El atractivo del riesgo desde la perspectiva del agresor, en contextos como la criminología, la psicología o la seguridad, puede ser entendido desde varias dimensiones. Los agresores pueden encontrar atractivo en el riesgo por diversas razones, a menudo relacionadas con su psicología, circunstancias socioeconómicas o incluso por la pura búsqueda de adrenalina.
Los agresores pueden ser atraídos por el riesgo si perciben que la recompensa (dinero, poder, estatus) supera los peligros asociados con el acto agresivo o criminal. En algunos casos, la atracción hacia el riesgo puede estar motivada por la desesperación o la necesidad, como en situaciones de pobreza extrema, donde los riesgos de la acción agresiva se perciben como menores en comparación con las consecuencias de no actuar.
La casuística aquí puede ser amplia; algunas personas se sienten atraídas por el riesgo debido a la excitación que provoca. La adrenalina y la emoción de “jugar con fuego” pueden tener un poderoso motivador. El deseo de probarse a sí mismo, de superar desafíos o de competir con otros (incluidas las fuerzas del orden) puede hacer que el riesgo sea atractivo.
Algunos agresores pueden estar motivados por creencias ideológicas o un sentido de justicia distorsionado, lo que les hace percibir los riesgos de sus acciones como justificados o incluso honorables.
Asimismo, algunos casos suponen una percepción del riesgo alterada por factores psicológicos, como la impulsividad, o por el uso de determinadas sustancias, lo que puede hacer que un individuo subestime los peligros reales asociados con sus acciones.
Y nunca se puede descartar la influencia del entorno social y las normas del grupo, que pueden hacer que el riesgo sea más atractivo. Por ejemplo, si un individuo está inmerso en un entorno donde el comportamiento agresivo o arriesgado es la norma o es admirado, es más probable que encuentre atractivo el riesgo.
En definitiva, comprender el atractivo del riesgo desde la perspectiva del agresor es muy importante a la hora de desarrollar estrategias efectivas de prevención y para diseñar sistemas de seguridad que mitiguen tales comportamientos.
Por otra parte, la vulnerabilidad de un activo desde la perspectiva del agresor implica la identificación y explotación de debilidades en la seguridad de ese activo. Un “activo” puede referirse a una variedad de cosas, incluyendo sistemas informáticos, infraestructura física, o incluso personas e información. Desde la perspectiva del agresor, evaluar la vulnerabilidad de un activo generalmente conlleva una serie de cuestiones, comenzando con la identificación del activo que tiene valor.
El agresor recopilará información sobre ese activo para entender mejor su importancia, cómo está protegido, y cómo se utiliza o se accede a él. Esto puede incluir la recopilación de datos de fuentes abiertas, ingeniería social para obtener información de los individuos, o infiltración física o digital para evaluar directamente las defensas y operaciones.
Basándose en la información recopilada, el agresor identifica vulnerabilidades o debilidades. Estas pueden ser:
- de naturaleza técnica (como software desactualizado, configuraciones incorrectas, contraseñas débiles),
- de naturaleza física (como seguridad perimetral inadecuada, accesos no vigilados), o
- de naturaleza humana (como empleados susceptibles a la manipulación o con acceso excesivo).
Una vez identificadas las vulnerabilidades, el agresor planificará y ejecutará una estrategia para explotarlas. Esto puede llevar a la realización de un ciberataque, al acceso físico no autorizado, a la manipulación de empleados o usuarios, o una combinación de lo anterior.
Una vez explotada con éxito la vulnerabilidad, el agresor accede al activo y lleva a cabo sus pretensiones (robo de información, alteración de datos, interrupción de servicios, o uso del activo comprometido para otros fines).
Como vemos la correcta protección de los activos ante posibles agresores requiere evaluaciones de vulnerabilidad regulares, implementación de medidas de seguridad robustas (tanto físicas como digitales), capacitación de los empleados en prácticas de seguridad y, naturalmente, mantenerse al día sobre amenazas y tendencias en el panorama de seguridad.
La combinación de atractivo y vulnerabilidad de un activo desde la perspectiva del agresor crea escenarios en los que es probable que dicho activo sea el objeto de una acción hostil. Esta combinación es crítica porque, como hemos visto, alinea la motivación del agresor (el atractivo del activo) con la oportunidad (la vulnerabilidad del activo).
Los activos con alto valor percibido, ya sea económico, informativo, estratégico o simbólico, son más atractivos para los agresores. Si comprometer un activo puede llevar a consecuencias importantes (interrupciones operativas, pérdidas financieras, daños reputacionales, …) será más atractivo para un agresor. Además, no podemos obviar el hecho de que algunos activos que pueden ser utilizados como trampolines para ataques futuros o para lograr objetivos a largo plazo, y esto también los hace más atractivos (por ejemplo, una red informática que puede ser utilizada para lanzar ataques adicionales).
Las deficiencias en el software, hardware o configuraciones pueden hacer que un activo sea vulnerable a ataques. La falta de medidas de seguridad física adecuadas (cerraduras, vigilancia, control de acceso) puede hacer que un activo sea fácilmente accesible. La falta de concienciación y formación en seguridad, o el riesgo de ser manipulados (a través de la ingeniería social, por ejemplo) pueden ser vulnerabilidades críticas.
Cuando un agresor percibe que un activo es atractivo y vulnerable, el riesgo de un ataque o explotación aumenta significativamente, puesto que la combinación de un alto incentivo y un camino claro y accesible hacia el ataque del activo representa una oportunidad óptima desde la perspectiva del agresor.
Proteger los activos contra escenarios como los descritos conlleva:
- Evaluar y priorizar activos, es decir, identificar cuáles son los activos más críticos y cuáles tienen el mayor valor para la organización.
- Evaluar los riesgos de manera regular, para comprender cómo el atractivo y la vulnerabilidad de un activo pueden cambiar con el tiempo.
- Implementar medidas de seguridad multicapa, utilizando para ellos un enfoque de seguridad en capas que aborde la seguridad física, la ciberseguridad y la seguridad humana.
- Capacitar y concienciar al personal; que esté correctamente informados acerca de los riesgos de seguridad y de cómo sus acciones pueden influir en la seguridad de los activos.
- Responder y recuperar, es decir, tener planes claros y ensayados para responder a incidentes de seguridad y recuperarse de ellos.
Finalmente, como conclusión, entender la interacción entre el atractivo y la vulnerabilidad de un activo, facilita y mejora el diseño y desarrollo de estrategias de seguridad más eficaces y efectivas para proteger los recursos más valiosos de las organizaciones contra amenazas potenciales.
SÍGUENOS EN ...
