Autor: Jeimy Cano, Ph.D, CFE – Colombia

Los eventos internacionales y las noticias alrededor de los ataques cibernéticos y sus impactos parece generar un efecto amplificador del riesgo cibernético que permite tanto a la sociedad como a las organizaciones mantener un nivel de atención importante sobre la dinámica de este riesgo y la relevancia del mismo para el desarrollo de sus negocios.

 Considerando los elementos de amplificación del riesgo como son: (Kasperson et al., 1988)

  • filtrado de señales (sólo se procesa una fracción de toda la información entrante);
  • decodificación y reformulación de las señales;
  • Procesamiento de la información sobre riesgos (por ejemplo, inferencias);
  • atribución de valores sociales a la información como base para extraer implicaciones para la gestión y la política; y
  • el cambio de comportamiento de individuos e instituciones,

éstos establecen la base sobre la cual las comunicaciones que alrededor de los ciberataques se generan a nivel internacional, para mantener una tensión consistente y concreta sobre la importancia que se le debe dar a dichos eventos. No obstante, pueden existir ciertos eventos que los especialistas pueden estimar de bajo impacto y ganar toda la atención de la sociedad, y viceversa, aquellos que los expertos establecen con graves consecuencias, y la dinámica social le ofrece menos atención.

En este sentido, es posible que eventos de interés particularmente en el escenario cibernético se puedan estar atenuando y creando una zona de opacidad e inestabilidad que pueda sorprender tanto a las organizaciones como los Estados, en la gestión y atención del riesgo cibernético. Basado en lo anterior, los académicos Kasperson (Kasperson & Kasperson, 1991) establecen los fundamentos de los “riesgos ocultos” como aquellos con una extrema atenuación de ciertos sucesos de riesgo, de modo que, a pesar de sus graves consecuencias para los causantes del riesgo y la sociedad en general, pasan prácticamente desapercibidos y desatendidos, y a menudo siguen aumentando sus efectos hasta alcanzar proporciones de catástrofe.

Estos riesgos ocultos terminan configurando sorpresas predecibles (Bazerman & Watkins, 2004) que son aquellas donde:

  • Los líderes permanecen ajenos a una amenaza o problema emergente,
  • Los líderes reconocen la amenaza, pero no le dan la prioridad,
  • Los líderes reconocen la amenaza, dan la prioridad, pero no responden eficazmente,

las cuales crean crisis institucionales o nacionales cuando dichos riesgos se materializan, y las organizaciones y Estados sólo reaccionan, sabiendo que se pudo haber anticipado o preparado considerando la información y detalles sobre las tendencias, señales débiles, anomalías o inciertos propios de la dinámica de su negocio o del contexto de la nación.

Los Kasperson (1991) establecen cinco elementos que impulsan la atenuación de los riesgos los cuales se detallan a continuación:

  • Los peligros elusivos globales implican una serie de problemas complejos (interacciones regionales, acumulación lenta, largos desfases temporales, efectos difusos). Su incidencia en un mundo políticamente fragmentado y desigual tiende a silenciar su poder de señalización en muchas sociedades.
  • Los peligros ideológicos permanecen ocultos sobre todo porque están integrados en una red social de valores y supuestos que atenúa las consecuencias, eleva los beneficios asociados o idealiza ciertas creencias.
  • Los peligros marginales afectan a las personas que ocupan los bordes de las culturas, sociedades o economías, donde están expuestas a peligros alejados y ocultos por los que se encuentran en el centro o en la corriente dominante. Muchos de los que se encuentran en estas situaciones marginales ya están debilitados o son muy vulnerables, mientras que disfrutan de un acceso limitado a los derechos y pocos medios alternativos para hacer frente a la situación.
  • Los peligros amplificados tienen efectos que eluden los tipos convencionales de evaluación de riesgos y análisis de impacto ambiental, por lo que a menudo se permite que sus consecuencias secundarias crezcan antes de que se produzca una intervención social.
  • Y, por último, los peligros que amenazan los valores alteran las instituciones humanas, los estilos de vida y los valores básicos, pero como el ritmo del cambio tecnológico supera la capacidad de respuesta y adaptación de las instituciones sociales, la falta de armonía en los propósitos, la voluntad política y los esfuerzos dirigidos impiden respuestas eficaces y los peligros crecen.

Basado en esta propuesta conceptual una nueva evolución del riesgo cibernético podría estarse gestando de forma velada en medio de la dinámica del mundo actual. Una posible lectura de este avance se detalla a reglón seguido por cada uno de los elementos mencionados previamente:

