Según el mantra popularizado por el experto en seguridad informática Bruce Schneier: las personas a menudo representan el eslabón más débil de la cadena de seguridad. Este hombre también opina que los humanos somos crónicamente responsables de los fallos de los sistemas.
Puede que hace años esta afirmación fuese irrefutable.
Pero hoy en día algunos aparatos domésticos o los utilizados en sectores como la sanidad, el transporte o los servicios financieros son pequeños ordenadores que intercambian datos con otros dispositivos y sistemas a través de internet.
Y la mayoría de veces incorporar a estos dispositivos un módulo de plataforma segura (TPM) no es una prioridad para el fabricante debido a que no es rentable
Por ejemplo una nevera puede producir hielo al mismo tiempo que participa en un ataque de denegación de servicio distribuido contra X o Spotify.
La idea de que un refrigerador pueda ser pirateado para formar parte de una red de bots puede parecer sacada de una película distópica, pero el riesgo es real.
¿Si los humanos somos el eslabón más débil, eso significa que el resto de la cadena (hardware, software, etc.) es más robusta y segura?
Podríamos decir que esto no es exacto.
- Por ejemplo, Microsoft, por cortesía de Windows Update, el segundo martes de cada mes nos brinda parches de seguridad para su sistema operativo.
- Lo mismo puede aplicarse a todos los programas instalados en un dispositivo, incluido el propio dispositivo.
Esto significa que se van descubriendo vulnerabilidades que ya venían incluidas dentro del software.
Nos pasamos demasiado tiempo parcheando (lo que los desarrolladores llaman eufemísticamente, actualizar) y es el mecanismo principal que tenemos para mantener nuestros sistemas seguros.
Imaginemos por un momento que somos fabricantes de coches, y tenemos que decirle a nuestros clientes que si quieren conducir de forma segura, deben reparar su automóvil prácticamente cada quince días.
Pero si mientras tanto ocurre un accidente por un defecto de fábrica: ¿tacharíamos a los conductores de negligentes?
Una pieza de software con vulnerabilidades no corregidas es una puerta abierta a los exploits.
Desequilibrio entre los derechos y obligaciones de las partes
Si nos tomamos la molestia de leer el acuerdo de licencia para el usuario final (EULA), casi todos los programas que instalamos en nuestros dispositivos, vienen con una cláusula que exime al desarrollador de toda responsabilidad por los posibles problemas derivados de la ejecución y el uso de su software.
Este es un ejemplo literal extraído de un conocido programa de pago (venía todo en mayúsculas).
EXCEPTO QUE SE ESTIPULE POR SEPARADO EN UNA GARANTÍA LIMITADA EXPLÍCITA Y POR ESCRITO, TODO EL SOFTWARE SUMINISTRADO POR X SE PROVEE “TAL CUAL ESTÁ” Y “SEGÚN DISPONIBILIDAD”, SIN GARANTÍAS DE NINGÚN TIPO YA SEAN EXPLÍCITAS O IMPLÍCITAS.
Muchas de estas cláusulas por su complejidad y longitud disuaden a los consumidores de leerlas, lo que refuerza perversamente sus infames atributos.
Son lentejas, si quieres las tomas y, si no, las dejas.
Según estos términos si quieres utilizar un software tienes que soltar la pasta y encima aceptar implícitamente lo que a ellos les dé la gana:
- Tienes que instalarlo tal cual viene.
- Si el programa no va como tendría que ir, te fastidias.
- Si el programador ha implementado una puerta trasera para hacer un seguimiento del funcionamiento de su software y un villano la explota, es tu problema.
Siempre puedes armarte de paciencia y abrir un ticket de soporte. ¡Buena suerte!
Y si te hartas de enviar mensajes al fabricante y consideras emprender acciones legales lo tienes crudo: casi todos los EULA actuales incluyen una cláusula de arbitraje.
Esto significa que al usar el servicio o el programa renuncias implícitamente a tu derecho a demandar o a unirte a una demanda colectiva.
Y para redondear la infamia, la mayoría de servicios y fabricantes de software se reservan el derecho de cambiar los términos y condiciones en cualquier momento.
El factor humano: ¿el mayor riesgo para la seguridad informática en las empresas?
No necesariamente: la desconexión entre las personas y la seguridad tiene mucho más que ver con las políticas dentro de una organización.
Los comportamientos de riesgo a menudo son consecuencia de un ambiente de trabajo mal diseñado o demasiado complejo.
Si bien puede haber empleados que actúen con negligencia, la realidad es que nos movemos en un contexto donde los ciberataques son cada vez más sofisticados.
No somos perfectos y todos nos equivocamos.
Sobre todo cuando alguien se pasa un montón de horas al día leyendo correos electrónicos y abriendo sus archivos adjuntos casi por inercia o realizando otras tareas repetitivas.
Por otro lado, la mayoría de personas asumen que ya están protegidas mediante los procedimientos establecidos por su departamento de TI.
¿Implementar un régimen sancionador asociado al incumplimiento de las normas en materia de seguridad informática?
Por supuesto que no. Todo lo contrario: si una persona se ha equivocado tiene que sentirse libre de comunicarlo sin que haya represalias.
Esconder un incidente por miedo a las consecuencias puede derivar en problemas mayores.
En cualquier caso si los profesionales no están bien informados inevitablemente se producirán incidentes.
Esta información debe proporcionarse en un lenguaje sencillo y libre de tecnicismos que impidan una comprensión clara de los conceptos, pero sin sacrificar su precisión.
Pero las empresas rara vez invierten en educar a su personal sobre los peligros de la ingeniería social, el malware y los ataques dirigidos que podrían surgir todos los días durante la jornada laboral.
La tecnología puede filtrar la mayoría de las amenazas, pero ni el mejor antivirus del mundo evitará que un profesional facilite a un tercero su contraseña de acceso a la red, si por ejemplo cae en la trampa de la llamada telefónica supuestamente procedente del departamento de informática.
En lugar de fusilar al amanecer a los profesionales que han metido la gamba las empresas deberían ofrecer programas de capacitación y educación para garantizar que los empleados puedan identificar y prevenir las amenazas de seguridad.
Por lo menos, las más básicas.
Las personas son la primera línea de defensa y deben ser vistas como unos activos valiosos y una parte fundamental de la solución.
No como un riesgo más.
