¿Conocen aquella máxima de “ten cerca a tus amigos, pero más a tus enemigos”? La citó Al Pacino en El Padrino cuando Michael Corleone (interpretado por el mismo Pacino) la explica como una enseñanza de su padre, Don Vito (Marlon Brando).
El célebre estratega chino del siglo VI a.C. Sun Tzu dijo algo parecido, en lo que se podría basar la afirmación del film de Francis Ford Coppola: “conoce a tu enemigo y conócete a ti mismo”.
En materia de seguridad informática, la primera afirmación no es válida, es mejor no tener cerca al enemigo. La segunda, obviamente, en toda situación es valiosa.
¿Y quien lo dice? No yo; si no el Instituto Naval de los Estados Unidos, un think tank de la marina estadounidense que estudia cuestiones sobre seguridad y la proyección de poder del país.
En un estudio realizado el año pasado, creando en la red social profesional LinkedIn un falso perfil de una especialista en seguridad que, supuestamente, trabajaba para el gobierno estadounidense, arrojó unos interesantes resultados.
Dicha ‘experta’ fue capaz de hacerse amiga de trabajadores reales de la administración, el ejército norteamericano, y sus cuerpos de inteligencia, y recabar mediante conversaciones información personal y profesional sensible.
La proximidad, el hecho de hablar con alguien con quien estaban seguros de compartir vivencias, generó una empatía que ‘aflojó’ la lengua de las víctimas de este falso perfil.
Esto es algo que no solamente aplica para la inteligencia militar o civil de un estado, sino también para las empresas, especialmente las grandes y posiblemente también muchas medianas.
Una guerra asimétrica de bajo coste
La gran ventaja de llevar a cabo este tipo de operaciones de inteligencia (conocida como inteligencia humana) es que no es muy caro (apenas se necesita alguien con un ordenador, una conexión a Internet y algo de ingenio) y pueden llevarlo a cabo incluso actores no estatales.
Esto abre muchas puertas: desde compañías privadas que pueden ofrecer sus servicios a actores estatales (contratistas independientes), y que pueden venir con algo de trabajo hecho bajo el brazo, hasta personas individuales por puro hobby, pasando por empresas como he mencionado antes, partidos políticos, y también -y esto es lo más temible- organizaciones terroristas y que buscan desestabilizar gobiernos y sociedades.
¿Cómo deberíamos actuar ante esto? En primer lugar, evaluar si compensa y realmente es útil disfrutar de presencia en las redes sociales y, en caso de que así sea, diseñar una estrategia de comunicación en estas (tanto en el perfil público como en los mensajes privados) que revele lo mínimo posible o nada en absoluto sobre quienes somos y qué hacemos a nivel de las tareas más sensibles.
Digamos que si James Bond estuviera en LinkedIn, en su currículum no constaría que es agente secreto del MI6 con licencia para matar, si no que probablemente explicaría que es agente comercial de International Exports, o bien ornitólogo (o ambas cosas), sus dos tapaderas habituales, por lo menos en las películas de la saga.
