesionales de la seguridad como a curiosos de la inseguridad compartir en un mismo espacio ideas, inquietudes, experiencias sobre la inseguridad informática, que es la razón misma de la existencia de la seguridad informática. Se publica con el permiso del autor.
Por Jeimy Cano, Ph.D, CFE
IT-Insecurity – http://insecurityit.blogspot.com
“Una cosa nunca es completa en sí misma, sino en relación con lo que le falta”.
Jacques Derridá.
En una realidad donde se aceleran los cambios tecnológicos y las tendencias y expectativas se vuelven volátiles e inciertas, las organizaciones se encuentran en una carrera incesante por mantener su posición privilegiada en un segmento de mercado, tratando de “sensar y responder” (Bradley y Nolan, 1998) primero que otros o buscando nuevos horizontes para conquistar “tierras inexploradas”, asumiendo los riesgos que este ejercicio conlleva, como quiera que no hay un mapa concreto del territorio y su construcción tomará tiempo y posiblemente muchas lecciones por aprender (Calvo, 2016).
En este escenario, las organizaciones criminales han sabido capitalizar rápidamente las condiciones cambiantes del entorno, su capacidad para detectar anticipadamente las nuevas variantes de sus “negocios”, han permitido una evolución rápida adaptación que les permite una movilidad y agilidad, que desconcierta a muchos entes de policía judicial en el mundo.
Esta condición de ductilidad frente a la incertidumbre hace que las redes delincuenciales, sean capaces de enfrentar la inestabilidad que supone navegar sobre algo que no conocen, muchas veces con temeridad y osadía, para concretar luego estrategias más concretas que los lleven a realizar con mayor tranquilidad, e incluso invisibilidad, sus acciones contrarias al ordenamiento jurídico nacional e internacional.
Frente a esta realidad, la comunidad internacional viene aumentando su capacidad de monitoreo y detección con el fin de leer con mayor claridad las tendencias que las actividades de estos “facinerosos” generan a fin de establecer escenarios que les permitan actuar frente al marco legal y así dar cuenta de los resultados de dichas acciones al margen de la ley.
Esta lucha asimétrica planteada entre “policías y ladrones”, gravita sobre un modelo causa-efecto que asiste las reflexiones de aquellos que generan políticas públicas al respecto. Un paradigma mecánico que se concentra exclusivamente en las prácticas reconocidas y los marcos validados que permiten cierto margen de acción, que supone un contexto conocido y donde el Estado en su función preponderante tiene la capacidad de influir, disciplinar y castigar.
Así las cosas, cuando el marco de acción del analista o de los cuerpos de acción policial se mantienen bajo los paradigmas conocidos y probados, pocas oportunidades para pensar diferente se van a plantear y las propuestas o soluciones que se generen estarán rodeadas de las mismas condiciones que los estándares sugieren. Por lo tanto, su capacidad de “sorprenderse con la realidad”, de “pensar en el margen de las hojas” quedará limitada, abriendo espacios para que los delincuentes capturen “mayor valor” en sus acciones, creando la inestabilidad que compromete la confianza de los ciudadanos.
En consecuencia, la guerra que se libra a nivel internacional frente a la delincuencia y el fraude, ahora en el contexto digital, requiere una revisión conceptual, habida cuenta que los métodos y técnicas que los “amigos de lo ajeno” desarrollan, no solo llevan implicaciones de comportamiento y conocimiento concreto de la realidad que quieren conquistar, sino la apertura y capacidad de reinventarse en cada instante para lograr el factor sorpresa que destruye la zona cómoda de los analista y revela la limitada capacidad de anticipar, requerida en esta nueva realidad digital, por parte de los entes policiales y organismos multilaterales que asisten estas actividades.
Observar el sistema, no es entender el sistema
Cada vez que una analista de fraude o un investigador policial se enfrenta al reto de la delincuencia transnacional y digital, lo hace desde sus conocimientos y reflexiones previas, un ejercicio que recaba en sus supuestos propios de la realidad, los cuales son resultados de sus procesos internos que usa para construir su percepción o cognición particular (Vanderstraeten, 2001).
