Estimado muy honorable señor presidente
de nuestra nación milenaria e inmortal:
Esta comunicación
no pretende ser un informe completo sobre cómo adaptar la propaganda
a la era de Internet, sino una breve introducción a la problemática
cibernética.
Como consecuencia de
la generalización del uso de la red Internet, se establece una nueva
circunstancia donde individuos y organizaciones interactúan por
multitud de medios sin filtrar. Esa nueva manera de interactuar
incrementa la superficie de impacto, por lo que se precisa establecer
un conjunto de procesos y actitudes enfocadas a la prevención,
amortiguación, contraataque, y ataque.
Por lo que respecta
a la prevención del robo de información, se han de establecer unos
requisitos de seguridad, con el objetivo de evitar el acceso a
información confidencial. Por ejemplo, no guardar información
sensible de la organización en servidores Web de servicios
secundarios, pues cualquier adolescente siguiendo ejemplos
disponibles, podría obtener un volcado de la base de datos,
desvelando que personas de su organización están registrados con un
email de otra organización, exponiendo a ser objetivo de
investigación o escarnio público.
Otro elemento de
prevención es la acción directa sobre las fuentes de riesgo. Pese a
ser Internet un contexto de dimensión masiva, el comportamiento
humano es predecible. Las personas interactúan de manera periódica
en los mismos sitios virtuales, y su interacción y la temática de
la misma, suele corresponderse con gustos y tendencias de ese
momento. De lo anterior, el ataque a su organización vendrá por
enemigos persistentes, i.e. personas que tienen una cruzada personal
contra su organización como entretenimiento, misión vital, desfogue
puntual, malentendidos, o críticas objetivables. Para el caso del
enemigo persistente, lo más efectivo es ignorarle, o en caso
necesario, neutralizarle haciéndole parecer alguien sin luces en una
cruzada irracional. Para lo puntual, puede amortiguar el drama
mediante colaboradores no vinculables directamente a su organización,
quitándole hierro al asunto y haciendo desistir a la amenaza
mediante comprensión y empatia calculada. Y para las críticas
objetivables, reconocer el error y pedir disculpas, en la medida que
las consecuencias sean insignificantes.
Si bien los
distintos servidores -ordenadores que están siempre encendidos dando
servicio automatizado de manera remota- pueden ser vulnerables si no
se pone cuidado en la seguridad, la fuente de riesgo mayor son las
personas. E.g. si alguien de su organización dice en algún medio
alguna barbaridad, ya sean comentarios xenófobos, machistas,
despectivos, arrogantes, o cualquier cosa que pueda ser susceptible
de ser manipulada, puede suponer un punto de ataque aprovechable
inmediatamente por sus adversarios. De ahí la importancia de que las
distintas personas expuestas al público sean conscientes de los
riesgos para su organización. Es de especial importancia que jamás
se enzarcen con desconocidos, y respondan con educación y
corrección, aún cuando sean insultados: un instante de vanidad o
egocentrismo puede suponer la destrucción de activos valiosos de su
organización. El crítico anónimo puede ser cualquiera, desde un
adolescente cabreado, a un alto cargo de otra organización
haciéndose pasar por un descerebrado con el objetivo de sacar de sus
casillas a algún miembro de su organización, para erosionar su
imagen.
Cuando la prevención
no consigue atajar el problema, ya sea por no tener focos
localizables, o por tener focos localizables manejados por grupos con
masa crítica suficiente para mantener la amenaza, se ha de
amortiguar el problema y hacer un cálculo de daños. Para el caso de
ataque generalizado disperso, e.g. calumnias sin pruebas reenviadas
masivamente mediante mensajería telefónica sin ser promovido por
grupos organizados, si bien supone una erosión de la imagen, no
suponen un riesgo importante. Cuando se de en medios públicos, ya
sea en redes sociales, o en publicaciones digitales, el gabinete
jurídico se ha de poner en marcha cuanto antes para administrar la
situación. Haciendo presión a individuos para que borren los
comentarios, y a los medios para que maticen la información o
censuren/moderen comentarios que supongan un riesgo para su imagen.
Tenga en cuenta que la censura y la amenaza, puede resultar
contraproducente, por el efecto
Streisand.
Si el intento de
contención fracasa, su organización ha de contraatacar. Ataque,
entendido como un recurso más de propaganda, que no tiene por qué
ser necesariamente ilegal, aún cuando suponga usar información
inconexa o sin confirmar. En caso de que se le presione, puede
reconocer que en su organización se perdieron los papeles por “los
nervios”, por “no ser expertos en la materia”, o por “ser
desbordados por las circunstancias”.
Un ejemplo de
contraataque, donde información de su organización se haya hecho
pública, y el motivo se deba a incompetencia de administración,
usted puede argumentar que ha sido un ataque informático muy
avanzado, mostrándose como víctima, y avisando de que los datos
filtrados pueden contener manipulaciones para perjudicar a su
organización, y que se niegan a comentar nada sobre los mismos, más
allá de asegurar que las personas afectadas están siendo
asesoradas, y que se tomarán acciones legales. También pueden hacer
pública desinformación sobre el origen de los ataques, e.g. se
observan direcciones IP que podrían estar relacionadas con enemigos,
sin dar detalles específicos, etc.
En el caso de ser su
organización la que precise iniciar un ataque dirigido, e.g. contra
organizaciones o individuos a “desactivar”, pueden recurrir a
técnicas de disuasión. Dentro del recurso tradicional estaría la
amenaza para coartar su libertad de expresión, por ejemplo, “pare
de molestar, o llegaremos a los tribunales”. En el caso de personas
u organizaciones que suponen una amenaza, estaría el recurso de la
infiltración y generación de paranoia, e.g. ante comentarios
desfavorables en algún medio, aprovechar la ignorancia del
internauta medio para amedrentarle con “eres tú, pues se ve por tu
IP”, aún cuando eso no sea cierto (para saber la dirección de
Internet de un usuario se precisa acceso al servidor, y eso, en el
caso de que el usuario no esté usando software para ocultar su
rastro a traves de varios servidores intermedios, si bien los
detalles técnicos son desconocidos para la mayoría de internautas).
Si lo que precisa es
un ataque preventivo, e.g. algún evento donde se ponga a prueba su
organización, como algún proceso consultivo o judicial, podrá
asociar el interés o tráfico de Internet relacionado con
interacciones o noticias, a ataques por parte de elementos hostiles.
Por ejemplo, podría hacer ver que se dio un ataque por parte de
competidores o inteligencia de otros países. Basta con que encuentre
con antelación fallos de seguridad en las decenas de miles de webs
de las distintas organizaciones, para modificar alguna redirección y
que vaya a su servidor. Incluso podrá demostrar ante notario que es
atacado por quien más le interese.
Y lo más
importante, recuerde no perder la calma.
R. Gaab
No comments:
Post a Comment