Ciberseguridad desde el abismo: una lectura crítica.

-

La ciberseguridad no está fallando por falta de talento. Está fallando por exceso de obediencia.

La estructura dominante del sector no forma pensadores sistémicos, sino operadores binarios. El problema no es técnico, es estructural. Y como todo ecosistema burocratizado, se replica a sí mismo con obsesión ritual. Las causas están más cerca de Max Weber, Nassim Taleb y Mark Granovetter que de un fallo en el parcheo automático.

Diagnóstico: el nodo humano no es un activo, es una función

La ciberseguridad convencional entrena a personas como si fueran nodos programables. Los equipos operan bajo esquemas diseñados para minimizar el error, no para enfrentar lo inesperado. El resultado: un sistema frágil ante lo improbable, como anticipó Taleb.

“Lo opuesto a frágil no es robusto. Es antifrágil: lo que mejora con el caos.” — Nassim Taleb

Pero en lugar de adaptarse, el sistema reacciona como una organización burocrática típica: añade más capas de regulación, más certificaciones, más “mejores prácticas”. Ninguna de ellas responde bien a lo inesperado. Solo lo validan después del incidente.

Red, no jerarquía: cuando los sistemas no piensan como humanos

La teoría de redes (Stanford, M. Jackson) explica cómo se forman y evolucionan las relaciones entre nodos: personas, empresas, estados. Entender cómo circula la información o cómo se difunde una vulnerabilidad en una red no requiere mirar logs, sino mapas relacionales.

  • ¿Quién habla con quién?

  • ¿Qué nodos están sobrecargados?

  • ¿Dónde se produce el cuello de botella de decisiones?

Estas preguntas son más eficaces para prevenir un ataque que un nuevo antivirus.

Psicología operativa: la ilusión de control y el sesgo de formación

Las decisiones en ciberseguridad están modeladas por sesgos cognitivos. Uno de los más peligrosos es el sesgo de simulación controlada: el profesional cree que por haber entrenado en entornos “realistas”, está preparado para el mundo real.

La mente que opera en términos binarios está mal equipada para enfrentar lo no lineal.

El operador promedio está condicionado para pensar en listas de tareas, checklist, y "procedimientos de respuesta". No en estrategias, ni sistemas adaptativos.

Sociología del profesional obediente

Max Weber ya lo anticipó: cuando una organización prioriza la eficiencia sobre el pensamiento crítico, la racionalidad instrumental sustituye la autonomía.

“La burocracia perfecciona los medios, pero paraliza los fines.”

Y con ello, surge lo inevitable: la Ley de Hierro de la Oligarquía. No importa qué tan horizontal o moderno sea tu equipo, eventualmente se consolidarán microélites de poder operativo: el que tiene los accesos, el que sabe “cómo va todo”, el que decide cuándo escalar. Las redes informales definen más que el organigrama.

¿Dónde estamos?

Estamos en un punto donde:

  • Se certifican técnicos sin pensamiento crítico.

  • Se aplauden procedimientos sin entender el entorno.

  • Se cree que cumplir una norma es sinónimo de estar seguro.

Lo que no se enseña es lo esencial: cómo se comportan los sistemas humanos bajo presión. Cómo se difunde el error, cómo se propaga el miedo, cómo se colapsa una red de confianza. Todo eso también es ciberseguridad.

Comentarios

Publicar un comentario

Entradas populares de este blog

El gran engaño: Creer que un CTF o un Máster te hace un experto en ciberseguridad es como creer que guerra es como en el Call of Duty

-
Imagen
Hoy, demasiada gente cree que tener un máster en ciberseguridad, haber ganado un CTF o acumular certificados equivale a ser un profesional competente en defensa digital. No lo es. Esos logros pueden ser valiosos. Pueden abrir puertas. Pueden ser parte de un camino. Pero confundirlos con experiencia real es peligroso. Y es justo lo que está haciendo el sistema. La metáfora es sencilla y brutal: Nuestros hijos juegan a Call of Duty creyendo que eso es la guerra. Se mueven sin cobertura, sin estrategia. Mueren y reaparecen sin consecuencias. Se creen soldados porque dominan el control, porque suben de nivel, porque ganan partidas. Pero en una guerra de verdad no hay respawn. El sonido de una granada te puede paralizar. El eco de un disparo real cambia todo. Lo mismo pasa en ciberseguridad. Como los niños creen que sus estadísticas en el Call of Duty serían las mismas en la guerra real, ustedes creen que vuestros laboratorios o vuestros CTFs representan la vida real. Un CTF no repr...
Read more »

Competencia vs Apariencia en Ciberseguridad: La Realidad Tras las Herramientas

-
Imagen
La ciberseguridad se ha convertido en una profesión clave y en una industria en auge. Sin embargo, un fenómeno preocupante se está expandiendo dentro de este ecosistema: la confusión entre competencia real y apariencia de saber hacer . El disfraz de la herramienta Hoy, basta con abrir una consola, lanzar un escáner automático o ejecutar un script con un nombre intimidante para ser considerado un “experto”. Las herramientas como Metasploit, Burp Suite, Nessus, Wireshark, entre otras, son poderosos recursos, sí, pero sin un conocimiento profundo detrás, no son más que disfraces técnicos . Estas herramientas pueden crear una ilusión peligrosa. Generan una pantalla de complejidad que oculta la verdadera carencia de comprensión. El riesgo es alto: un operador que no entiende lo que su herramienta hace está gestionando sistemas críticos con los ojos vendados . Saber usar no es saber hacer Saber usar una herramienta —clic aquí, lanzar escaneo allá— es muy distinto a entender qué está pas...
Read more »

El constructor importa más que la muralla.

-
Imagen
 "La gente quiere una autoridad que le diga cómo valorar las cosas, pero no eligen dicha autoridad basándose en los hechos o los resultados, la eligen porque parece acreditada." Una crítica directa a la falsa autoridad en ciberseguridad “La gente quiere una autoridad que le diga cómo valorar las cosas, pero no eligen dicha autoridad basándose en los hechos o en los resultados; la eligen porque parece acreditada .” (Paráfrasis de una verdad incómoda) En el corazón de la ciberseguridad moderna se esconde una mentira que pocos se atreven a señalar. Una mentira que no solo mina proyectos, sino que pone en riesgo infraestructuras enteras . Y es esta: la apariencia de conocimiento se valora más que el conocimiento real . Es un fenómeno que atraviesa todas las capas del sector —desde la alta dirección hasta los equipos técnicos— y que condiciona decisiones clave, presupuestos millonarios y la contratación de perfiles que no están a la altura. He sido testigo directo. En más de...
Read more »