Por lo tanto, la capacidad de observación y distinción de rarezas, inconsistencias y contradicciones (Charan, 2015) que debe desarrollar un “agente de la ley y el orden” en un escenario asimétrico como el actual, supone mantener una visión ampliada de su realidad, que implica cuestionar sus supuestos de base, para quebrar sus lentes actuales con los cuales se enfrenta al mundo y así tener mayor oportunidad para ver lo que los “bandidos digitales” pueden llegar a ver.
Muchas veces los entrenamientos y capacitaciones sobre seguridad y control, que generalmente están fundados en currículos establecidos, competencias requeridas y didácticas de repetición y memorización (Cano, 2016), a los cuales asisten los analistas de fraude y de la delincuencia digital, establecen un marco de actuación que permiten una participación conocida y estándar de estos profesionales, que da cuenta de las actividades naturales y propias de los procedimientos criminalísticos.
En consecuencia, la necesidad de estar ajustados a un protocolo particular y al mismo tiempo comprender la inestabilidad que provoca la acción criminal, enfrenta a los profesionales antifraude y entes del estado, a un dilema de acción que compromete su margen de actuación habida cuenta que, su sesgo particular de orden y estructura, entra en tensión con la entropía, volatilidad y ambigüedad que subyace en una actividad criminal, la cual buscarán encuadrar dentro de los patrones de razonamiento estructurales que estos agentes de la ley tienen en su formación.
Lo anterior, demanda desarrollar un cambio de aproximación conceptual y cognitiva, que invite no a observar la acción criminal como algo puntal con sus resultados, sino a construir y revelar el sistema que lo contiene. Esto es, establecer las redes que conectan los hechos, lo que necesariamente demanda superar la vista lineal de una investigación, para armonizar los contrarios inherentes a las propuestas de los criminales: lo regular y lo irregular, lo sincrónico y lo asincrónico, lo ofensivo y lo defensivo, lo global y lo local.
Esta aproximación, que si bien reta los procedimientos actuales de los agentes del orden, establece una posibilidad de actuación enriquecida como quiera que no es solamente conocer los alcances de una acción delictiva digital, sino entender y develar el flujo que se genera entre la legalidad y la ilegalidad, como una vista extendida del actuar del delincuente que expone las distinciones y detalles que previamente ha elaborado para concretar su acción contraria al orden.
Disuadir y enfrentar, distinciones complementarias en la lucha contra el crimen y el fraude digital
Si se logra concretar el entendimiento de la armonía de los contrarios en el actual de los profesionales antifraude y especialistas en crimen digital, es posible cambiar las acciones que se emprenden para comprender y anticipar las propuestas de los bandidos en un entorno digitalmente modificado.
El ciberespacio, como creación humana y maleable, está en constante cambio y requiere de mentes abiertas para poder observar las posibilidades que se pueden plantear tanto para movilizar ideas novedosas, como para consolidar conductas abiertamente contrarias a la ley (Fischerkeller y Harknett, 2017). Este escenario, ausente de gobernabilidad central y resiliente a situaciones adversas, funda un entorno natural para que aquellos con mente disruptiva, pasión y conocimiento establezcan reglas novedosas que se contagien y creen tendencias que muchos no fueron capaz de movilizar.
Si lo anterior es correcto, las tendencias de la cibercriminalidad y el fraude abundan en acciones estratégicamente dirigidas y algunas veces inesperadamente logradas, donde el sabotaje, el espionaje y la corrupción (ídem) son parte del discurso que estos conglomerados delincuenciales configuran, para crear escenarios que comprometan la estabilidad de la sociedad y creen el incierto que destruye la confianza de los ciudadanos respecto de sus posibilidades en un entorno como el ciberespacio.
Con el sabotaje, se concretan acciones que debilitan o destruyen los logros económicos y afectan la infraestructura clave de las organizaciones o naciones. Con el espionaje incursionan dentro de los linderos de las empresas o naciones para extraer información sensible para desarrollar sus acciones criminales y con la corrupción debilitan la autoridad y el buen juicio sobre las decisiones, capturando la soberanía de la acción empresarial o nacional, despejando el terreno para actuar con mayor libertad y menos supervisión.