  • Peligros elusivos globales – En un mundo fragmentado, desigual y polarizado la dinámica digital de las naciones crea entornos con microcomunidades, tribus y necesidades de comunicación que se traducen en movimientos activistas digitalmente correctos (asociados con demandas legítimas de las personas) e incorrectos (con acciones de hecho afectando las infraestructuras tecnológicas) que tienen la capacidad de crear inestabilidad e incierto por cuenta de acciones coordinadas que afecten no sólo a empresas, sino a naciones. Estos grupos son un escenario natural para potenciar acciones de intereses nacionales o de operaciones cognitivas de otros Estados para crear escenarios inéditos poco perceptibles y eficaces en el tiempo, que pueden terminar con la implosión de un país.
  • Peligros ideológicos – En línea con lo anterior, la expansión del poder político y el uso de las redes sociales como medio de conexión ágil y eficiente, confirma una manera de comunicar y fortalecer una posición, que mantiene un imaginario que da cuenta de la agenda de un mandatario, disminuyendo aquellos eventos que puedan oscurecer su postura frente a las personas. La persuasión y amplificación de mensajes usando influencers o mecanismos como bots (ahora potenciados con inteligencia artificial generativa) crea un espectro de expansión y control que puede pasar desapercibido con efectos adversos a largo plazo.
  • Peligros marginales – El discurso de los “nadies”, de “los que no tienen voz”, del “pueblo” ahora situado a través del uso de tecnologías móviles y exacerbado por las dinámicas sociales, crea mayores fisuras y menos escenarios conciliación. Por tanto, los mensajes no harán énfasis en el 80% que ha tenido y logrado beneficios, sino en el 20% que no logró recibir los beneficios, estableciendo y profundizando el concepto de los “ricos” y “pobres” que crea división y establece una ruta asistencialista que marca la agenda de las naciones en vía de desarrollo, y debilita el aparato productivo de los países en el largo plazo.
  • Peligros amplificados – Las noticias más relevantes sobre los ciberataques hacen énfasis en las técnicas, tácticas y procedimientos de los atacantes, creando una sensación de especialidad y complejidad que genera un “estatus” a los adversarios, ocultando la dinámica real alrededor de sus prácticas internas que los hacen más efectivos, como son el compartir, el experimentar, el probar y tomar riesgos para lograr sus objetivos. De esta forma, se crea un imaginario en los analistas que busca equiparar sus competencias con su adversario y seguir la vía tradicional de la gestión de riesgos, en lugar de concretar escenarios no convencionales que trate de sorprenderlos en su propio terreno creando mayor incierto en sus acciones y obligándolos a revisar su propio análisis de riesgo.
  • Peligros que amenazan los valores – Los ciberataques cada vez más van a generar situaciones que amplifiquen las tensiones y los miedos tanto en las personas como las organizaciones y las naciones. La connotación de un estado sitio cibernético o la experiencia de una estado de excepción por crisis cibernética, estarán planteadas por los adversarios. De esta forma, debilitar la institucionalidad y la capacidad de protección del Estados a sus conciudadanos, tendrá una profunda huella en los imaginarios humanos y por tanto, la sensación de indefensión será una nueva estrategia para degradar y comprometer la experiencia social de las naciones y las organizaciones.

Estas posibilidades advierten de una rápida evolución del riesgo cibernético ahora situado y desarrollado en la dinámica social, como un elemento que articula agendas políticas, sociales y económicas, que apalancado en una mayor democratización tecnológica de iniciativas digitales y estrategias de desinformación, logra pasar desapercibido en los más detallados análisis de riesgos, los cuales sitúan este riesgo en la esfera tecnológica exclusivamente, ignorando su esencia sistémica que genera efectos inesperados por su alto acoplamiento con las dinámicas sociales y activa interacción a través de dispositivos tecnológicos.

En este contexto, el riesgo cibernético se advierte como un riesgo oculto, que maximizando su visibilidad sensacionalista de los efectos en las infraestructuras, logra mimetizarse rápidamente en medio de los escenarios sociales, políticos y económicos, para pasar desapercibido y crear condiciones de inestabilidad, incierto y caos, que terminen atribuidas a eventos conocidos y naturales de la sociedad, cuando desde la perspectiva cibernética son otras las dinámicas y las agendas que se plantean para crear los contextos de incertidumbre y ambigüedad que terminan afectando la forma como las personas perciben y entienden la realidad.

Si las organizaciones y naciones mantienen su foco de atención al riesgo cibernético sólo en sus efectos tecnológicos, es probable que no tengan margen en el futuro para defender la institucionalidad y gobernabilidad de sus propios dominios de operación, pues estarán completamente infiltrados y manejados por agendas que se han instalado de forma silenciosa y eficiente, donde un tercero ha logrado su misión y prepara la puesta en marcha de la siguiente parte de su plan: confundir al propio objetivo y reafirmar la apuesta de una sociedad con una lectura influenciada y manipulada, y así, perpetuar su influencia en el discurso e imaginario social.

Defender la integridad cognitiva de la sociedad deberá ser un nuevo imperativo digitalEste debe ser abordado con precisión quirúrgica, vocación democrática y estrategias de defensa híbrida  para motivar las transformaciones sociales y la innovación empresarial que habilite la prosperidad social y económica de las naciones que ahora hacen parte de la economía digital global.

Referencias

Bazerman, M. & Watkins, M. (2004). Predictable surprises. The disasters you should have seen coming and how to prevent them. Boston, MA. USA: Harvard Business School Press

Kasperson, R. E. & Kasperson, J. X. (1991). Hidden hazards. En D. G. Mayo & R. D. Hollander (eds.) Acceptable Evidence: Science and Values in Risk Management. New York: Oxford University Press, pp. 9-28.

Kasperson, R. E., Renn, O., Slovic, P., Brown, H. S., Emel, J., Goble, R., Kasperson, J. & Ratick, S. (1988). The Social Amplification of Risk: A Conceptual Framework. Risk Analysis, 8(2), 177–187. doi:10.1111/j.1539-6924.1988.tb01168.x