El diagnóstico estructural: síntomas crónicos y exposición a Cisnes Negros

-


La ciberseguridad institucionalizada se presenta como un sistema racional, formalizado, basado en estándares, herramientas, procedimientos y certificaciones. Sin embargo, opera sobre una ficción funcional: que puede controlarse un entorno que, por definición, es incontrolable. La realidad que enfrenta es la de sistemas complejos, interdependientes y abiertos al azar. La ciberseguridad, como práctica, no es antifrágil: es rígida, lineal y reactiva.

1. El síntoma de la linealidad en sistemas no lineales

El primer síntoma crítico es la suposición implícita de que los sistemas se comportan de forma predecible. Taleb lo advirtió con crudeza: en un entorno dominado por la incertidumbre, quien cree en la previsión como herramienta confiable se expone a lo improbable, y por tanto, a lo devastador. Este es el terreno fértil del Cisne Negro.

Los planes de respuesta, las auditorías, los ejercicios de pentesting... todos parten del histórico, no del presente real. Esto crea una ilusión de seguridad que tiene más que ver con la estética del control que con la comprensión del riesgo.

2. Cultura de la estandarización: el simulacro del profesionalismo

El segundo síntoma es la fetichización de la certificación. El sector ha sustituido el pensamiento crítico por el cumplimiento de marcos normativos. Aquí entra Max Weber: la racionalización burocrática lleva a que el individuo profesional se convierta en un engranaje que ejecuta sin pensar. Lo relevante no es ya comprender los sistemas ni anticipar escenarios, sino cumplir la checklist.

Esta cultura produce profesionales que operan con pensamiento binario: sí/no, seguro/inseguro, autorizado/no autorizado. Pierden sensibilidad ante lo ambiguo, lo no definido, lo fuera de manual. En un entorno caótico, esta rigidez mental es letal.

3. El modelo del Red Team como espejo retrovisor

Incluso las prácticas consideradas más “creativas” dentro del sector, como los ejercicios de Red Team, están estructuralmente condenadas a ser reactivas. Lo que hacen es replicar técnicas ya conocidas, siguiendo el mismo principio que la defensa: trabajar sobre lo que ya pasó. Pero los actores hostiles no siguen guiones. Los atacantes verdaderamente peligrosos no se anuncian en Shodan.

Esto significa que, cuando un equipo ofensivo simula un ataque, está interpretando un papel ya escrito. Son actores de una obra que el atacante real ya ha dejado atrás.

4. Psicología del riesgo y negación del caos

La incapacidad para incorporar lo incierto tiene raíz psicológica: el cerebro humano no tolera bien lo caótico. Taleb lo explica con claridad: preferimos una explicación errónea que la incertidumbre verdadera. Por eso el sector prefiere modelos deterministas. Esta tendencia cognitiva está reforzada por una formación técnica hiperespecializada que no entrena a los profesionales para moverse en lo incierto, sino para aplicar procedimientos.

El resultado es una industria con estructuras mentales frágiles, incapaces de adaptarse a lo inesperado.

5. La ley de hierro en los liderazgos del sector

La ley de hierro de la oligarquía, descrita por Michels, se cumple en el ecosistema de ciberseguridad con una precisión quirúrgica. Los líderes del sector —CISOs, expertos reconocidos, formadores— tienden a reproducir el statu quo porque les otorga poder simbólico. Su identidad profesional depende de la existencia de un orden reconocible. Cualquier irrupción real —un fallo masivo, un ataque no previsto, una disrupción tecnológica— no solo amenaza a la organización, sino al relato sobre el que ellos han construido su legitimidad.

Por eso, en muchos casos, los líderes no reaccionan con curiosidad sino con negación.

6. Riesgo existencial y exposición a Cisnes Negros

Todo lo anterior configura un ecosistema expuesto estructuralmente al fenómeno del Cisne Negro: un evento altamente improbable, con gran impacto, y que tras su aparición se racionaliza como si fuera predecible. La pregunta no es si sucederá, sino cuándo.

No hay defensa posible contra un Cisne Negro desde la arquitectura actual del sector. La única respuesta viable es transformarse en un sistema antifrágil: uno que se beneficie del desorden, que aprenda de la sorpresa, y que se reconstruya a partir del fallo.

Comentarios

Publicar un comentario

Entradas populares de este blog

El gran engaño: Creer que un CTF o un Máster te hace un experto en ciberseguridad es como creer que guerra es como en el Call of Duty

-
Imagen
Hoy, demasiada gente cree que tener un máster en ciberseguridad, haber ganado un CTF o acumular certificados equivale a ser un profesional competente en defensa digital. No lo es. Esos logros pueden ser valiosos. Pueden abrir puertas. Pueden ser parte de un camino. Pero confundirlos con experiencia real es peligroso. Y es justo lo que está haciendo el sistema. La metáfora es sencilla y brutal: Nuestros hijos juegan a Call of Duty creyendo que eso es la guerra. Se mueven sin cobertura, sin estrategia. Mueren y reaparecen sin consecuencias. Se creen soldados porque dominan el control, porque suben de nivel, porque ganan partidas. Pero en una guerra de verdad no hay respawn. El sonido de una granada te puede paralizar. El eco de un disparo real cambia todo. Lo mismo pasa en ciberseguridad. Como los niños creen que sus estadísticas en el Call of Duty serían las mismas en la guerra real, ustedes creen que vuestros laboratorios o vuestros CTFs representan la vida real. Un CTF no repr...
Read more »

Competencia vs Apariencia en Ciberseguridad: La Realidad Tras las Herramientas

-
Imagen
La ciberseguridad se ha convertido en una profesión clave y en una industria en auge. Sin embargo, un fenómeno preocupante se está expandiendo dentro de este ecosistema: la confusión entre competencia real y apariencia de saber hacer . El disfraz de la herramienta Hoy, basta con abrir una consola, lanzar un escáner automático o ejecutar un script con un nombre intimidante para ser considerado un “experto”. Las herramientas como Metasploit, Burp Suite, Nessus, Wireshark, entre otras, son poderosos recursos, sí, pero sin un conocimiento profundo detrás, no son más que disfraces técnicos . Estas herramientas pueden crear una ilusión peligrosa. Generan una pantalla de complejidad que oculta la verdadera carencia de comprensión. El riesgo es alto: un operador que no entiende lo que su herramienta hace está gestionando sistemas críticos con los ojos vendados . Saber usar no es saber hacer Saber usar una herramienta —clic aquí, lanzar escaneo allá— es muy distinto a entender qué está pas...
Read more »

El constructor importa más que la muralla.

-
Imagen
 "La gente quiere una autoridad que le diga cómo valorar las cosas, pero no eligen dicha autoridad basándose en los hechos o los resultados, la eligen porque parece acreditada." Una crítica directa a la falsa autoridad en ciberseguridad “La gente quiere una autoridad que le diga cómo valorar las cosas, pero no eligen dicha autoridad basándose en los hechos o en los resultados; la eligen porque parece acreditada .” (Paráfrasis de una verdad incómoda) En el corazón de la ciberseguridad moderna se esconde una mentira que pocos se atreven a señalar. Una mentira que no solo mina proyectos, sino que pone en riesgo infraestructuras enteras . Y es esta: la apariencia de conocimiento se valora más que el conocimiento real . Es un fenómeno que atraviesa todas las capas del sector —desde la alta dirección hasta los equipos técnicos— y que condiciona decisiones clave, presupuestos millonarios y la contratación de perfiles que no están a la altura. He sido testigo directo. En más de...
Read more »