Si entendemos que el escenario de actuación de los criminales no puede ser objetivamente representado dentro del contexto social (Vanderstraeten, 2001) y que por lo tanto, cada analista o profesional antifraude o especialista en criminalidad digital no puede ser entrenado para distinguir con claridad estas actuaciones, es claro que los sólo podemos observar y distinguir tanto como la capacidad de comprensión colectiva que podamos construir. Esto es, desarrollar una ventaja estratégica superior que disuada a los contrarios en su propio terreno y deconstruya la acción de la fuerza y el control estándar, frente a lo que esperan los delincuentes.
La disuasión como estrategia de lucha contra la delincuencia establece un referente práctico que debe ser creíble y validado por el escenario social donde se construye. Disuadir al atacante informático o a un defraudador empresarial, requiere crear un entorno de imaginarios sociales reforzados desde las creencias, valores y actitudes, que confirmen que la organización o la nación conocen sus métodos y sus acciones opacas, por lo cual cualquier movimiento o sugerencia en este sentido tendrá un reflector que alerte sobre aquel actuar que puede motivar una acción contraria que deteriore la confianza imperfecta (Cano, 2016b).
Es claro que la delincuencia cuenta con recursos ilimitados para crear contextos de contrainteligencia que son capaces de envolver a los investigadores forenses o analistas de fraude más expertos, para confundirlos y llevarlos fuera de su alcance, sin embargo, en la medida que el tejido social se haga más resistente a las sugerencias de la delincuencia, habrá menos espacio para concretar labores tan elaboradas como operaciones totalmente normales y lícitas, que ocultan una estrategia de corrupción que pasa desapercibida frente al más escéptico de los profesionales antifraude o especialista en crimen digital, sin que los controles vigentes se enteren de dicha transacción.
Por tanto, la disuasión combinada con una estrategia de controles internos debidamente probados y articulados en los puntos de mayor riesgo establece un continuo de monitoreo y revisión que define patrones y condiciones que se pueden cambiar frente al posible infractor, como quiera que los controles no van a ser estáticos, así como sus niveles de sensibilidad para generar las alertas. Un control dinámico genera mayor incertidumbre para el agresor.
Entre mayor inestabilidad pueda generar el sistema de seguridad y control, frente a la forma, sensibilidad y alcance de sus acciones, esto es, ajustes dinámicos de fuentes de verificación, inclusión de observadores de disciplinas distintas, cambios de patrones en la validación y control previsto y un permanente aprendizaje/desprendizaje de las tendencias de los comportamientos de las transacciones y las personas, mayor será la variedad que los analistas van a tener para comprender los siguientes movimientos de los atacantes o defraudadores.
En este sentido, los avances tecnológicos establecen alternativas de interés basadas en algoritmos de aprendizaje profundo (Marr, 2016), que ya no solamente correlacionan información, sino que dan pautas y pistas de siguientes movimientos, con el fin de despertar la imaginación de los analistas y especialistas en fraude y crimen digital, para entrar en el mismo territorio de los atacantes y delincuentes, donde es posible observar y distinguir posibilidades de acción más que probabilidades de éxito de las mismas.
Amén de lo anterior, el disuadir y el enfrentar son parte del continuo de opciones que los analistas y entes de policía judicial deben comprender, pues al final del día no es doblegar al adversario lo que se requiere, es concretar una posición privilegiada en el mismo entorno donde este opera, para poder actuar de forma efectiva, es decir, disuadirlo de la acción que planea o ejecuta, identificando y superando las causas raíces que motivan y habilitan dicho actuar.
Reflexiones finales
Cuando observamos los esfuerzos en la lucha contra el fraude y la delincuencia digital desde el paradigma causa-efecto, la sensación que se obtiene es que estamos perdiendo la guerra y que el enemigo cada vez se fortalece y mejora sus técnicas para sorprender a la sociedad de formas inesperadas.
Sin embargo, cada vez más los entes de policía judicial comprenden que en un escenario de confrontación donde las capacidades del enemigo no se conocen, donde este puede mimetizarse de formas amigables e inciertas, incluso a la vista de los mismos especialistas, se hace necesario superar la vista mecanicista del entendimiento de la delincuencia y el fraude en el contexto digital y migrar hacia un entendimiento más relacional que ofrezca pistas sobre el escenario donde actúan y crean sus propios modelos.
