¡®Ciberfatiga¡¯: por qu¨¦ nos cansamos de tomar precauciones en internet y c¨®mo permanecer alerta
Las formaciones constantes y los sistemas de prevenci¨®n farragosos contribuyen a que los usuarios descuiden su ciberseguridad, y los criminales lo saben
?Cu¨¢ntas contrase?as tiene? ?Las recuerda? ?Cumplen los m¨ªnimos de seguridad? ?Tienen m¨¢s de 10 caracteres, entre may¨²sculas, min¨²sculas, n¨²meros y otros s¨ªmbolos? ?Cu¨¢ndo fue la ¨²ltima vez que las cambi¨®? ?Ha revisado recientemente si alguna de las cuentas que protegen se ha visto vulnerada? Si con el mero repaso mental de estas cuestiones le invade una flojera monumental, su trastorno tiene nombre: ciberfatiga o fatiga por ciberseguridad.
El hartazgo puede sobrevenirnos por v...
?Cu¨¢ntas contrase?as tiene? ?Las recuerda? ?Cumplen los m¨ªnimos de seguridad? ?Tienen m¨¢s de 10 caracteres, entre may¨²sculas, min¨²sculas, n¨²meros y otros s¨ªmbolos? ?Cu¨¢ndo fue la ¨²ltima vez que las cambi¨®? ?Ha revisado recientemente si alguna de las cuentas que protegen se ha visto vulnerada? Si con el mero repaso mental de estas cuestiones le invade una flojera monumental, su trastorno tiene nombre: ciberfatiga o fatiga por ciberseguridad.
El hartazgo puede sobrevenirnos por varias v¨ªas. Seg¨²n los estudios cl¨¢sicos, era atribuible al exceso de confianza que resultaba de haber recibido m¨²ltiples formaciones sobre estos riesgos: todo ese conocimiento nos hace sentirnos invulnerables. Para Andrew Reeves, investigador del grupo de aspectos humanos de la ciberseguridad de la Universidad de Adelaida (Australia), la autocomplacencia es una respuesta v¨¢lida pero insuficiente. Por un lado, las medidas de prevenci¨®n de las empresas se traducen en una ola de formaciones y recomendaciones sobre esta materia. ¡°La gente est¨¢ siendo entrenada con tanta frecuencia que se cansa de escuchar lo mismo y se harta de que le digan qu¨¦ tiene que hacer. As¨ª que su comportamiento comienza a empeorar¡±, precisa el experto.
Por otro, los propios sistemas de seguridad minan la moral del usuario convirtiendo las tareas de prevenci¨®n en una carrera de obst¨¢culos que se a?ade al resto de las obligaciones de la jornada laboral: utilizar un sistema de doble autenticaci¨®n, cambiar las contrase?as, revisar la legitimidad de los correos, conectarse a VPNs¡ ¡°Esto puede llevarnos a una situaci¨®n en la que estamos totalmente desconectados de la ciberseguridad¡±, concluye Reeves.
?Es posible evitar la ciberfatiga? No. Y, dadas las tendencias ascendentes en cuanto a la incidencia del cibercrimen, la situaci¨®n no tiene visos de mejorar, especialmente en entornos laborales. ¡°En casa, cuando entras en tu cuenta del banco es tu responsabilidad. En el trabajo, especialmente en empresas m¨¢s grandes, es f¨¢cil pensar que es problema de otro¡±, puntualiza el investigador. El cansancio, sin embargo, viaja de un entorno a otro: la frustraci¨®n de ver nuestros datos de Facebook potencialmente expuestos por una filtraci¨®n se suma a las molestias de gestionar la seguridad de cuentas profesionales.
Adem¨¢s, quienes perpetran estos delitos conocen nuestras debilidades y las aprovechan: las horas m¨¢s habituales para el lanzamiento de ataques rondan el final de la tarde y la noche; y el d¨ªa favorito es el viernes. ¡°Especialmente el caso del phishing ¨Csuplantaci¨®n de identidad¨C, porque saben que la gente est¨¢ cansada y no est¨¢ pensando con claridad¡±. Pero lo inexorable de esta desgana no implica que estemos condenados a emplear contrase?as de chichinabo y vernos expuestos al lado oscuro de internet por simple pereza.
