Arreglando las vulnerabilidades humanas

Las complejas amenazas de hoy

El actual panorama de amenazas se presenta muy complejo. Los ciberdelincuentes recurren a una amplia gama de amenazas para capturar equipos y obtener ganancias ilícitas. Entre estas amenazas se incluyen los troyanos de distintos tipos, los gusanos, los virus y los códigos de explotación, estos últimos diseñados para activar programas maliciosos (malware) que aprovechen las vulnerabilidades de los sistemas operativos o de las aplicaciones. Los piratas informáticos también utilizan sofisticadas técnicas para ocultar la actividad de estos programas maliciosos o para evitar en lo posible que las soluciones antivirus encuentren, analicen y detecten los códigos maliciosos.

Es así que resulta fácil ver el problema de la delincuencia, y sus soluciones, en términos estrictamente técnicos. Sin embargo, pienso que es esencial tratar los aspectos humanos de la piratería cibernética.

Las personas: el eslabón más débil en la cadena de seguridad

A pesar del elevado grado de sofisticación técnica de los modernos programas maliciosos, los ciberpiratas a menudo tratan de vulnerar las debilidades humanas como medio para propagar sus programas. Y esto no debería sorprendernos. Las personas son típicamente el eslabón más débil en cualquier sistema de seguridad. Tomemos el ejemplo de la seguridad en un hogar: se puede tener la más sofisticada alarma antirrobos, pero si no se la configura apropiadamente, no proporcionará protección alguna. Lo mismo ocurre con la seguridad en línea. Los ciberdelincuentes siguen aprovechando al máximo la ingeniería social, es decir, tratan de engañar al usuario para que haga algo que vulnere su seguridad cibernética.

Esto se evidencia en el continuo éxito de las estafas tipo phishing, diseñadas para engañar al usuario y llevarlo a visitar un sitio web donde se le pide que ingrese sus datos personales, como sus nombres de usuario, contraseñas, PINs y cualquier otro dato que pueda servirles a los ciberdelincuentes. La clásica estafa phishing consiste en un mensaje de correo especulativo que se envía masivamente a millones de direcciones esperando que suficientes personas caigan en la trampa y pulsen el vínculo incluido en el mensaje. Este tipo de ataques aún se lanzan de manera regular.

Sin embargo, de la misma manera que los carteristas, los estafadores en línea van tras las multitudes. Dado el cada vez mayor número de usuarios de Facebook, MySpace, LinkedIn, Twitter y otros sitios de redes sociales, no resulta sorprendente que los piratas informáticos se sientan cada vez más atraídos por estos servicios. Pueden utilizar cuentas pirateadas de Facebook para enviar mensajes que incluyen vínculos a programas maliciosos. O usar mensajes tipo “tweet” que incluyen vínculos, pero que ocultan el destinatario real mediante un servicio de reducción de URLs. O pueden simplemente camuflarse como un amigo varado en el extranjero y que necesita urgentemente dinero para volver a casa. Ninguno de estos métodos tiene aplicación específica en las redes sociales: los ciberpiratas se limitan a aplicar las estafas que antes les dieron resultados.

La popularidad de la ingeniería social queda también demostrada por el aumento de programas que asustan al usuario (scareware). Este tipo de estafas comienzan con un mensaje tipo pop-up en un sitio web que advierten al usuario que su equipo está infectado y que debe descargar una solución antivirus gratuita para eliminar el malware que supuestamente se detectó. Pero cuando el usuario descarga y ejecuta el programa, se le indica que necesita la versión “completa” para desinfectar el equipo, la cual tiene un coste. Por supuesto, los ciberdelincuentes potencialmente ganan por doble partida con este tipo de estafas: no sólo sonsacan el dinero del usuario mediante falsas alarmas, sino que también logran acceder a los datos de su tarjeta de crédito.

Uno de los problemas relacionados con los ataques que recurren a la ingeniería social es que conforman un blanco en movimiento: las sucesivas estafas nunca se parecen una a otra. Esto dificulta que el usuario reconozca y diferencie lo seguro de lo inseguro.

Por supuesto, la falta de conocimiento no es la única razón que hace susceptibles a los usuarios. A veces los señuelos de contenidos gratuitos de sonido o audio, o las imágenes de celebridades desnudas pueden engatusar al usuario para que active un enlace que debería a todas luces ignorar. El sentido común a menudo sugiere que si algo parece demasiado bueno para ser verdad, probablemente no lo sea. Sin embargo, el mismo sentido común puede no necesariamente hacernos comprender que tomar una acción, en este caso, pulsar el vínculo, puede ser peligroso.

