Por Paco Solano, Analista de Sistemas en Media Interactiva

Aunque en realidad lo que os vengo a contar aplica a este y cualquier otro mes, permitidme que os dé esta definición y luego hablamos sobre cómo debemos sentirnos al respecto.

Generalmente se entiende por ciberseguridad, o seguridad informática, al conjunto de acciones, medidas, reglas y protocolos que tratan de conseguir que la información permanezca inalterable, y esté disponible solo para quien deba verla.

Sabiendo eso, ¿cuál es tu nivel de confianza con respecto a tu seguridad informática?

Para contestar a eso, ten en cuenta que cada vez pasamos mayor tiempo conectados a distintos servicios, ya sea de forma consciente mientras ojeamos el contenido de alguna web o aplicación, o de forma inconsciente mientras nuestros diversos dispositivos recopilan información sobre nuestra persona, nuestros gustos, etc. y los suben a sus distintas plataformas. Eso es así en el trabajo, en casa, o cuando usamos la red de un centro comercial.

¿Cómo nos sentimos de seguros?

En este mundo digital que cada vez tiende a serlo más deberíamos poder movernos con seguridad, pero la realidad no es del todo así.

¿Cómo dirías que lo estás haciendo tú?

Es decir, mientras trabajas, estudias, ves series o juegas a lo que sea, ¿cómo dirías que estás haciéndolo para que la información que tú manejas permanezca inalterable, y esté disponible solo para quien deba verla?

En cualquier ámbito laboral debería ser obligatorio la realización de ciertos ejercicios de seguridad periódicos y formaciones para que, como integrantes de nuestras respectivas organizaciones, tengamos una mayor consciencia de la que tenemos habitualmente cuando manejamos nuestros dispositivos personales.

En el ámbito personal hay una falsa sensación de seguridad (al menos yo la he percibido en numerosas ocasiones) que se puede resumir en «¿a mí quién va a querer atacarme?»

Con la escalada en los últimos años de las campañas de smishing (phishing a través de SMS) y sobre todo a partir de la pandemia, muchas personas que probablemente hayan sido de la anterior opinión habrán entendido algo más sobre ciberseguridad. Y aunque resulte ominoso, la situación irá a peor ya que hay muchas personas dedicadas a encontrar mecanismos con los que vulnerar los distintos sistemas, ya sean personales o empresariales.

¿Entonces qué? ¿Hay algo que podamos hacer?

Pues sí, claro que sí. Estos serían los dos primeros pasos que recomiendo:

1. Lo primero es situar nuestro pensamiento, de forma amable, en que las reglas y mecanismos de seguridad informática no están diseñados para «fastidiarnos» o hacer que nuestro proceso de login «sea un castigo con tanto SMS».
2. Lo segundo es convencerte de que por muchas acciones, reglas, mecanismos o protocolos que se instauren, tú, y solo tú, eres la última línea de defensa en términos de seguridad informática, y al mismo tiempo eres el eslabón más débil de toda esa cadena de seguridad. Al final, serás tú quien haga clic, descargue la imagen o entre al sitio falso introduciendo tus credenciales.

Y llegados aquí, esto lo que más me molesta, por decirlo amablemente, de las definiciones de seguridad informática: en esas definiciones me faltan casi siempre todas las personas. Se habla de infraestructuras, información, confidencialidad, integridad, los límites lógicos y físicos de la seguridad. A veces se habla de los usuarios, pero solo en lo referente a las reglas de uso de un sistema, para que ningún usuario llegue donde no debe llegar. Pero no siento que se aborde de forma general lo vulnerable que es todo el sistema si las personas no estamos todas bien alineadas con las reglas.

Volviendo al ámbito laboral, es más fácil realizar formaciones y acercar estas necesidades a todos los integrantes de cada compañía. Pero en lo personal, un ama de casa como mi madre, o un señor jubilado como mi padre, que nunca fue muy amigo de la tecnología, por poner un par de ejemplos que me caen cerca, no entienden estas acciones, medidas, reglas y protocolos y mucho menos los ponen en marcha por sí mismos.

Cuando no se explica o traslada debidamente toda esta información, una persona que no se mueva en el ámbito tecnológico difícilmente interiorizará la importancia de no anotar las contraseñas en un papel al lado del ordenador ni podrá dejar de quejarse cuando el gestor de contraseñas le pida 12 caracteres (con todos sus perejiles: mayúsculas, minúsculas, números y símbolos), y mucho menos dejará de ver un mecanismo de autenticación en dos pasos como «un proceso tedioso o cargante».

Quisiera despedirme agradeciéndote que hayas llegado hasta aquí y pidiéndote que siempre que puedas enseñes y ayudes a toda persona que puedas a activar sus autenticaciones multifactor… Puede parecer poca cosa, pero hay que ir dando pasos.

¡Hasta pronto!

Paco Solano, Analista de Sistemas en Media Interactiva