El hacker más peligroso hoy en día probablemente no sea un programador con capucha, encorvado en un sótano, escribiendo frenéticamente para romper los cortafuegos. Es el estafador que te envió un mensaje amistoso: «¿Vienes a mi barbacoa esta noche?». Una simple respuesta podría llevar al robo de tus ahorros o de tu identidad.
A medida que las empresas tecnológicas han fortalecido sus sistemas, los ciberdelincuentes han cambiado de táctica, al darse cuenta de que no necesitan entrar si pueden manipular a alguien para que les permita hacerlo. Este cambio ha impulsado un aumento del fraude, con más de 16 000 millones de dólares robados de cuentas bancarias el año pasado solo en EE. UU., una cifra que se disparó desde los 3 000 millones de dólares de hace cinco años. Dado el gran subregistro, es probable que la cantidad robada mediante delitos de fraude sea mucho mayor .
Una forma en que Microsoft combate estas amenazas es asociando a diseñadores de experiencia de usuario (UX) con analistas de amenazas, lo que ayuda a que la protección sea intuitiva y a que los usuarios no tengan que ser expertos para mantenerse seguros en línea. Su nuevo kit de herramientas de UX «Secure by Design» , probado en 20 equipos de producto, ya está disponible para otras empresas y organizaciones para ayudarles a crear experiencias digitales más seguras.
Los cibercriminales “han estado aprovechándose de cómo funciona nuestro cerebro” a través de la ingeniería social, manipulando a las personas para que crean y actúen según algo que no es cierto, dice Kathy Stokes, directora de programas de prevención de fraude de AARP, una organización sin fines de lucro que aboga por los adultos mayores en los EE. UU.
“La educación es fundamental para resolver la crisis del fraude, pero ¿adivinen qué más es importante? La tecnología que nos llega segura por diseño y por defecto”, afirma Stokes. “Le damos gran responsabilidad a la seguridad del usuario final, y no es una batalla justa”.
Ese es precisamente el desequilibrio que Margaret Price se propuso corregir. Como directora sénior de estrategia en Microsoft, Price afirma que el año pasado se propuso cambiar la forma en que decenas de miles de gerentes de producto, investigadores de usuarios, diseñadores y otros profesionales de la compañía conciben la seguridad, considerando el diseño como la primera línea de defensa.
“La mayoría de los problemas de seguridad se deben a errores humanos”, afirma Price. “Ya sea una credencial robada, una configuración de privacidad confusa o la exposición accidental de datos, estos suelen ser el resultado de un diseño deficiente”.
Los esfuerzos de Price surgieron de la Iniciativa Futuro Seguro , implementada en toda la empresa en 2023, que priorizó la seguridad de cada empleado. Price reunió a un equipo y entrevistó a más de 70 expertos en seguridad para comprender las vulnerabilidades comunes y aprender cómo los ciberdelincuentes explotan las deficiencias de diseño. El resultado: un kit de herramientas que ayuda a los equipos de producto a integrar la seguridad en la experiencia del usuario desde el principio, en lugar de adaptarla posteriormente. El kit de herramientas se ha implementado para 22 000 empleados, y ahora otras empresas están empezando a utilizarlo para diseñar experiencias más seguras e intuitivas con los productos de Microsoft.
Es un enfoque distinto y una nueva forma de pensar tanto en la seguridad como en el desarrollo de productos.
La experiencia de usuario (UX) generalmente ha sido una consideración secundaria en seguridad, afirma David Weston, vicepresidente corporativo de seguridad empresarial y de sistemas operativos de Microsoft. Los equipos de producto no se dieron cuenta durante mucho tiempo de que, si los usuarios se veían abrumados por preguntas de sí o no, por ejemplo, se acostumbrarían a hacer clic sin leer realmente las alertas de riesgo.
“A veces el impacto fue catastrófico”, recuerda, señalando que el cambio reciente hacia ver a los diseñadores como “nuestros defensores más importantes” ha marcado una diferencia “abismal”.
Este enfoque que prioriza el diseño ya se está reflejando en los productos de Microsoft, afirma Marcus Ash, quien dirige el diseño y la investigación para Windows.