En consecuencia, crear una estrategia de disuasión y control que no responda a un parámetro determinado, sino a una evolución de “sensar y responder”, que habilite una rápida adaptación de los saberes previos de los analistas y especialistas en fraude y crímenes digitales, es una exigencia propia del contexto actual, habida cuenta que la inestabilidad del territorio donde opera ahora la delincuencia, exige mayores niveles de anticipación y acción que balancee el tablero de operaciones entre los participantes: policías y ladrones.
Para ello, la información se convierte en un activo estratégico (Bebber, 2017) para confrontar aquello que se conoce y crear marcos de actuación que anticipen los movimientos de la criminalidad, y así tratar de sorprenderla en su propio territorio, superando el enfrentamiento estéril y desgastador entre buenos y malos.
El reto por tanto consiste en armonizar las posturas inestables de los asaltantes y estafadores digitales, dentro de escenarios prospectivos y disruptivos que se puedan crear con los nuevos adelantos tecnológicos, que permitan ver de forma distinta la evolución de una confrontación que continúa desde la antigüedad, donde el forajido es capaz de pensar distinto y sin restricciones para llevar a cabo sus acciones criminales, y el analista o agente del orden, sólo puede actuar dentro de los cánones de que le dicta el ordenamiento jurídico establecido.
Así las cosas, entender este enfrentamiento irregular, inestable, asincrónico, ofensivo y asimétrico donde los medios se convierten en los fines, demanda demarcar un nuevo terreno de análisis y acción, donde los observadores y agentes (analistas y delincuentes) son capaces de reinterpretar sus propias actuaciones de forma independiente, con el fin de mantener un mínimo de paranoia bien administrada como soporte fundamental de la confianza imperfecta que cada empleado y ciudadano asume, al ser partícipe de una realidad volátil, incierta, compleja y ambigua.
Referencias
Bebber, R. (2017) Treating information as a strategic resource to win the “information war”. Orbis. Foreign Policy Research Institute. Summer. Doi: 10.1016/j.orbis.2017.05.007. 394-403
Bradley, S. y Nolan, R. (Eds) (1998) Sense and respond: capturing value in the network era. USA: Harvard Business School Press.
Calvo, C. (2016) Del mapa escolar al territorio educativo. Disoñando la escuela desde la educación. La Serena, Chile: Editorial Universidad de la Serena.
Cano, J. (2016) La educación en seguridad de la información. Reflexiones pedagógicas desde el pensamiento de sistemas. Memorias 3er Simposio Internacional en “Temas y problemas de Investigación en Educación: Complejidad y Escenarios para la Paz”. Universidad Santo Tomás. Bogotá, Colombia. Recuperado de: http://soda.ustadistancia.edu.co/enlinea/congreso/congresoedu/2%20Pedagogia%20y%20dida%B4ctica/2%209%20LA%20EDUCACION%20EN%20SEGURIDAD%20DE%20LA%20INFORMACION.pdf
Cano, J. (2016b) Protección de la información. Un ejercicio de confianza imperfecta. Blog IT-Insecurity. Recuperado de: http://insecurityit.blogspot.com.co/2016/09/proteccion-de-la-informacion-un.html
Charan, R. (2015) The attacker’s advantage. Turning uncertainty into breakthrough opportunities. New York, USA: Perseus Books Groups.
Fischerkeller, M. y Harknett, R. (2017) Deterrence is not credible strategy for cyberspace. Orbis. Foreign Policy Research Institute. Summer. Doi: 10.1016/j.orbis.2017.05.003. 381-393
Marr, B. (2016) What Is The Difference Between Deep Learning, Machine Learning and AI? Forbes. Recuperado de: https://www.forbes.com/sites/bernardmarr/2016/12/08/what-is-the-difference-between-deep-learning-machine-learning-and-ai
Vanderstraeten, R. (2001) Observing systems: a cybernetic perspective on system/environmental relations. Journal for theory of social behavior. 31, 3. 297-311.