Hacia una ciencia de la ciberseguridad

A medida que la tecnología avanza y la dependencia de los sistemas aumenta, también lo hacen las amenazas y desafíos en el ciberespacio. En este contexto, surge la pregunta de si la ciberseguridad podría, en algún momento, llegar a ser considerada una ciencia en sí misma. En el siguiente post, exploraremos los elementos que respaldan y dificultan su desarrollo como ciencia, examinando su relación con disciplinas existentes, la necesidad de enfoques sistemáticos, su medición, y los desafíos éticos. A través de este análisis, buscamos introducir la pregunta y comprender las posibilidades y limitaciones de establecer una base científica sólida para abordar sus desafíos.

Enfoque integrado

Una orientación científica para la ciberseguridad tiene múltiples ventajas a la hora de cuantificar y determinar lo que permita prevenir, interrumpir o dificultar ataques. Una ciencia de la ciberseguridad podría demostrar objetivamente lo que funciona, para requerir confiar en opiniones, experiencias, o creencias al tomar decisiones. El reto de definirla como tal se deriva de sus aspectos peculiares, y está débilmente ligada al universo físico, lo que indica pocas limitaciones a priori para atacantes y defensores. En cuanto a la aplicación de la seguridad al ciberespacio, denota investigación aplicada, que trata de comprender en qué medida un modelo cumple sus requisitos de diseño, mientras que la experimentación aclara el comportamiento de un sistema existente.

Dada su naturaleza, sus aspectos esenciales no pueden formalizarse matemáticamente con facilidad, lo que es parte de la dificultad para desarrollarse como ciencia. Los profesionales lidian con la incertidumbre y se enfrentan a adversarios reales, que cambian sus técnicas, tácticas y procedimientos con frecuencia, requiriendo adaptación constante. Esta complejidad hace que la investigación formal sea muy exigente, pero no la exime de basarse en el mismo enfoque sistemático de descubrimiento y validación que en otras disciplinas científicas y tecnológicas[1].

En ciberseguridad no hay leyes naturales intrínsecas como en física o química, ya que es una disciplina aplicada que se nutre de construcciones matemáticas de la informática, como la teoría de autómatas, la complejidad algorítmica y la lógica. Muchos puntos de interconexión con campos formales están en el terreno de las ciencias de la computación, como la criptografía, teoría de tipos, y verificación de modelos. Dado que el trasfondo sobre el que se desarrolla es casi totalmente creado por el ser humano y es digital, las partes constitutivas son inherentemente comprensibles, pero el universo cibernético es complejo y a veces muestra comportamientos emergentes no previstos ni explicados. Mientras las disciplinas científicas se basan en describir y comprender cosas naturales, y la ingeniería propone cómo diseñar y fabricar artefactos artificiales que tengan las propiedades deseadas, la ciberseguridad puede contener elementos de cada una. Incluso antes de que se desarrolle una ciencia, la ingeniería induce reglas empíricas y buenas prácticas que, aunque útiles, no siempre funcionan[2].

Además, al existir "buenos y malos" se requiere la gestión de una tensión dinámica para mantener lo que se asume como consenso (análogo a un contrato social). Al haber oponentes intencionados, el razonamiento debe referirse tanto al universo construido como a las acciones y reacciones de las contrapartes, lo que compone un terreno fértil para la teoría de juegos, que tiene base matemática. Se puede especular sobre que la ciberseguridad tiene a las matemáticas como forma natural de razonar sobre ella, pero ninguna ciencia (exacta o social) se asemeja lo suficiente como para derivarle sus métodos, aunque existen analogías con algunos campos y comparte rasgos con ciencias que proporcionan orientaciones para la investigación[3].

La importancia de los datos

Medir es fundamental para la ciencia, y para cuantificar la seguridad las métricas deben cambiar con el tiempo para adaptarse a los entornos, pero allí gran parte de la experiencia implícita en la investigación es observacional, y por ende las métricas se limitan a lo observable. Por ejemplo, listar vulnerabilidades y asegurar que un sistema no es vulnerable a ellas se trata en el mejor caso de un enfoque retrospectivo. La detección de cambios ayuda a identificar anomalías, pero correlacionarlas con ataques reales requiere más investigación y aplicar ideas de otros campos. Además, las métricas son empíricas y de naturaleza estadística, por lo que no pueden aplicarse a escenarios que no están bien definidos, y lo que no puede observarse (como un ataque desconocido) no puede medirse. Más allá de esto, se requiere repetibilidad de resultados, que depende de la adhesión a criterios y normas. De allí que no sea obvio cómo componer las medidas en una única representación integral, dificultando la determinación de niveles de ciberseguridad universales[4].

