Gamificación en Ciberseguridad: Una cuestión de pedagogía
Cuando esperé por realizar este artículo, la primera noción de ciberseguridad en materia práctica nos conduce a una apertura total a una disciplina técnica y tecnológica. En virtud a este concepto, muchos consideran que la ciberseguridad es una ciencia abstracta y notable para algunos, que recientemente se adentran al mundo de la seguridad en la información y otras áreas, como la ingeniería de software o ingeniería de sistemas.
En este sentido algunos de los escenarios prácticos en cualquiera de estas líneas se caracteriza por enfatizarse por los aspectos teóricos y conceptuales hacia un mundo tejido por “bits y bytes”, cuestión que limita seriamente a otras disciplinas a poder actuar de manera interdisciplinaria en la vocación de la seguridad cibernética o digital.
El limitado campo de acción ante los panoramas sensibles de los números y de la ciencia todavía es escasa; y esto se traduce en la carencia de competitividad en áreas como: la ciencia de los datos y las ciencias computacionales. Desde esta óptica sigue siendo un camino complejo para aquellas personas que no son de “números” y no de letras. Otras profesiones se han encasillado en ser pertinentes y oportunos en describir el derecho informático como una salida confiable y robusta para poder actuar dentro de esta área apetecida por muchos. Sin embargo sigue siendo escasa y ambigua la tarea de poder encontrar factores comunes que transversalizan ese conocimiento.
Alta oferta, poca demanda
Una tendencia que se viene acumulando necesariamente en esta disciplina de la ciberseguridad, son los profesionales que se exigen para ser parte de una organización y compañia que ofrezcan servicios de ciberseguridad, en un alto grado de certificaciones y experiencia laboral.
Este escenario nos involucra frente a la necesidad de crear espacios de entrenamiento confiable que permitan a todas las áreas (no de números solamente), ser partícipes de los escenarios de seguridad cibernética mundial (Leer OEA WhitePaper) en donde lo fundamental, es poder ganar dichos escenarios ante los nuevos retos que involucran los saberes en este ámbito.
El sector académico tiene una gran labor, y frente a esto, se ha evidenciado que muchos círculos de aprendizaje y de semilleros de investigación académica han optado por crecer de manera tangencial en esta materia; desde el sector privado se han invertido recursos humanos y tecnológicos para afrontar esta gran demanda de profesionales. Asimismo han crecido los escenarios de competencias gestionadas por medio de competencias (CTF, juego de roles y challenge) para descubrir nuevos talentos en estas áreas.
Gamificación en Ciberseguridad: y su base conceptual
Frente a estos retos, la academia ha traído consigo muchos elementos de manera conceptual a la parte práctica de las necesidades para poder enseñar con bases pedagógicas y basado en un riguroso método de aprendizaje, como lo es la “gamificación”. Estas bases se reflejan en los trabajos que han efectuado algunos pedagogos en este campo para poder introducir estos nuevos conocimientos en empresas y organizaciones.
La base técnica y estado del arte nos conduce de estos escenarios de juego, como se evidencia en otros campos más complejos, como el derecho. La gamificación informática en ciberseguridad nos debe trasladar a poder establecer una conexión directa con un dicente o aprendiz. Dadas estas circunstancias válidas para poder determinar los objetivos de aprendizaje orientados al mundo real y los factores de amenaza que pueden enfrentar en el mundo real.
Beneficios del aprendizaje por medio de juegos
Dentro de esta misma temática, se puede demostrar que se valoran algunos aspectos que se convierten en criterios benéficos en este aprendizaje:
- La gamificación aumenta la motivación por el aprendizaje. …
- La dificultad va en aumento. …
- Hace más divertidas las asignaturas. …
- Favorece la adquisición de conocimientos. …
- Aumenta la atención y la concentración. …
- Mejora el rendimiento académico. …
- Estimula las relaciones sociales.
De otro modo, la experiencia jugando, puede aumentar las nuevas formas de ver el mundo cibernético y su aprendizaje. RedCiber se ha encargado de crear las bases técnicas y formales de este aprendizaje, por medio de actividades de sensibilización, permitiendo que por medio de actividades de innovación en el uso de las TIC, se pueda ejecutar la medición y evaluación de las capacidades blandas y duras de un estudiante que se inicia en ciberseguridad.
Muchas de las experiencias que se traducen en este medio se pueden soportar por medio de trabajos locales en esta área en Colombia. Otras evidenciadas en trabajos monográficos como se observa en la “LA GAMIFICACIÓN INFORMÁTICA COMO ESTRATEGIA PARA EL USO Y APROVECHAMIENTO DE LA NOTIFICACIÓN JUDICIAL ELECTRÓNICA EN EL CÓDIGO GENERAL DEL PROCESO” y posteriormente haber sido testeado y puesto en práctica con éxito ante diferentes profesionales en el campo de la economía, derecho, administración de empresas,entre otros.
