Redes, Poder y Seguridad

Todo lo anterior configura un ecosistema expuesto estructuralmente al fenómeno del Cisne Negro , según Nassim Taleb: un evento altamente improbable, con un impacto descomunal, y que tras su aparición se racionaliza como si hubiera sido predecible. Sin embargo, en ciberseguridad, ya no es cuestión de si ocurrirá uno de estos eventos, sino cuántos ya han ocurrido sin que nadie lo sepa . El problema no es solo la aparición de un Cisne Negro. Es que estamos estructuralmente 4 o 5 movimientos por detrás . Esta brecha no es retórica ni metafórica: es operacional y técnica , y se manifiesta en múltiples niveles del modelo defensivo actual. 1. Modelo reactivo basado en artifacts visibles Los defensores aún operan bajo un paradigma basado en la recolección de artefactos digitales : logs, indicadores de compromiso ( IOCs ), hashes , firmas, y rastros en sistemas SIEM. Pero los atacantes más avanzados —incluso sin ser actores estatales— ya no dejan huella . Utilizan: Fileless malware , qu...

  Rituales modernos para mantener la ilusión de que todo tiene sentido “No sabemos para qué sirve, pero lleva en el calendario desde 2021. Así que sí, hay que hacerlo.” — Responsable de Cultura que olvidó por qué empezó la reunión semanal de los jueves Hay un dios invisible que rige muchas empresas. No es el cliente. No es el CEO. Es la costumbre. Y como todo dios primitivo, exige rituales, sacrificios y un respeto ciego por lo absurdo. La eficiencia muere de inanición mientras se alimenta el monstruo del “siempre lo hemos hecho así” . Bienvenido al culto. 📌 Rito 1: La reunión diaria que nadie necesita 10 minutos. Todos conectados. Nadie con algo que decir. Pero si no se hace, algo malo podría pasar . El responsable pregunta en bucle: — ¿Algo que compartir? — No. — ¿Seguro? — Sí. — Vale. Pero mañana sí, ¿eh? Objetivo real: justificar la existencia del “control ágil” para trabajadores que ya entregan sin supervisión. 📌 Rito 2: El formulario de evaluación semes...

La ciberseguridad institucionalizada se presenta como un sistema racional, formalizado, basado en estándares, herramientas, procedimientos y certificaciones. Sin embargo, opera sobre una ficción funcional: que puede controlarse un entorno que, por definición, es incontrolable. La realidad que enfrenta es la de sistemas complejos, interdependientes y abiertos al azar. La ciberseguridad, como práctica, no es antifrágil: es rígida, lineal y reactiva. 1. El síntoma de la linealidad en sistemas no lineales El primer síntoma crítico es la suposición implícita de que los sistemas se comportan de forma predecible. Taleb lo advirtió con crudeza: en un entorno dominado por la incertidumbre, quien cree en la previsión como herramienta confiable se expone a lo improbable, y por tanto, a lo devastador. Este es el terreno fértil del Cisne Negro . Los planes de respuesta, las auditorías, los ejercicios de pentesting... todos parten del histórico, no del presente real. Esto crea una ilusión de seg...

  Somos una familia.  “La cultura corporativa es ese espacio donde puedes llorar… siempre que no interfiera con la reunión de las 9.” — Cualquier trabajador emocionalmente funcional que ya está cansado de sonreír en la webcam todas las mañanas.  1. Di “somos una familia” en cada presentación. No importa si no sabes el nombre del becario que lleva seis meses en el equipo. Di familia . Que suene cálido. Asegúrate de repetirlo justo antes de despedir al 10% del equipo por una “reestructuración necesaria”. Tienes que pagarte esas vacaciones, lo importante va primero.  2. Promete “equilibrio vida-trabajo” pero mide la productividad por horas conectadas, y por esfuerzo personal.  ¿Qué es más humano que decirle a alguien que “puede desconectarse” mientras le llenas la agenda con reuniones fuera del horario? El verdadero liderazgo es ese que te recuerda, cada viernes a las 19:00, que debe de hacerse la reunión para preparar el plan para el lunes, que tendrá qu...