La característica crucial de los datos, ya sean observacionales o experimentales, es que sean generalizables, por eso la experiencia solo hace avanzar la ciencia en la medida en que se pueda averiguar lo que un resultado significa en entornos más generales. En cualquier caso, en ciberseguridad hay falta de resultados experimentales, sumado a los bajos estándares para hacer y comunicar experimentos. Muchos profesionales siguen principios y métodos formales, pese a sus diferencias en objetivos y prioridades, que se reflejan en los procedimientos, y niveles dispares de abstracción o profundidad. El centrarse más en necesidades del mercado lleva a una mayor tendencia a la investigación aplicada y desarrollo de tecnologías y prácticas desplegables en el mundo real, en lugar de en un trabajo más teórico o exploratorio, que es también necesario[5]. Además, es clave nutrirse de la investigación en otras áreas, como base para comprender y resolver los problemas propios.

Un punto de contacto entre la ciencia y la ciberseguridad está en la llamada “ciencia de datos”, con aplicaciones comunes de interés como la identificación de patrones. Un ejemplo es la analítica de datos, con modelos actuales muy avanzados, precisos, y de alto rendimiento, y que involucra procesamiento y visualización. Otro ejemplo es el análisis de eventos, que usa técnicas estadísticas para analizar datos de diversas fuentes convergentes, y se aplica en sistemas de monitoreo avanzados. Finalmente, la propia seguridad a nivel de datos usa técnicas científicas basadas en la criptografía, para proteger la confidencialidad.

La ciberseguridad moderna busca soporte en la inteligencia artificial (área de las ciencias de la computación) y en especial en la rama del aprendizaje automático (machine learning) donde se entrenan algoritmos para identificar patrones, hacer predicciones o tomar decisiones. Esto se plantea como un intento de automatizar partes del método científico mediante técnicas matemáticas, por lo que es un proceso de inducción de conocimiento en el que los datos se observan para construir un modelo que se conforma como hipótesis[6].

Analogías y límites

Una búsqueda de analogías con otras ciencias permite encontrar senderos ya trazados según tipos de problemas y características similares. Podemos mencionar la economía, en cuanto al estudio de agentes en competencia, y de las tendencias; la meteorología (con base en la física) en cuanto al estudio de modelos complejos, y las predicciones; la astronomía, por su estudio eminentemente observacional; y la agricultura, por su desarrollo bajo atención continua en presencia de agentes externos evolutivos. Una mención especial es la medicina, por estudiar sistemas vivos con distintos niveles de abstracción, más la dificultad de cuantificar resultados para la salud, que tal como la seguridad, se degrada con el tiempo. En particular, la especialidad de inmunología se asemeja a la ciberseguridad de manera singular, ya que el sistema inmunitario cuenta con respuesta adaptativa, múltiples mecanismos de censado, y reacción inmediata ante la detección, y coincide con la necesidad de hacer experimentos controlados, y en diferentes escalas de tiempo[7].

En cuanto a las condiciones limitantes para una ciberseguridad científica, suele apuntarse la complejidad, pero en muchas disciplinas (como en biología) los objetos de estudio distan de ser simples y aun así se han encontrado formas de hacer experimentos. También se apunta a la ética como condicionante para definir acciones de investigación justificables y comportamientos no tolerables, pero en muchas áreas (como en medicina) las cuestiones éticas cuentan con directrices que guían la experimentación.

Según todo esto, los aparentes obstáculos para establecer la ciberseguridad como ciencia no deberían ser tales, ya que toda ciencia ha desarrollado formas de avanzar con sus propias restricciones fundamentales. Esto lleva a la necesidad de impulsar una seguridad que se construya por diseño desde principios racionales y éticos basados en definiciones, conceptos y teorías lógicamente coherentes y públicamente visibles y criticables[8].

Conclusiones

Aunque la ciberseguridad enfrenta desafíos para establecerse como una ciencia debido a su naturaleza compleja y la falta de leyes naturales intrínsecas, existen disciplinas científicas y tecnológicas que pueden proporcionar orientación e inspiración. Aunque la experimentación y la medición presentan desafíos, es importante fomentar una seguridad construida desde principios racionales y éticos, basada en definiciones claras y teorías coherentes. A pesar de los obstáculos, la ciberseguridad puede avanzar como una disciplina científica mediante un enfoque sistemático, estándares de experimentación y comunicación, y la investigación interdisciplinaria.