Locks, SOCs y un gato en la caja: la paradoja de Schrödinger en ciberseguridad

Hace poco tuve lo que pensé que era una idea brillante y única. (Alerta de spoiler: no lo era, pero ¡sigue leyendo!)

Como líder de marketing en ESET UK, parte de mi función es comunicar cómo nuestras soluciones pueden implementarse para proteger a las organizaciones, de una manera que ayude a aclarar la necesidad de actualizar a niveles más altos de ciberseguridad. Y esa necesidad de claridad es ahora más urgente que nunca.

Los líderes y organismos de ciberseguridad, incluido el Centro Nacional de Ciberseguridad del Reino Unido (NCSC), suelen afirmar que los ciberataques no son “una cuestión de si ocurren, sino de cuándo”. Así que quizá no sea exagerado describir a cada organización como si existiera en un “estado previo a la brecha”, una condición en la que las amenazas pueden estar presentes pero pasar desapercibidas.

Esto me recuerda a la famosa paradoja del gato de Schrödinger, donde un gato en una caja sellada está simultáneamente vivo y muerto… hasta que se abre la caja. La analogía puede ser un poco forzada, pero en términos de ciberseguridad, tu organización vive en un estado similar: está tanto comprometida como no comprometida… hasta que lo compruebas. Sin visibilidad, simplemente no lo sabes. Y cuando lo descubres, el daño puede estar hecho. Aunque la analogía no es perfecta y no refleja la física real, sirve para ilustrar la falta de visibilidad que enfrentan las organizaciones en materia de ciberseguridad.

Aceptar esta realidad exige un cambio de mentalidad y de estrategia. De hecho, para las organizaciones que no cuentan con herramientas para la búsqueda interna de amenazas y la monitorización de comportamientos maliciosos, se podría argumentar que esto representa una especie de “estado cuántico de brecha”, una dualidad similar a la que se encuentra en la teoría cuántica.

No me sorprendió descubrir que mi idea ya había sido compartida por otros, que usaron esta analogía para explicar la nueva realidad y animar a las organizaciones a revisar su estrategia de ciberseguridad. Un poco decepcionante desde el punto de vista del ego, pero también reconfortante porque claramente es una línea de pensamiento que resonó con algunos.

Ahora bien, voy a señalar algunas debilidades de la analogía, mientras intento reforzar el mensaje principal.

Aleatorio y no tan aleatorio

El experimento original, descrito por primera vez por el físico austriaco Erwin Schrödinger hace casi 90 años, se basaba en el azar de la desintegración radiactiva de un elemento que emitía una partícula que chocaba con un detector, lo que provocaba la liberación de veneno en la caja y, por tanto, la muerte del gato. Se trata de un azar determinado por la desintegración cuántica, mientras que el momento de la “detonación” del malware por parte de los delincuentes dentro de una organización está, la mayoría de las veces, planificado.

Se cree que el grupo de ciberdelincuentes de habla inglesa conocido como Scattered Spider, responsable de la filtración en Marks & Spencer (M&S) en el Reino Unido, llevaba semanas moviéndose por los sistemas de la empresa sin ser detectado. También se considera que este mismo grupo está detrás de la brecha de Jaguar Land Rover (JLR), a la que se hace referencia con frecuencia, y que se estima ha costado más de 2.000 millones de libras a la economía británica, siendo oficialmente la más costosa de la historia del Reino Unido.

Cabe suponer que se han empleado tácticas similares, aunque los detalles sobre el tiempo que los atacantes estuvieron presentes en los sistemas de JLR son escasos. En el caso de M&S, los autores pasaron mucho tiempo “viviendo de la tierra”, desatando el caos al comienzo del fin de semana de Semana Santa. El ataque a JLR, por su parte, se desencadenó el 31 de agosto de 2025, en vísperas del equivalente británico de Navidad y Acción de Gracias: el día de matriculación de coches nuevos (“new plate day”), el 1 de septiembre.

¿Al azar? Yo creo que no.

Por lo tanto, la analogía de la brecha cuántica no se sostiene del todo. Si tuviera que aventurar una conjetura, la fecha fue cuidadosamente planeada para causar el máximo trastorno, y funcionó espectacularmente bien para los atacantes (y espectacularmente mal para JLR, por supuesto).

Llegados a este punto, merece la pena recordar algunas estadísticas. Según el informe IBM Cost of a Data Breach Report 2025, el tiempo medio global para identificar y contener una filtración (es decir, todo el ciclo de vida de la brecha) es de 241 días, mientras que el tiempo medio para identificar una filtración es de 181 días. La incómoda realidad es que muchas organizaciones sufren una violación mucho antes de darse cuenta. Y cuanto más tiempo pase, más perjudicial será la eventual “detonación” del ataque.

