Verena Zimmermann está convencida de que es demasiado simplista considerar a las personas únicamente como un factor de riesgo en materia de ciberseguridad. En su lugar, se deberían aprovechar las capacidades especiales de los usuarios de forma específica para aumentar la ciberseguridad.
Cuando se habla de ciberseguridad, muchas personas piensan inicialmente en tecnologías sofisticadas, como programas de cifrado, filtros de correo electrónico o software antivirus. Sin embargo, incluso el mejor programa de cifrado sirve de poco si no se utiliza. Las contraseñas débiles son, sin duda, un factor de riesgo. Pero la razón de ello no es necesariamente la pereza o la ignorancia. El cerebro humano simplemente no está diseñado para recordar 50 o más contraseñas aleatorias diferentes. Sin embargo, cuando se habla de ciberseguridad, a menudo se hace referencia a las personas como el «eslabón más débil», un «riesgo» o un «problema». Si bien tanto las personas como la tecnología son relevantes, es la interacción entre las personas y la tecnología lo que resulta crucial para el éxito de la ciberseguridad.
¿Minimizar el factor humano?
En el pasado, se intentó eliminar en gran medida el “factor humano” evitando, restringiendo severamente o regulando la interacción del usuario. Algunos ejemplos de esto incluyen pautas estrictas, como un cambio mensual de contraseña, la prohibición de memorias USB o la automatización de procesos.
“La estrategia según la cual las personas se adaptan simplemente a las especificaciones técnicas sólo tiene un éxito moderado”.Verena Zimmermann
Las pautas de seguridad pueden resultar útiles, pero si entran en conflicto con los flujos de trabajo diarios o no son fáciles de aplicar, los usuarios suelen desarrollar estrategias inseguras para eludirlas. Por ejemplo, pueden guardar su contraseña en un lugar abierto porque es difícil de recordar, o simplemente pueden agregar un número al final de su contraseña si se requieren cambios frecuentes de contraseña. Lamentablemente, este comportamiento a menudo facilita mucho los ataques. Por lo tanto, la estrategia mediante la cual se pide a las personas que simplemente se adapten a las especificaciones técnicas solo tiene un éxito moderado.
Los ataques dirigidos se vuelven más comunes
También es preocupante el aumento de la cantidad y la calidad de los ciberataques que tienen como blanco el “factor humano”. Los ataques de phishing, por ejemplo, utilizan la ingeniería social para intentar engañar a las personas para que descarguen archivos adjuntos maliciosos o introduzcan sus datos de acceso secretos en sitios web falsos.
Por ello, la investigación en materia de ciberseguridad debe empezar a abrir nuevos caminos. Entre otros enfoques, las investigaciones recientes apuntan a mejorar la adecuación entre las personas y las soluciones de seguridad. Las alternativas a las contraseñas generadas a partir de imágenes o la formación gamificada, por ejemplo, pueden ayudar a que los usuarios sean más conscientes de las amenazas cibernéticas. Esto debería ayudar a reducir mejor la brecha entre los requisitos técnicos y las capacidades humanas.
Pero en mi opinión tendría aún más sentido comprender y aprovechar el potencial sin explotar de las personas y sus capacidades.
Aprovechar mejor el potencial humano
Este potencial es bien conocido en psicología y en la investigación relacionada con la seguridad: las personas son muy creativas, se adaptan a nuevas situaciones y son capaces de tomar buenas decisiones incluso cuando se enfrentan a la incertidumbre. Hasta ahora, nos hemos centrado principalmente en lo que las personas hacen mal y hemos intentado evitarlo. Sin embargo, si también analizamos lo que las personas hacen bien y por qué, podemos desarrollar nuevos enfoques para la ciberseguridad.
El phishing es un buen ejemplo de ello: los investigadores han descubierto que la intuición humana y el reconocimiento de patrones, perfeccionados a lo largo de años de experiencia, suelen ser superiores a los algoritmos complejos a la hora de detectar intentos sutiles de phishing. Por tanto, si entendemos por qué algunas personas no solo reconocen los correos electrónicos de phishing, sino que también los denuncian y advierten de forma proactiva a los demás, podemos investigar cómo podemos ayudar mejor a los demás en esta tarea.
En el dinámico entorno de amenazas actual, el alto grado de flexibilidad y adaptabilidad de las personas puede ser clave. Si logramos establecer una cultura en la que cada individuo se sienta responsable –y esté motivado y capacitado para actuar en consecuencia–, podremos hacer una contribución decisiva a la ciberseguridad. Es hora de dejar de ver a las personas como el eslabón más débil y comenzar a verlas como un valioso factor de seguridad.ETH zürich. V. Z. Traducido al español