El modelo dominante de formación y desempeño en ciberseguridad genera consecuencias profundas no solo en las estructuras técnicas, sino en los sujetos que las habitan. Tanto estudiantes como profesionales y supuestos líderes operan bajo un sistema que prioriza la repetición, el cumplimiento normativo y la asimilación de procedimientos. El pensamiento estratégico, creativo o sistémico queda marginado, cuando no directamente penalizado. Desde la psicología del aprendizaje, esto se traduce en un modelo conductista: estímulo, respuesta, refuerzo. El estudiante aprende a pasar tests, no a pensar. El profesional aprende a ejecutar playbooks, no a diseñar nuevos enfoques. El líder aprende a comunicar según KPIs, no a transformar. El resultado: un ecosistema de profesionales que operan como autómatas certificados, incapaces de pensar más allá del marco donde fueron entrenados. Esta lógica binaria —de lo que se puede hacer y lo que no, de lo permitido por la norma y lo que queda fuera del co...

La ciberseguridad no está fallando por falta de talento. Está fallando por exceso de obediencia. La estructura dominante del sector no forma pensadores sistémicos, sino operadores binarios. El problema no es técnico, es estructural. Y como todo ecosistema burocratizado, se replica a sí mismo con obsesión ritual. Las causas están más cerca de Max Weber, Nassim Taleb y Mark Granovetter que de un fallo en el parcheo automático. Diagnóstico: el nodo humano no es un activo, es una función La ciberseguridad convencional entrena a personas como si fueran nodos programables. Los equipos operan bajo esquemas diseñados para minimizar el error, no para enfrentar lo inesperado. El resultado: un sistema frágil ante lo improbable , como anticipó Taleb. “Lo opuesto a frágil no es robusto. Es antifrágil: lo que mejora con el caos.” — Nassim Taleb Pero en lugar de adaptarse, el sistema reacciona como una organización burocrática típica: añade más capas de regulación, más certificaciones, más “me...

  En el mundo de la ciberseguridad hay una frase que se repite como mantra en presentaciones, reportes y formaciones: “El eslabón más débil es el humano.” Se dice con resignación, como si fuera una ley de la naturaleza. Pero no lo es. No hay ninguna maldición inherente en la condición humana que nos vuelva vulnerables por defecto. Lo que sí existe es un sistema que, por diseño o por inercia, forma profesionales para cumplir protocolos, no para pensar críticamente. ¿Por qué el humano “falla” tanto en seguridad? La mayoría de los errores humanos en ciberseguridad no surgen de malicia, ignorancia o torpeza. Surgen de rutinas mentales rígidas, falta de contexto y una formación basada en instrucciones, no en comprensión. Desde el primer día, al usuario se le dice lo que “debe hacer”: Cambiar contraseñas con regularidad. No hacer clic en enlaces sospechosos. Seguir los pasos del manual. Y eso está bien. Pero es incompleto . Porque ningún atacante se limita a jugar seg...

Hoy, demasiada gente cree que tener un máster en ciberseguridad, haber ganado un CTF o acumular certificados equivale a ser un profesional competente en defensa digital. No lo es. Esos logros pueden ser valiosos. Pueden abrir puertas. Pueden ser parte de un camino. Pero confundirlos con experiencia real es peligroso. Y es justo lo que está haciendo el sistema. La metáfora es sencilla y brutal: Nuestros hijos juegan a Call of Duty creyendo que eso es la guerra. Se mueven sin cobertura, sin estrategia. Mueren y reaparecen sin consecuencias. Se creen soldados porque dominan el control, porque suben de nivel, porque ganan partidas. Pero en una guerra de verdad no hay respawn. El sonido de una granada te puede paralizar. El eco de un disparo real cambia todo. Lo mismo pasa en ciberseguridad. Como los niños creen que sus estadísticas en el Call of Duty serían las mismas en la guerra real, ustedes creen que vuestros laboratorios o vuestros CTFs representan la vida real. Un CTF no repr...

En el campo de la ciberseguridad, la resiliencia no debería definirse por la cantidad de certificados o procedimientos establecidos, sino por la capacidad de adaptación y respuesta ante situaciones reales, imprevistas y complejas. En lugar de confiar únicamente en la rigidez de los protocolos y las certificaciones, debemos centrarnos en lo que realmente genera una defensa efectiva: las personas. La enseñanza tradicional en ciberseguridad ha sido predominantemente teórica. A los profesionales se les enseña a seguir procedimientos estándar, como los establecidos por las certificaciones ISO, y se les educa sobre buenas prácticas, pero rara vez se les entrena para pensar fuera de la caja. El sistema educativo y las estructuras corporativas han priorizado la memorización de protocolos y la adquisición de títulos, pero lo que realmente se necesita en un equipo de ciberseguridad son individuos capaces de pensar críticamente, adaptarse y responder de manera flexible ante nuevas amenazas. El...