Simulación adversarial para mejorar la ciberseguridad proactiva
Uno de los conceptos técnicos que se traducen en la necesidad de las organizaciones, a nivel táctico, estratégico y operativo, y más aún en una época en que la educación sobre seguridad cibernética y los componentes asociados a la comprensión de los diferentes factores que impactan lo negocios y la transformación digital, ha permitido crear una metodología que permite afianzar más el conocimiento del modo de actuar de los cibercriminales. Para Fred B. Schneider de la Universidad de Cornell los elementos claves para construir un conocimiento basado en un “juego de roles” se basa en un conocimiento previo del adversario tecnológico, lo que sugiere un conocimiento profundo para poder entender de qué manera interactúa este adversario.
Desde la revista Bosch he publicado un artículo titulado: “Simulación de ataques adversariales: Enfoque teórico-práctico para enfrentar el Cibercrimen”, el cual contiene una visión innovadora y disruptiva de ver la gamificación frente a la oportunidad del aprendizaje desde “0” en adelante, y poder entender de qué manera un “ciberdelincuente” puede acceder a nuestra triada de la seguridad: “Disponibilidad, Integridad y Confidencialidad”.
Simulación de ciberataques orientados a empresas
En este escenario particularmente se establecen ciertos parámetros que pueden desarrollarse bajo un enfoque de riesgos orientados a la organización en específico, en el que se establecen ciertos criterios que pueden tener una orientación la cual define (Rios Insua, y otros, 2019) en lo concerniente a cuatro aspectos esenciales, a saber:
- La Amenaza física
- La Ciberamenaza
- El costo sobre el activo tradicional, y
- el costo sobre el ciberactivo
Para determinar un total de costos se realiza la sumatoria resultante de determinar la afectación económica considerada, frente al éxito del ciberataque.
El modelo de costos, y lo considerado de los niveles de riesgo asociados, se expone ante el modelo de riesgos asociados que expone (Ortiz Ruiz, Aproximación técnica para la Elaboración e Implementación de Estándares basados en NIST, 2020), pág 4; en donde se determina que la organización debe tener en cuenta los siguientes aspectos:
En esta última, se define particularmente cuáles son estas capacidades para interpretar los riesgos asociados, el perfil de activo amenazado y los activos críticos para poder determinar esas características que involucra la evaluación primaria y determinante para el desenvolvimiento de las actividades pertinentes en la elaboración de la simulación adversarial.
Lo modelos de defensa orientados a los riesgos y amenazas, son particularmente el enfoque de una simulación adversarial, entre ellos se conciben diferentes elementos que en inteligencia cibernética se van a tener en cuenta para poder ejecutar tareas de control y respuesta ante eventuales ciberataques controlados. Seguido de lo anterior, se pueden describir las características de los ciberdelincuentes actuales, como se enmarca dentro de (Ortiz Ruiz, Ciberseguridad: Metodología aproximada para realizar investigación en Inteligencia Cibernética, 2020) en donde se tienen en cuenta las siguientes características:
- Phishing/smishing/vishing
- Business email compromise
- Fraud Email Compromise
- Bulletproof hosting
- Herramientas de anonimización
- Abuso del uso de las Criptodivisas
El estudiante puede determinar situaciones de riesgo, con el aprendizaje de modelos interactivos de “ciberseguridad”, lo que permite interactuar mediante juegos de roles, juegos de apariencia, juegos de sentimiento, para poder conducirlo a tomar decisiones vitales para darle continuidad el negocio y proteger su infraestructura.
Reflexiones finales sobre la metodología de gamificación en ciberseguridad
Establecer una dinámica ante los ciberataques ha sido y será la preocupación para cada uno los investigadores en Ciberseguridad global. Particularmente en el momento de poder descubrir cómo actúa el ciber atacante y mediante qué acciones poder ejecutar cada uno de estos escenarios.
Para la comunidad académica es importante definir una hoja de ruta en la orientación y capacitación en ciberseguridad, en virtud de que se conozca desde la etapa de aprendizaje las diferentes herramientas que posee un estudiante para entender cómo se desenvuelven realmente los ciberdelincuentes o adversarios.
Es importante definir unas pautas que permitan facilitar y entregar elementos conceptuales y dinámicos ante la consecuencia de poder entender los diferentes aspectos que abordan el conocimiento técnico real y el estado del arte en la materia de la simulación y aprendizaje de los ciberataques.
En una segunda parte de este artículo se definirán aquellas herramientas para poder medir y cuantificar los resultados en aprendizaje obtenidos para poder facilitar al estudiante los diferentes mecanismos apropiados para poder entender las simulaciones adversariales.
No existe un límite de edad o comprensión del enfoque metodológico para poder entender la dinámica adversarial y los componentes asociados a estos escenarios de sensibilización.
Para una persona que requiera sensibilizarse en ciberseguridad, no existe edad, no existe limitante frente al área que se se encuentre o qué dificultades posea. En virtud a esto, es importante determinar mediante una exploración de conceptos (gamificado), una medición básica para iniciar y aprender jugando!!