Columna de Danielle Zaror: “Abierto el cajón, convidado está el ladrón”

Por Danielle Zaror, Centro de Estudios de Derecho Informático, U. de Chile

El catedrático británico James Reason es conocido mundialmente por sus teorías asociadas al error humano y al riesgo en una organización. Su famosa doctrina del queso suizo se estudia en buena parte del mundo y permite explicar cómo prácticas de una organización, fallas en la supervisión, características de base y errores humanos configuran un curso causal, un agujero que permite en cada una de las rebanadas de queso proyectar una trayectoria con un resultado fatal.

La bullada filtración desde más de 160 cuentas de correos electrónicos de integrantes del Estado Mayor Conjunto (EMCO) que comprometen comunicaciones de varios años, y que aparentemente ocurrió hace casi cuatro meses, bien puede ser un ejemplo o caso de estudio de esta cadena de sucesos fatales.

Si analizamos las prácticas de la organización, es un hecho que se arrastraban vulnerabilidades informáticas, pero no solo en el EMCO, sino en buena parte del Estado, lo que claramente hizo perder la perspectiva y no ha permitido percibir lo crítico de esa fragilidad. En este mismo eslabón está también presente la inmadurez institucional para gestionar riesgos informáticos, la que, sumada a lo anterior, comprometieron gravemente la operación de la institución (la lámina de queso no tenía uno sino dos hoyos).

Hoy, y a la luz de los acontecimientos, es evidente que había fallas de supervisión. Este incidente no es reciente, sino que habría ocurrido hace algunos meses; y tampoco ha sido el único, describiéndose al menos dos anteriores de menor entidad, pero altamente descriptivos de la falta de control y corrección sobre ellos.

Es decir, las condiciones previas o de base estaban dadas por lo normalizado que está el que haya incidentes (como los hubo), pero que estos no fueran objeto de correcciones o sanciones; así, difícilmente podrían haberlo sido si aparentemente las brechas de seguridad no eran manejadas como las buenas prácticas en ciberseguridad lo exigen.

Y en este queso suizo, no falta el error humano. Durante estos días, muchas personas con experiencia militar han coincidido en declarar que, si bien la filtración es extremadamente voluminosa, la información sensible “no debería haber circulado por esos canales”. Este aspecto parece haber sido el golpe de gracia, porque todo indica que los profesionales de este grupo de elite militar sí compartieron información que sabían o debían saber que tenía que ser comunicada y, en consecuencia, protegida por otros medios.

Visto así, ninguna de las barreras (o rebanada de queso) permitió contener la exposición al riesgo y al resultado fatal, todas esas debilidades individuales se alinearon y devinieron en una falla de seguridad sistémica que terminó por facilitar el acceso de los hackers y, en consecuencia, exponiendo gravemente la seguridad nacional.

Y ya no en suizo, sino en buen chileno, abierto el cajón, convidado está el ladrón.