A medida que nos adentramos en octubre, es probable que gobiernos, organizaciones sin ánimo de lucro, proveedores de ciberseguridad y muchas empresas con equipos de responsabilidad social corporativa se preparen para difundir algunos consejos útiles sobre cómo mantenerse seguro en Internet.
Sin siquiera echar un vistazo al tema oficial de la edición de este año de la campaña, la semana pasada repetí a un colega los consejos habituales y, efectivamente, capté casi todos los puntos principales del tema oficial de este año "Secure Our World": utilizar contraseñas seguras y únicas, activarla autenticación multifactor(MFA) evitar hacer clic en enlaces de phishing.
Ante la abundancia de este tipo de orientaciones bienintencionadas que circulan cada mes de octubre, se podría pensar que esto debería ser suficiente para ayudar a crear un ciberespacio seguro. Pero, ¿lo es realmente? ¿Han servido estos consejos para impulsar un cambio de comportamiento significativo y para ayudar a hacer frente a los crecientes riesgos de seguridad actuales y futuros? Tal vez haya llegado el momento de examinar críticamente el planteamiento actual y admitir que los consejos por sí solos no bastan.
Más allá de los consejos
Después de una década promoviendo la misma orientación —el Mes de Concienciación sobre Ciberseguridad celebra su 21° aniversario este año— es hora de que la industria se replantee radicalmente y, además de hablar, legisle y aplique mejores prácticas de ciberseguridad, especialmente cuando esté en juego información personal identificable (IPI) u otros datos de valor.
No suelo ser partidario de arreglar los problemas con leyes y reglamentos, pero la realidad es que no avanzamos al ritmo necesario. Por ejemplo, hay muchos servicios y aplicaciones en línea populares que todavía no ofrecen MFA, e incluso si lo hacen, no está activada por defecto. El Mes de la Concienciación sobre la Ciberseguridad del año que viene podría quedar totalmente desprovisto de este tema si se exigiera a todas las empresas que almacenan información de identificación personal que habilitaran por defecto la MFA en todas las cuentas de usuario.
Es cierto que puede haber problemas de accesibilidad si está activada por defecto y, si hay personas que realmente necesitan desactivarla por alguna razón, deberían tener esta opción. Para el resto de las personas, sin embargo, activar la MFA por defecto debería ser la norma. De la misma manera que muchos sitios web actualmente casi ocultan la opción de activarla, también deberían ocultar la opción de desactivarla.
Apple fue una de las empresas que forzó la MFA para todos los usuarios allá por 2017. ¿Perdió usuarios? ¿Bajó el precio de sus acciones? Por supuesto, la respuesta a estas preguntas es "no". Cuando no hay alternativa, los usuarios adoptarán una práctica de seguridad mejorada que mantenga sus datos y cosas a salvo. Si se les da a elegir y/o se desactiva por defecto, mucha gente tomará el camino más fácil, aunque eso signifique comprometer su seguridad en aras de la comodidad.
Otra ventaja de activar MFA por defecto para todos es que mitigaría significativamente los riesgos asociados con el reciclaje de contraseñas; en otras palabras, una contraseña reutilizada respaldada por MFA tiene menos probabilidades de causar un problema. Esto no quiere decir que sea aceptable utilizar contraseñas débiles o reutilizar contraseñas, si no que el énfasis en contraseñas fuertes y únicas disminuirá, ya que la capa de seguridad añadida ayudará en gran medida a prevenir el robo de credenciales.
De hecho, cuando algo como el robo de credenciales ha persistido como un problema importante durante tanto tiempo, es hora de replantear algunas cosas. Un ejemplo notable es el del Reglamento General de Protección de Datos (GDPR). La Unión Europea (UE) se dio cuenta de que sin una regulación estricta, las empresas seguirían por el camino de menor resistencia: recopilar datos y almacenarlos sin cifrar; básicamente un enfoque salvaje de la protección de datos. Mantener la seguridad de los datos cuesta dinero, por lo que los directores financieros, con sus apretados bolsillos, dan prioridad a los beneficios a corto plazo frente a la seguridad a largo plazo. El GDPR cambió esta dinámica, ya que las cuantiosas multas reglamentarias justifican el presupuesto para medidas adecuadas de seguridad de los datos.
La legislación al rescate
Ahora imagina el Mes de Concienciación sobre Ciberseguridad del próximo año sin el sermón sobre prácticas básicas de seguridad como contraseñas fuertes y únicas y MFA. Tras años insistiendo en estos temas, la conversación podría evolucionar. La atención podría centrarse en las estafas desenfrenadas que engañan a la gente para sacarles el dinero que tanto les ha costado ganar. Soy consciente de que algunos de estos temas ya se tratan hoy en día, pero con demasiada frecuencia se pierden en la confusión.
A todos los responsables políticos: es hora de cambiar esta conversación y legislar sobre lo que parte de la industria no ha implementado para que la educación crucial sobre problemas reales de ciberseguridad pueda convertirse en el titular.
