Riesgo existencial y exposición a Cisnes Negros

-


Todo lo anterior configura un ecosistema expuesto estructuralmente al fenómeno del Cisne Negro, según Nassim Taleb: un evento altamente improbable, con un impacto descomunal, y que tras su aparición se racionaliza como si hubiera sido predecible. Sin embargo, en ciberseguridad, ya no es cuestión de si ocurrirá uno de estos eventos, sino cuántos ya han ocurrido sin que nadie lo sepa.

El problema no es solo la aparición de un Cisne Negro. Es que estamos estructuralmente 4 o 5 movimientos por detrás. Esta brecha no es retórica ni metafórica: es operacional y técnica, y se manifiesta en múltiples niveles del modelo defensivo actual.

1. Modelo reactivo basado en artifacts visibles

Los defensores aún operan bajo un paradigma basado en la recolección de artefactos digitales: logs, indicadores de compromiso (IOCs), hashes, firmas, y rastros en sistemas SIEM. Pero los atacantes más avanzados —incluso sin ser actores estatales— ya no dejan huella. Utilizan:

  • Fileless malware, que vive en memoria RAM y nunca toca el disco.

  • Living-off-the-land binaries (LOLBins), que abusan de herramientas legítimas del sistema operativo (como PowerShell, wmic, o rundll32) para evitar detección.

  • Persistence sin escritura en disco, usando programación de tareas o claves de registro volátiles.

  • Malware polimórfico y técnicas de evasión como process hollowing o stack pivoting.

  • Red Teaming avanzado, donde el adversario replica comportamientos de usuarios legítimos o incluso opera durante horarios de baja supervisión para minimizar correlación.

El resultado es un entorno donde la telemetría tradicional no sirve para detectar los ataques que realmente importan. Las herramientas que forman el núcleo de la defensa —antivirus, EDR, firewalls, SIEM— dependen de evidencias visibles, y por tanto, son ciegas por diseño ante los vectores más críticos.

2. Obsolescencia del conocimiento certificado

Mientras el adversario evoluciona en ciclos de semanas, el conocimiento que se valida en las certificaciones responde a currículums congelados y técnicas del pasado. Se sigue enseñando cómo detectar malware tradicional, cómo leer logs de sistemas que ya están siendo sorteados por canales fuera de banda (como DNS tunneling, HTTP covert channels, etc.), o cómo aplicar controles en infraestructuras que el atacante ya ha convertido en irrelevantes (por ejemplo, ofuscando dentro de entornos cloud mal configurados donde el perímetro no existe).

El conocimiento certificado está optimizado para la auditoría, no para la defensa cibernética.

3. Simulación de defensa: una industria basada en ilusiones

A esto se le suma el fenómeno de "compliance-driven security": sistemas de defensa diseñados para pasar auditorías, no para resistir ataques reales. Esta simulación de defensa genera una falsa sensación de control, justo como describe Taleb en su crítica al fragile risk management: construcciones teóricas que colapsan frente a la realidad caótica de los ataques asimétricos.

Conclusión: No hay defensa posible desde el marco actual

En este contexto, no hay defensa posible contra un Cisne Negro si el marco completo del sistema está construido sobre la ilusión de control, sobre la detección de evidencias visibles, y sobre un conocimiento estandarizado y certificable.

La única salida es volverse antifrágil, es decir:

  • Abandonar la obsesión por la detección perfecta.

  • Favorecer la diversidad de enfoques, la descentralización de la toma de decisiones, y la exposición controlada al fallo.

  • Diseñar sistemas que no solo resistan el caos, sino que aprendan activamente de él y se beneficien del mismo.

Comentarios

Publicar un comentario

Entradas populares de este blog

El gran engaño: Creer que un CTF o un Máster te hace un experto en ciberseguridad es como creer que guerra es como en el Call of Duty

-
Imagen
Hoy, demasiada gente cree que tener un máster en ciberseguridad, haber ganado un CTF o acumular certificados equivale a ser un profesional competente en defensa digital. No lo es. Esos logros pueden ser valiosos. Pueden abrir puertas. Pueden ser parte de un camino. Pero confundirlos con experiencia real es peligroso. Y es justo lo que está haciendo el sistema. La metáfora es sencilla y brutal: Nuestros hijos juegan a Call of Duty creyendo que eso es la guerra. Se mueven sin cobertura, sin estrategia. Mueren y reaparecen sin consecuencias. Se creen soldados porque dominan el control, porque suben de nivel, porque ganan partidas. Pero en una guerra de verdad no hay respawn. El sonido de una granada te puede paralizar. El eco de un disparo real cambia todo. Lo mismo pasa en ciberseguridad. Como los niños creen que sus estadísticas en el Call of Duty serían las mismas en la guerra real, ustedes creen que vuestros laboratorios o vuestros CTFs representan la vida real. Un CTF no repr...
Read more »

Competencia vs Apariencia en Ciberseguridad: La Realidad Tras las Herramientas

-
Imagen
La ciberseguridad se ha convertido en una profesión clave y en una industria en auge. Sin embargo, un fenómeno preocupante se está expandiendo dentro de este ecosistema: la confusión entre competencia real y apariencia de saber hacer . El disfraz de la herramienta Hoy, basta con abrir una consola, lanzar un escáner automático o ejecutar un script con un nombre intimidante para ser considerado un “experto”. Las herramientas como Metasploit, Burp Suite, Nessus, Wireshark, entre otras, son poderosos recursos, sí, pero sin un conocimiento profundo detrás, no son más que disfraces técnicos . Estas herramientas pueden crear una ilusión peligrosa. Generan una pantalla de complejidad que oculta la verdadera carencia de comprensión. El riesgo es alto: un operador que no entiende lo que su herramienta hace está gestionando sistemas críticos con los ojos vendados . Saber usar no es saber hacer Saber usar una herramienta —clic aquí, lanzar escaneo allá— es muy distinto a entender qué está pas...
Read more »

El constructor importa más que la muralla.

-
Imagen
 "La gente quiere una autoridad que le diga cómo valorar las cosas, pero no eligen dicha autoridad basándose en los hechos o los resultados, la eligen porque parece acreditada." Una crítica directa a la falsa autoridad en ciberseguridad “La gente quiere una autoridad que le diga cómo valorar las cosas, pero no eligen dicha autoridad basándose en los hechos o en los resultados; la eligen porque parece acreditada .” (Paráfrasis de una verdad incómoda) En el corazón de la ciberseguridad moderna se esconde una mentira que pocos se atreven a señalar. Una mentira que no solo mina proyectos, sino que pone en riesgo infraestructuras enteras . Y es esta: la apariencia de conocimiento se valora más que el conocimiento real . Es un fenómeno que atraviesa todas las capas del sector —desde la alta dirección hasta los equipos técnicos— y que condiciona decisiones clave, presupuestos millonarios y la contratación de perfiles que no están a la altura. He sido testigo directo. En más de...
Read more »