Si no puedes con la ciberfatiga¡
La receta de Reeves pasa por aceptar que este rechazo va a producirse en un momento u otro. Bajo esta premisa, la mejor manera de minimizar las consecuencias de la ciberseguridad es dise?ar sistemas de seguridad que faciliten la vida de quienes tienen que emplearlos, de forma que permanecer alerta exija un menor esfuerzo. ¡°La gran palabra aqu¨ª es empat¨ªa¡±, subraya el investigador. Si quienes dise?an e implementan las precauciones se pusieran en el lugar de los usuarios, otro gallo cantar¨ªa.
¡°Tenemos que trabajar con la fatiga, porque no vamos a ser capaces de contrarrestarla por completo¡±, insiste el experto. El ¨¦xito de este cambio de perspectiva ya lo han confirmado estudios que demuestran que la calidad de las contrase?as mejora si la renovaci¨®n de las contrase?as se solicita un martes por la ma?ana en lugar de un viernes por la tarde. Este esfuerzo por mejorar la experiencia de usuario tambi¨¦n puede reducir la fricci¨®n en procedimientos m¨¢s enrevesados. Reeves pone el ejemplo de un sistema de autenticaci¨®n de doble factor en el que el dise?o del bot¨®n donde hab¨ªa que hacer clic para activar el env¨ªo del c¨®digo de acceso a otro dispositivo lo hac¨ªa pr¨¢cticamente invisible, de modo que los usuarios perd¨ªan el tiempo esperando un mensaje que ni siquiera se hab¨ªa remitido. ¡°La usabilidad es un factor de seguridad¡±, sentencia el investigador.
Los contenidos de las formaciones y la forma de comunicar nuevas medidas de seguridad tambi¨¦n pueden contribuir a limitar el alcance de la ciberfatiga. En lugar de listar una serie de comportamientos deplorables y dictar los correctos de manera tajante, Reeves aboga por una aproximaci¨®n que explique el porqu¨¦ de los cambios y reconozca que incluso las nuevas medidas podr¨ªan quedar obsoletas en poco tiempo. ¡°El problema que tenemos es que a veces hay una actitud incluso de superioridad moral¡±. As¨ª el departamento de ciberseguridad reconozca su propia falibilidad, provocada por la constante evoluci¨®n y adaptaci¨®n de los grupos criminales, mejora la predisposici¨®n que quienes deben seguir sus recomendaciones.
¡°Es importante saber qu¨¦ est¨¢ causando la ciberfatiga¡±, advierte el investigador. Puesto que cada raz¨®n exige un tratamiento distinto, un mal diagn¨®stico puede acabar por agravar la situaci¨®n. Si el problema est¨¢ en el exceso de formaci¨®n, intentar resolverlo con m¨¢s entrenamientos no har¨¢ sino engordarlo. Del mismo modo, si la predisposici¨®n es buena, pero el problema est¨¢ en los sistemas de prevenci¨®n, aumentar los contenidos educativos no solucionar¨¢ nada.
Tecnoestr¨¦s, la fatiga primigenia
Aunque Reeves sit¨²a el nacimiento del concepto de ciberfatiga entorno al a?o 2009, las ra¨ªces de este cansancio de la ciberseguridad van mucho m¨¢s atr¨¢s, hasta los inicios de la popularizaci¨®n de los ordenadores personales. Entre finales de los ochenta y principios de los noventa, trabajadores cuyas jornadas laborales transcurr¨ªan entre papeles se vieron de pronto sentados frente a un ordenador. "As¨ª se acu?¨® el t¨¦rmino tecnoestr¨¦s, que b¨¢sicamente es el estr¨¦s que produce el uso de estas tecnolog¨ªas", resume el investigador.
La existencia de este fen¨®meno retras¨® los comienzos de una consideraci¨®n m¨¢s seria y espec¨ªfica de la fatiga espec¨ªficamente asociada a la ciberseguridad. "Lo ve¨ªan como una forma m¨¢s de tecnoestr¨¦s o cansancio laboral, pero las muchas investigaciones que se han hecho sobre el tema revelan que est¨¢ algo separado de ellos".