Las formaciones constantes y los sistemas de prevención farragosos contribuyen a que los usuarios descuiden su ciberseguridad, y los criminales lo saben

 

 

 

¿Cuántas contraseñas tiene? ¿Las recuerda? ¿Cumplen los mínimos de seguridad? ¿Tienen más de 10 caracteres, entre mayúsculas, minúsculas, números y otros símbolos? ¿Cuándo fue la última vez que las cambió? ¿Ha revisado recientemente si alguna de las cuentas que protegen se ha visto vulnerada? Si con el mero repaso mental de estas cuestiones le invade una flojera monumental, su trastorno tiene nombre: ciberfatiga o fatiga por ciberseguridad.
El hartazgo puede sobrevenirnos por varias vías. Según los estudios clásicos, era atribuible al exceso de confianza que resultaba de haber recibido múltiples formaciones sobre estos riesgos: todo ese conocimiento nos hace sentirnos invulnerables. Para Andrew Reeves, investigador del grupo de aspectos humanos de la ciberseguridad de la Universidad de Adelaida (Australia), la autocomplacencia es una respuesta válida pero insuficiente. Por un lado, las medidas de prevención de las empresas se traducen en una ola de formaciones y recomendaciones sobre esta materia. “La gente está siendo entrenada con tanta frecuencia que se cansa de escuchar lo mismo y se harta de que le digan qué tiene que hacer. Así que su comportamiento comienza a empeorar”, precisa el experto.
Por otro, los propios sistemas de seguridad minan la moral del usuario convirtiendo las tareas de prevención en una carrera de obstáculos que se añade al resto de las obligaciones de la jornada laboral: utilizar un sistema de doble autenticación, cambiar las contraseñas, revisar la legitimidad de los correos, conectarse a VPNs… “Esto puede llevarnos a una situación en la que estamos totalmente desconectados de la ciberseguridad”, concluye Reeves.
¿Es posible evitar la ciberfatiga? No. Y, dadas las tendencias ascendentes en cuanto a la incidencia del cibercrimen, la situación no tiene visos de mejorar, especialmente en entornos laborales. “En casa, cuando entras en tu cuenta del banco es tu responsabilidad. En el trabajo, especialmente en empresas más grandes, es fácil pensar que es problema de otro”, puntualiza el investigador. El cansancio, sin embargo, viaja de un entorno a otro: la frustración de ver nuestros datos de Facebook potencialmente expuestos por una filtración se suma a las molestias de gestionar la seguridad de cuentas profesionales.
Además, quienes perpetran estos delitos conocen nuestras debilidades y las aprovechan: las horas más habituales para el lanzamiento de ataques rondan el final de la tarde y la noche; y el día favorito es el viernes. “Especialmente el caso del phishing –suplantación de identidad–, porque saben que la gente está cansada y no está pensando con claridad”. Pero lo inexorable de esta desgana no implica que estemos condenados a emplear contraseñas de chichinabo y vernos expuestos al lado oscuro de internet por simple pereza.

 

Si no puedes con la ciberfatiga…

La receta de Reeves pasa por aceptar que este rechazo va a producirse en un momento u otro. Bajo esta premisa, la mejor manera de minimizar las consecuencias de la ciberseguridad es diseñar sistemas de seguridad que faciliten la vida de quienes tienen que emplearlos, de forma que permanecer alerta exija un menor esfuerzo. “La gran palabra aquí es empatía”, subraya el investigador. Si quienes diseñan e implementan las precauciones se pusieran en el lugar de los usuarios, otro gallo cantaría.
“Tenemos que trabajar con la fatiga, porque no vamos a ser capaces de contrarrestarla por completo”, insiste el experto. El éxito de este cambio de perspectiva ya lo han confirmado estudios que demuestran que la calidad de las contraseñas mejora si la renovación de las contraseñas se solicita un martes por la mañana en lugar de un viernes por la tarde. Este esfuerzo por mejorar la experiencia de usuario también puede reducir la fricción en procedimientos más enrevesados. Reeves pone el ejemplo de un sistema de autenticación de doble factor en el que el diseño del botón donde había que hacer clic para activar el envío del código de acceso a otro dispositivo lo hacía prácticamente invisible, de modo que los usuarios perdían el tiempo esperando un mensaje que ni siquiera se había remitido. “La usabilidad es un factor de seguridad”, sentencia el investigador.
Los contenidos de las formaciones y la forma de comunicar nuevas medidas de seguridad también pueden contribuir a limitar el alcance de la ciberfatiga. En lugar de listar una serie de comportamientos deplorables y dictar los correctos de manera tajante, Reeves aboga por una aproximación que explique el porqué de los cambios y reconozca que incluso las nuevas medidas podrían quedar obsoletas en poco tiempo. “El problema que tenemos es que a veces hay una actitud incluso de superioridad moral”. Así el departamento de ciberseguridad reconozca su propia falibilidad, provocada por la constante evolución y adaptación de los grupos criminales, mejora la predisposición que quienes deben seguir sus recomendaciones.
“Es importante saber qué está causando la ciberfatiga”, advierte el investigador. Puesto que cada razón exige un tratamiento distinto, un mal diagnóstico puede acabar por agravar la situación. Si el problema está en el exceso de formación, intentar resolverlo con más entrenamientos no hará sino engordarlo. Del mismo modo, si la predisposición es buena, pero el problema está en los sistemas de prevención, aumentar los contenidos educativos no solucionará nada.

#Ciberfatiga #Empresas #Ciberseguridad

Fuente: ELPAÍS