A veces los usuarios toman atajos para facilitarse la vida y sencillamente no entienden la importancia de su seguridad. Esto es cierto, por ejemplo, en el caso de las contraseñas. El número de negocios que se realizan en línea no cesa de aumentar: compras, transacciones bancarias, pago de cuentas, redes profesionales, etc. No es raro tener 10, 20 o más cuentas en línea, lo que dificulta recordar (o incluso elegir) una contraseña específica para cada cuenta. Por esta razón, resulta muy tentador utilizar una sola contraseña para todas las cuentas, o usar algo significativo y por ende fácil de recordar, como por ejemplo, el nombre de un hijo, el del esposo o esposa, u otro nombre de relevancia personal. Otro método muy común consiste en reciclar contraseñas, quizás usando “minombre1”, “minombre2”, “minombre3”, y así para sucesivas cuentas. El uso de cualquiera de estos métodos incrementa la posibilidad de que un ciberpirata adivine la contraseña o, si una cuenta resulta comprometida, acceda fácilmente a las otras cuentas. Sin embargo, este riesgo no es obvio para personas sin conocimientos técnicos o para el usuario común. E incluso cuando se dan cuenta de los potenciales peligros, no perciben una alternativa factible, ya que quizás no puedan recordar 10, 20 o más contraseñas.

Pero existe una solución a este problema. En lugar de intentar recordar contraseñas individuales, comience con un componente fijo y solo entonces aplique una simple fórmula de codificación. Por ejemplo: empiece con el nombre de un recurso en línea, como, “mibanco”. Entonces aplique la formula:

1. La cuarta letra es mayúscula.
2. Poner el segundo carácter al frente.
3. Añadir un número elegido después del segundo carácter.
4. Añadir un determinado carácter no alfanumérico al final.

Tenemos entonces una contraseña como esta: “i1mibAnco;”. Este método proporciona una contraseña única para cada cuenta en línea si se siguen los cuatro pasos señalados.

¿Qué se puede hacer?

La tecnología, por supuesto, es una parte importante de cualquier solución para enfrentar los programas maliciosos. Pero creo que sería imprudente ignorar las dimensiones humanas de la seguridad. En el mundo real, sabemos que las alarmas antirrobo, los seguros en las ventanas y las cadenas de seguridad en la puerta principal pueden ser medidas muy efectivas para asegurar una casa. Pero no podrán evitar que una víctima confiada ponga en peligro su seguridad si le abre la puerta a un extraño.

Asimismo, una estrategia de seguridad corporativa será ineficaz si no se toma en cuenta el elemento humano. Necesitamos encontrar formas imaginativas de “parchar” los recursos humanos tanto como asegurar los recursos digitales.

No se trata sólo de un asunto corporativo. La mayoría de los usuarios particulares de Internet se enfrentan a los mismos riesgos. De manera que como sociedad debemos encontrar maneras para que se conozcan mejor los riesgos que implica la actividad en línea y desarrollar métodos efectivos para minimizar estos riesgos.

Hacia un “sentido común en línea”

Cualquier persona está razonablemente preparada para manejar los riesgos en el mundo real. Por ejemplo, contamos con una serie de bien establecidas estrategias de “sentido común” para educar a los niños sobre los potenciales peligros al cruzar la calle. Les enseñamos a usar puntos específicos de cruce o, cuando es posible, a mirar atentamente en ambas direcciones antes de cruzar la calle. Asimismo, hay una o más generaciones de avisos en televisión, en radio o impresos diseñados para educar al público sobre los peligros de conducir en estado de ebriedad o de no usar el cinturón de seguridad.

Por supuesto, el consejo de “sentido común” que les damos a los niños y los avisos del gobierno sobre la conducción segura no pueden por sí mismos garantizar la seguridad. Pero proporcionan información que ayuda a minimizar los riesgos. Hoy en día, conducir en estado de ebriedad se considera socialmente inaceptable, y en las carreteras existen mucho menos incidentes por esta razón que hace cuarenta años.

Por desgracia, no existe un similar sentido común en línea. Esto no es sorprendente. En comparación con las generaciones de conductores de vehículos, y las muchas más generaciones de personas que cruzan la calle, Internet es muy reciente. La gente solo empieza a darse cuenta de cómo Internet puede mejorar su vida: por desgracia, muchas personas desconocen alegremente los peligros potenciales.

La sociedad se enfrenta con una paradoja en este punto. Los niños aprenden de sus padres muchas estrategias de sentido común para su seguridad en el mundo físico. Pero los padres modernos a menudo carecen de los recursos para educar a sus hijos sobre la seguridad en línea, ya que no están familiarizados con esta “nueva” tecnología. A la inversa, los niños saben usar esta tecnología, pero por lo común, saben muy poco sobre los potenciales peligros en línea.

Sin embargo, es esencial que de manera colectiva desarrollemos tal sentido común en línea. Si lo logramos, los niños de hoy estarán mejor preparados para proteger a sus propios hijos mañana.

La importancia de educar al personal

Primero, es importante no confundir educación con capacitación. Sería irreal tratar de capacitar a la gente para que sean expertos en seguridad informática. En lugar de ello, debemos concienciar sobre las potenciales amenazas en línea y las medidas que se pueden tomar para que la gente se proteja a sí misma.