La otra cara de la ciberseguridad: el culto al cargo y la renuncia al criterio “Como todo en seguridad, la personalidad y el carácter se demuestran en el campo de batalla. Ni en los CTFs, ni en las prácticas, ni en un foro.” (Reflexión desde la trinchera) En la Parte I hablamos de murallas construidas por titanes. Ahora toca hablar de quienes dirigen la obra: los líderes . O mejor dicho, de quienes ocupan posiciones de liderazgo sin tener el carácter necesario . Porque no basta con tener conocimientos. En ciberseguridad —y en cualquier dominio crítico— la personalidad importa tanto como la técnica . Y aquí se encuentra uno de los errores más recurrentes en las contrataciones: suponer que el título asegura el criterio , o que el cargo valida las decisiones. No, no es así. El liderazgo no se imprime en un diploma Las empresas siguen cayendo en el mismo patrón: buscan titulaciones, certificaciones, experiencia en CVs, y una entrevista con respuestas tipo, o una prueba "genera...

 "La gente quiere una autoridad que le diga cómo valorar las cosas, pero no eligen dicha autoridad basándose en los hechos o los resultados, la eligen porque parece acreditada." Una crítica directa a la falsa autoridad en ciberseguridad “La gente quiere una autoridad que le diga cómo valorar las cosas, pero no eligen dicha autoridad basándose en los hechos o en los resultados; la eligen porque parece acreditada .” (Paráfrasis de una verdad incómoda) En el corazón de la ciberseguridad moderna se esconde una mentira que pocos se atreven a señalar. Una mentira que no solo mina proyectos, sino que pone en riesgo infraestructuras enteras . Y es esta: la apariencia de conocimiento se valora más que el conocimiento real . Es un fenómeno que atraviesa todas las capas del sector —desde la alta dirección hasta los equipos técnicos— y que condiciona decisiones clave, presupuestos millonarios y la contratación de perfiles que no están a la altura. He sido testigo directo. En más de...

Una lectura y un repaso de los incidentes relacionados con infraestructuras críticas, SCADA/ICS , BlackEnergy 1,2 y3, Industroyer y Stuxnet.  Introducción Cuando ocurre un apagón eléctrico masivo, las preguntas se repiten: ¿fue un fallo técnico? ¿un error humano? ¿un ciberataque? Y aún más importante: ¿realmente importa saber cómo ocurrió si ya ocurrió? En un entorno digitalizado, interconectado y cada vez más expuesto, seguir enfocando los esfuerzos forenses en descubrir “el cómo” —cuando los atacantes ya operan sin dejar rastros evidentes— es una estrategia que puede dejar a sistemas críticos crónicamente vulnerables . La ilusión del "cómo" Tradicionalmente, el análisis forense busca trazar el vector de ataque : desde el acceso inicial hasta la ejecución de la carga útil. Pero esta línea de investigación asume que hay algo que rastrear , lo cual no siempre es cierto. Hoy en día, muchos actores avanzados (APT) emplean: Malware en memoria (fileless) que desaparec...

En sistemas eléctricos modernos, donde hay redundancias, automatización escalonada y supervisión constante, los errores reales no se ven así. Cuando algo se rompe por causas técnicas, suele hacerlo de forma desordenada: algunas zonas caen antes que otras, hay señales previas, los sistemas de respaldo entran como pueden, a veces tarde, a veces mal, pero entran. Lo que no ocurre —o no debería ocurrir— es una caída limpia, sincronizada y total, como si alguien hubiera desconectado exactamente lo necesario para provocar el mayor impacto con la menor intervención. Esto no es paranoia, es pensamiento crítico. Cualquier infraestructura crítica debe operar bajo una premisa básica: si puede ser manipulada, lo será. Y cuando los síntomas se parecen más a un guión ejecutado con precisión que a un fallo espontáneo, seguir hablando de "casualidad" sin investigar a fondo es simplemente irresponsable. No es exageración. Es lógica Pensar con lógica no es sospechar de todo. Es sospechar cuand...