Pregunta equivocada: ¿cómo reducimos el riesgo? Pregunta correcta: ¿cómo haríamos para que nos robaran hoy?

Las auditorías de seguridad tradicionales buscan confirmar que los controles existen. El pensamiento inverso busca demostrar que no funcionan. Son ejercicios distintos con resultados distintos. Solo uno de los dos te dice lo que necesitas saber antes de que ocurra el incidente.

Qué es el pensamiento inverso

En lugar de preguntar "¿cómo protegemos el almacén?", preguntas "¿cómo haríamos para robar del almacén sin que nadie lo note?". El cambio de pregunta desactiva el sesgo de confirmación — el cerebro deja de buscar evidencia de que los controles funcionan y empieza a buscar evidencia de que fallan.

Charlie Munger, socio de Warren Buffett, usaba este método para evaluar decisiones de inversión: "Dime dónde voy a morir para no ir ahí." En seguridad, la lógica es idéntica.

Cómo hacer un ejercicio de Red Team sin presupuesto de consultoría

• ▸Reúne a tu equipo y cambia la pregunta: "Tienen 20 minutos para diseñar el robo perfecto a esta operación. Sin restricciones. ¿Cómo lo harían?"
• ▸Documenta cada método que el equipo proponga. Cada uno es una vulnerabilidad real que tu operación tiene hoy.
• ▸Prioriza por facilidad de ejecución y magnitud del daño potencial. Las vulnerabilidades más fáciles de explotar son las más urgentes.
• ▸Diseña controles específicos para cada método identificado. No controles genéricos: controles que cierren exactamente esa brecha.
• ▸Repite el ejercicio cada seis meses. Las vulnerabilidades cambian cuando cambian los procesos.

Lo que el Red Team revela que la auditoría no ve

Una auditoría verifica que el procedimiento de recepción de mercancía existe y está documentado. Un ejercicio de Red Team descubre que el procedimiento se omite cuando hay presión de tiempo, que el supervisor de turno nocturno no lo conoce, y que la cámara del área de descarga lleva tres semanas sin grabar porque nadie reportó la falla.