Desde que se comenzó a poner foco en la seguridad de las aplicaciones, se estableció una mecánica entre los profesionales de seguridad y los de desarrollo que los pone en una situación de enfrentamiento. Mientras que el desarrollador suele enfocarse en conseguir que el sistema haga lo que se supone que debe hacer, el profesional de seguridad toma como punto de partida lo que el sistema no debe hacer. Sin embargo, entre ellos existen puntos en común: a ambos les gusta saber cómo funcionan las cosas, les interesa exigir hasta el límite y buscan construir el mejor sistema posible.
Para reconciliar estas diferencias, desde hace unos años se está realizando un abordaje desde el juego para avanzar sobre las metodologías de Modelado de Amenazas en sistemas. Cornucopia, un proyecto de OWASP (Open Web Application Security Project) nació en agosto de 2012 de la mano de Colin Watson, y utiliza esta modalidad para incluir aspectos lúdicos, también conocido como técnicas de gamification.
Si bien esta técnica tiene como principal objetivo realizar modelos de amenazas en sistemas y extraer requerimientos de seguridad antes del desarrollo de una aplicación, al hacerlo en un ambiente de juego, relajado y amigable, se dejan de lado las situaciones de enfrentamiento que se suelen generar entre las áreas de seguridad y desarrollo durante este tipo de actividades. Asimismo, esta técnica permite concientizar y difundir patrones de ataque entre los participantes, especialmente entre los menos especializados en temas de seguridad.
Con todos estos objetivos en mente y principalmente con la idea de que los participantes pasen el mejor tiempo posible, el analista de seguridad obtiene requerimientos, descubre bugs existentes en los modelos y también puede elaborar el plan de pruebas de seguridad del sistema que se está analizando. Incluso, cuando se utiliza adecuadamente, la relación de enfrentamiento y tensión que puede existir entre seguridad y desarrollo se modifica por una de colaboración.
Al tratarse de un juego de cartas, las actitudes defensivas frente a las actividades de seguridad suelen desaparecer. Al mismo tiempo, como es una técnica donde gana el que ataca exitosamente, todas las partes y no sólo los analistas de seguridad, se enfocan en buscar los defectos y problemas de esta índole.
Luego de desarrollar esta modalidad y aplicarla para diferente situaciones, tanto de manera interna como con clientes, llegamos a la conclusión que estas técnicas cuentan con mucha mayor aceptación entre las personas asociadas al desarrollo que los esquemas clásicos de modelado de amenazas. Quizá sea buen momento de empezar a jugar un juego donde todos ganemos. Sí, finalmente, la seguridad es un juego.