Soluciones: Locks y/o SOC

Si, a estas alturas, has aceptado mi “teoría” de que tu organización se encuentra en un estado previo a la brecha, ahora puedes pensar en soluciones. Una opción habitual es adquirir o mejorar la seguridad (es decir, poner un lock más grande) o ir más allá: actualizar las herramientas EDR o XDR y comenzar la caza de amenazas. Esto último equivaldría a “abrir la caja” y observar, por supuesto.

Optar por lo primero (bigger locks) no ayuda necesariamente si se tiene en cuenta la amenaza interna, la ingeniería social y otras estrategias empleadas por grupos como Scattered Spider, responsables de las brechas en JLR y Marks & Spencer. Por grande que sea el lock, el robo de las llaves —o el hecho de que se entreguen al hacer clic en un enlace malicioso o seamos engañados para restablecer una contraseña— lo deja obsoleto.

¿Y qué pasa con los SOC?

Para que esto funcione, primero tendrás que crear un SOC y dotarlo de analistas de seguridad. Esto puede llevar meses y costar cientos de miles de libras/dólares/euros. Y eso incluso si logras contratar suficiente personal, algo complicado por la escasez global de profesionales cualificados en ciberseguridad. Así que, entonces, “vayamos a lo comando”, es decir, hagámoslo nosotros mismos.

Esta opción debe considerarse con cautela: no hay que subestimar la habilidad necesaria para manejar estas potentes herramientas y, cuando se activan, muchas organizaciones (la mayoría) se encuentran con que el volumen de telemetría, alertas y alarmas es tan abrumador que acaban desactivando muchas de ellas solo para reducir el ruido. Así pues, aunque el “estado cuántico” de la brecha ya está resuelto —es decir, ahora estás observando tus sistemas—, puede crear una situación peor y conducir a una falsa sensación de seguridad. Crees que estás bien cuando potencialmente no lo estás, porque puede que no tengas los conocimientos necesarios para analizar adecuadamente lo que ves.

Además, en ESET hemos visto un número creciente de pólizas de ciberseguros que insisten en la necesidad de contar con soluciones EDR para poder optar a la cobertura, lo que puede dejar a los profesionales ante un verdadero dilema: obligados a utilizar herramientas que requieren operadores altamente cualificados, sin la capacidad de usarlas correctamente para que la póliza siga siendo aplicable en caso de (inevitable) brecha. El estrés es probablemente una de las palabras más utilizadas en los equipos de ciberseguridad de todo el mundo para describir su día a día, y no es de extrañar.

Pero existe una tercera vía. Pedir ayuda a los proveedores que crean las herramientas y ofrecen servicios para cazar, supervisar y remediar estas amenazas es cada vez más el camino a seguir para organizaciones de todos los tamaños. Los servicios gestionados de detección y respuesta (MDR) resuelven este dilema: expertos que gestionan las herramientas, supervisión permanente, búsqueda proactiva de amenazas, detección rápida y corrección, entre otras cosas. Todo ello reduce el estrés, resuelve el “estado de brecha cuántica” y desactiva la ciberbomba, contribuyendo en gran medida a cumplir los requisitos de seguros y conformidad y, lo que es más importante, mitigando los daños causados por grupos APT y ciberdelincuencia que llevan tiempo activos.

Reality check

• Realmente no sabes que has sufrido una brecha hasta que observas la realidad dentro de tus sistemas. ¿Estás seguro de que no la has tenido?
• A menos que tengas las habilidades necesarias para buscar amenazas y remediarlas, las herramientas que intentes usar por tu cuenta pueden ser contraproducentes y generar más ruido, detrás del cual los atacantes podrían ocultarse. ¿Tienes esas habilidades?
• Incluso si cuentas con personal interno capaz de desplegar soluciones EDR/XDR, el tiempo medio para detectar y responder (MTTD y MTTR) será cientos de veces mayor que el que puede lograr un proveedor externo (por ejemplo, en ESET: MTTD < 1 minuto; MTTR < 6 minutos). ¿Sabes cuáles son tus propios tiempos de MTTD y MTTR?
• Construir el SOC necesario y ofrecer monitorización 24/7/365 es increíblemente costoso; para la mayoría de las empresas, esto es prohibitivo. ¿Tienes el tiempo (y el dinero) para crear y dotar de personal un SOC?
• Los servicios MDR, a través de MSPs y MSSPs, pueden activarse para organizaciones de cualquier tamaño, incluso desde un solo puesto o empleado..

Referencias:

• "El gato de Schrödinger en ciberseguridad: La paradoja de la incertidumbre"— compara las vulnerabilidades con el destino del gato y destaca la importancia de la monitorización proactiva. [linkedin.com]
• "Schrödinger's Breach " - resalta el tiempo de permanencia y la ilusión de seguridad hasta que se demuestre lo contrario. [ventaja.nz]
• Cyber Strategy Institute - utiliza la analogía para explicar la confianza y el riesgo como estados duales similares a los cuánticos. [cyberstrat...titute.com]