¿Has pensado en usar la gamificación para “atacar” a tu propio negocio? Te decimos por qué deberías considerarlo.
En pleno 2023 aún existen personas que hacen referencia a los hackers como personas conocidas por realizar actos ilícitos relacionados al cibercrimen. Por fortuna, esto ya está cambiando y hoy ya existe una diferenciación de aquellos profesionales que usan los conocimientos del hacking de forma positiva, siendo claves a la hora de implementar políticas y estrategias proactivas para la seguridad de una compañía.
Hoy en día es sumamente complicado implementar procesos dentro de las organizaciones que realmente protejan al 100% los datos y las operaciones del cibercrimen. Esto se debe principalmente a que las amenazas son extremadamente cambiantes y se vuelven día tras día más sofisticadas, lo que hace que una implementación se vuelva básicamente obsoleta en poco tiempo y requiera actualizarse y cambiar constantemente.
Por lo anterior, se entiende que realizar prácticas en materia de ciberseguridad no es un fin único, sino que se trata de un constante período de chequeos, revisiones y seguimiento de buenas prácticas que evolucionen conforme la tecnología avanza.
Con la creciente cantidad de amenazas cibernéticas, se enfrenta el reto de que se utilicen nuevas medidas proactivas en busca de la protección de los sistemas de las organizaciones. Una de las cosas que creo puede ser de gran ayuda son los esquemas basados en la gamificación.
Para entenderlo de mejor forma, debemos saber que la gamificación es la aplicación de estrategias utilizadas en los juegos pero en un entorno o tarea del campo laboral, con el objetivo de alentar la participación y hacer más divertido el aprendizaje. En resumen, convertir una capacitación en un juego.
Entonces, la gamificación de los procesos es una forma de fomentar el aprendizaje de la ciberseguridad, cuyas dinámicas hacen más atractivas las tareas que de otra manera podrían parecer aburridas o sumamente complicadas, lo que motiva a las personas a participar activamente.
Una de las formas en que se utiliza la gamificación en la ciberseguridad es mediante la simulación de ataques informáticos. La idea es recrear situaciones de la vida real en las que un ataque cibernético pueda ocurrir, con el fin de entrenar a los empleados en cómo reconocer y responder a dichas situaciones.
Estas simulaciones pueden ser diseñadas para imitar diferentes tipos de ataques, como el phishing, los ataques de malware y los ataques de ingeniería social, entre otros.
En mi opinión, una de las mejores formas de crear dinámicas de gamificación en materia de seguridad cibernética, son las simulaciones de equipos Rojo y Azul trabajando en conjunto. El Equipo Rojo funge como adversario, con el objetivo de encontrar y explotar cualquier ‘puerta abierta’ en las defensas de la empresa. Este equipo debe componerse por los miembros del equipo de TI y ciberseguridad, o en su defecto por ‘hackers éticos’ que realizarán pruebas de penetración del sistema como si fuera un ataque real.
De ese modo el Equipo Rojo hará uso de métodos de ingeniería social, entre otros, para engañar al Equipo Azul y obtener accesos para infiltrarse en la red de forma silenciosa.
El Equipo Azul, por su parte, se integra de consultores especializados en la incidencia de amenazas y se encargan de asesorar al departamento de TI con base en las debilidades o fortalezas que muestre el sistema durante la simulación. Un indicador crucial será el éxito del equipo rojo en sus ataques, señalando así la amplia posibilidad de éxito para un intruso verdadero.
Al final, ambos equipos conforman un Equipo Púrpura, que consiste en la colaboración entre el equipo rojo y azul, dadas las conclusiones del ejercicio, para intercambiar conocimientos y conclusiones que fortalezcan la seguridad en toda la empresa.
Esta simulación de ataques cibernéticos es una herramienta muy efectiva para prevenir incidentes ya que, a diferencia de otros métodos reactivos, permite experimentar de primera mano cualquier escenario adverso y situación de presión que implique un ataque cibernético y cómo pueden afectar a la organización.
Además de aprender y poner en alerta las habilidades necesarias para estar preparados ante posibles amenazas, se genera un mejor ambiente al interior de las organizaciones ya que se crea un sentido de competencia sana, que además incrementa las habilidades digitales del equipo.
Finalmente, debo añadir que si uno observa las últimas tendencias, en los ciberataques más letales, uno rápidamente confirma que el error humano es generalmente el responsable de muchos de los incidentes de ciberseguridad que ocurren en las organizaciones. Son el clic equivocado, el sitio apócrifo abierto por error o los archivos descargados de páginas poco confiables, entre otros, los que pueden generar un problema de gran escala.
Por esta razón, y teniendo en cuenta que el error humano tiene gran incidencia en los ataques más graves, es que considero que la gamificación en prácticas de ciberseguridad es de gran ayuda para generar concientización interna y debe estar en la agenda de capacitación de las empresas actuales.