Smart App Control utiliza IA para bloquear la ejecución de aplicaciones desconocidas o sospechosas. No solo detiene la amenaza, sino que explica el motivo y sugiere alternativas más seguras de la tienda de aplicaciones de Microsoft, ampliando así el alcance de los profesionales de seguridad a los usuarios habituales.
Las alertas de phishing de Microsoft Teams ahora muestran direcciones de correo electrónico completas, en lugar de solo un nombre, para exponer a los suplantadores de identidad y marcar cuando un dominio no coincide con la empresa declarada por un remitente.
Además, las claves de acceso están reemplazando las contraseñas con métodos de autenticación más seguros y fáciles de usar, como el reconocimiento facial o un PIN mediante el inicio de sesión de Windows Hello, que solo funciona en tu equipo y no se puede compartir ni robar. A partir del 1 de mayo, todas las nuevas cuentas de Microsoft ya no necesitan contraseña .
Esa nueva tecnología es un gran ejemplo de cómo un buen diseño va de la mano con la comunicación para ayudar a los usuarios a tomar mejores decisiones de seguridad, afirma Weston. Los importantes avances en seguridad no pueden proteger a los usuarios si no los comprenden o no saben cómo adoptarlos, algo aún más importante dado que Windows es una plataforma abierta que ofrece a los usuarios más opciones que otros sistemas operativos, añade.
«Gran parte de nuestro trabajo reciente en seguridad se centra en simplificar», afirma Ash, «para que nuestros usuarios puedan comprender fácilmente cuándo deben actuar y corregir algo».
La confianza y la claridad son especialmente importantes, dice Alistair Kilpatrick, director principal de diseño de Windows, a medida que la tecnología avanza hacia un futuro con agentes: un mundo donde los agentes impulsados por IA pueden actuar en nombre de los usuarios, con su permiso y acceso a sus datos personales e información de tarjetas de crédito.
“Es necesario sentar estas bases para generar la confianza del cliente”, afirma Kilpatrick.
La cantidad correcta de fricción es clave: hacer que las funciones de seguridad sean menos complicadas y más fáciles de implementar para que las personas no duden en adoptarlas y, al mismo tiempo, alertar a los usuarios sobre el peligro de una forma que los obligue a tomar nota.
Las empresas tecnológicas pueden ayudar a los usuarios a comprender que la fricción «no es una palabra de cuatro letras», afirma Stokes, de AARP. «La fricción es una protección».
Incluso pequeñas decisiones de diseño tan simples como dónde colocar un botón, cómo se redacta una alerta emergente o si el aspecto de una página o programa es consistente con otros pueden ayudar a los usuarios a reconocer cuando algo no está bien y evitar el peligro.
“Si eres gamer, creativo o productivo, no queremos que te preocupes por estas cosas”, dice Ash. “Diseñamos una experiencia de usuario sencilla y segura por defecto. Esto ayuda a nuestros usuarios a comprender la protección que implementamos y los riesgos si deciden realizar cambios”.
El ciberdelito no es solo un problema tecnológico, sino una crisis de seguridad pública , afirma Stokes. Las estafas están agotando los fondos de jubilación, minando la confianza y dejando a las personas vulnerables y dependientes de las redes de seguridad social. Para ayudar a las personas a resistir la manipulación emocional que se esconde tras las estafas tecnológicas modernas, AARP ha lanzado una campaña nacional con un mantra fácil de recordar, cuyo objetivo es ayudar a los usuarios de la misma forma que lo han hecho en el pasado las campañas de prevención del uso indebido del cinturón de seguridad o los simulacros de incendio: «Pausa. Reflexiona. Protege».
Por eso Microsoft está innovando para que la seguridad se sienta menos como una carga y más como un beneficio integrado, dice Price.
“Queremos que la seguridad esté integrada en los productos cotidianos para que las experiencias sean más seguras para todos”, afirma Price. “Eso se traduciría en menos estafas, menos filtraciones de cuentas y más confianza en las herramientas digitales que usamos a diario”.
Microsoft Blog. S. R. Traducido al español