Para las compañías y otras organizaciones, la educación de su personal debería ser un asunto de alta prioridad para una estrategia efectiva de seguridad. Hay que decirles a los empleados, de manera sencilla y directa, la naturaleza de la amenaza. Tienen que entender las medidas de protección que la organización ha implementado, y por qué y cómo pueden afectarlos en la realización de sus tareas. Una estrategia de seguridad puede ser mucho más efectiva si el personal la entiende y la respalda. Es también crucial crear una cultura de apertura: es necesario alentar al personal para que informe sobre cualquier actividad sospechosa, en vez de ocultarlo por temor a represalias. Si los empleados se sienten amenazados, o si se los hace sentir estúpidos, sin duda alguna serán menos cooperativos.

Como cualquier otro aspecto de la seguridad. No es suficiente redactar una política, que el personal la lea y no hacer nada más. Una efectiva política de seguridad debe evolucionar junto con el cambiante panorama de las amenazas, y se la debe revisar periódicamente. Es también crucial recordar que las personas aprenden de diferentes maneras. Algunos responden mejor a estímulos orales, otros a escritos o visuales. Entonces es recomendable recurrir a una serie de estrategias para reforzar los mensajes de seguridad que los empleados tienen que entender. Estas incluyen presentaciones como parte de un programa de inducción al personal, campañas gráficas, pruebas de conocimientos de seguridad, caricaturas, el “consejo del día” que aparecerá en la red corporativa, y muchas otras formas.

Asimismo, es importante no ver la información y la capacitación en seguridad sólo como un asunto de informática. Más bien, debería vérselas dentro de un contexto general de recursos humanos que incluya la salud y la seguridad física en el trabajo, el comportamiento apropiado del personal, etc.

Más allá de la oficina

Se da una superposición entre la oficina y la casa. Las personas que usan un ordenador como un recurso de trabajo en la oficina, también lo usan en su casa para hacer compras, transacciones bancarias, o para socializar. El uso de los ordenadores con fines no laborales puede integrarse en un programa de concienciación de seguridad para el personal: mostrar a los empleados cómo proteger sus propios equipos, proteger sus routers, etc., ayudará a crear interés y apoyar el programa de capacitación en seguridad en su conjunto. También asegura que el personal, que de manera cada vez más común trabaja desde su casa, no exponga los recursos corporativos a riesgos innecesarios.

Por supuesto, existen personas que no usan un ordenador en el trabajo (o que se han jubilado), pero sí usan uno en casa. Es importante, por lo tanto, que la educación en seguridad se aplique más allá de la oficina y en la vida diaria.

Ya existen una serie de recursos públicos que brindan consejos sobre la seguridad en Internet. Entre estos están (en inglés) Get Safe Online, identitytheft.org.uk y Bank Safe Online. De igual manera, los fabricantes de soluciones de seguridad ofrecen guías para la seguridad informática en casa, como es el caso de nuestra (en inglés) Guide to stopping cybercrime. Todos estos recursos ofrecen una apropiada guía para minimizar el riesgo de caer víctimas de los piratas cibernéticos. Sin embargo, asumen que el lector ya está en línea.

También creo que es importante tratar de encontrar en el mundo real formas para transmitir los mismos mensajes, incluyendo avisos televisivos como los que se usaban antes para fomentar el uso de los cinturones de seguridad o para censurar la conducción bajo los efectos del alcohol. Tomando en cuenta el éxito que dichos avisos tuvieron en el pasado, creo que similares campañas que traten la ciberdelincuencia y la seguridad en línea podrían ser muy efectivas. Por ejemplo, en el Reino Unido en 2005, la compañía Capital One Group emitió una serie de avisos televisivos que mostraban a un famoso impresionista llamado Alistar McGowan. Los avisos de esta compañía estaban diseñados para promover su servicio de asistencia contra el robo de identidades, pero al mismo tiempo remarcaba la importancia de destruir la información personal antes de tirarla a la papelera.

Perspectivas

La ciberdelincuencia llegó para quedarse: es a la vez un producto de la era de Internet y parte del mundo criminal. Entonces, sería irreal, me parece, pensar en “ganar la guerra”. En lugar de ello, se trata de encontrar las maneras de mitigar los riesgos.

Las iniciativas legislativas y de aplicación de la ley están diseñadas para maximizar el riesgo en el que incurren los ciberdelincuentes. El propósito de la tecnología y la educación es minimizar el riesgo para la sociedad. Dado que la mayoría de los actuales ataques cibernéticos apuntan a la falibilidad humana, es esencial encontrar las formas de parchar estas vulnerabilidades humanas en la misma manera en que buscamos proteger los recursos informáticos. La educación en seguridad es similar al trabajo doméstico: puede ser vista como una tarea excepcional pero que necesita realizarse de manera regular para asegurar resultados efectivos, además de un ambiente informático limpio y seguro.