El fin de semana pasado, los profesionales de seguridad dieron un profundo suspiro de resignación cuando BoingBoing publicó el siguiente titular correspondiente a un artículo de Cory Doctorow: "La mitad de los estadounidenses prefieren no hacer compras online por miedo a la falta de privacidad y seguridad". Comentarios sarcásticos como "¿En serio?" y "No me digas..." atravesaron rápidamente el mundo de la seguridad informática.
Estados Unidos admitió que la situación en el ciberespacio va cuesta abajo
¿Por qué? Porque cualquiera que haya estudiado seguridad informática durante la última década o más probablemente habrá advertido al menos una vez que esto iba a ocurrir. Luego voy a citar algunos ejemplos, pero antes quiero dejar en claro por qué esta noticia en particular es tan significativa.
La respuesta más breve es la siguiente: el gobierno de los Estados Unidos admitió que la situación en el ciberespacio va cuesta abajo y publicó evidencia estadística concreta que respalda esta afirmación.
Para poner los datos en contexto es necesario explicar que la mayoría de los estudios que pretenden evaluar la actitud del público ante los problemas de seguridad cibernética y privacidad de sus datos son llevados a cabo por el sector privado, a menudo por las mismas empresas que venden productos y servicios de seguridad y privacidad.
Como es de esperar, muchas personas desestiman o rechazan los resultados de las encuestas provenientes de esta clase de fuentes, sobre todo si no les gusta lo que sus resultados implican (por ejemplo, que tenemos que gastar y trabajar mucho más si queremos alcanzar los niveles de seguridad necesarios para ganar la confianza del público y mantenerla).
el Gobierno nunca se tomó en serio su responsabilidad de monitorear la ciberdelincuencia
La claridad respecto a los niveles actuales de ciberdelincuencia y las reacciones a dichos niveles se han visto socavadas por los esfuerzos poco brillantes de algunos miembros de la industria de la seguridad al realizar e interpretar las encuestas. Por otra parte, el gobierno estadounidense nunca se ha tomado en serio su responsabilidad de monitorear la ciberdelincuencia, lo que tampoco ayuda. (Estas cuestiones se documentaron en mi paper de Virus Bulletin llamado "Midiendo la delincuencia cibernética", disponible con su vídeo).
Comunicado del Departamento de Comercio de los Estados Unidos
Ahora tenemos la confirmación, y la fuente es nada menos que el Departamento de Comercio de los Estados Unidos, que nos dice:
La falta de confianza en la privacidad y la seguridad de Internet podría perjudicar las actividades online, ya sean económicas u otras.
Francamente, no es difícil imaginar que el primer borrador de este artículo haya sido aún más radical, sin el calificador "podría" (lo cierto es que sin él, la noticia habría sido demasiado pesimista para un comunicado del Departamento de Comercio, por no decir embarazosa). El punto es que, cuando se llega a los datos citados debajo de esta afirmación (que provienen de la Administración Nacional de Telecomunicaciones e Información y se basan en una encuesta muy extensa realizada en julio del año pasado), queda muy claro que el temor a los problemas de privacidad y seguridad sí disuade la actividad online, tanto económica como social.
Aunque en el titular "la mitad de los estadounidenses" es un redondeo, el 45% citado por la NTIA sigue siendo una cifra desconcertante:
Cuarenta y cinco por ciento de los hogares conectados a Internet informaron que el temor [a los problemas de privacidad y seguridad] les impidió realizar transacciones financieras, comprar bienes o servicios, hacer publicaciones en redes sociales, o expresar opiniones sobre temas controversiales o sobre política online.
Sin embargo, este resultado no es del todo sorprendente, dada la enorme cantidad de datos personales que había quedado expuesta durante los dos años anteriores a la fecha de la encuesta, por no hablar de los datos masivos revelados por Edward Snowden sobre la red estadounidense de vigilancia mundial en ese mismo período. Por el contrario, creo que la mayoría de los economistas y sociólogos se habrían sorprendido si estos factores no hubieran tenido un efecto perjudicial en las actividades online.
Evidencia pasada de problemas crecientes
Considera lo que los adultos estadounidenses revelaron acerca del uso que hacen de Internet luego de las revelaciones iniciales de Snowden, cuando fueron encuestados en 2013:
- Usé menos la banca online: 19%
- Hice menos compras online: 14%
- Trato de usar menos el correo electrónico: 19%
Los resultados de este estudio se publicaron aquí, en We Live Security, y también aquí. Unos meses después, hicimos una encuesta más amplia donde obtuvimos evidencia aún más fuerte de la aversión a usar Internet y la desconfianza en los Estados Unidos después de Snowden:
- 47% de los encuestados dijeron que "cambiaron su comportamiento y piensan con más cuidado adónde van, lo que dicen y lo que hacen online".
- 26% expresaron que estaban comprando menos online. De las personas entre 18 y 34 años de edad, un tercio dijo que estaban haciendo menos compras online.
- 29% de las mujeres dijeron que estaban haciendo menos compras online, en comparación con 23% de los hombres y 26% del total de encuestados.
- 29% de las personas entre 18 y 34 años dijeron que habían reducido las operaciones de banca online.
- 24% de los encuestados dijeron que estaban "menos dispuestos a usar el correo electrónico".
Aquí analizamos los resultados de este estudio, y también se publicaron en los periódicos Wall Street Journal y USA Today. No es sorprendente que el gobierno estadounidense ahora cuente con pruebas sólidas de que la disminución de la confianza en Internet está ligada a las filtraciones de datos personales, dada la larga cadena de fracasos en materia de seguridad tanto en empresas comerciales como entidades gubernamentales que vienen teniendo lugar desde 2013 (Target, Home Depot, Morgan Stanley, Anthem Health, la Oficina de Administración de Personal y el IRS, por mencionar algunos).
Todo evidencia la "pérdida de confianza" sobre la cual los investigadores de seguridad han advertido desde mucho antes de los casos de Snowden y Target.
Éstos son algunos datos más que fuimos recopilando durante los últimos 12 meses mediante encuestas de Google a consumidores:
- 13% de los adultos estadounidenses dijeron que ocultaron información a su proveedor de atención médica por miedo a posibles brechas de seguridad o ataques a la privacidad de su historial médico.
- 64,5% de los adultos estadounidenses están un poco preocupados (31,7%) o muy preocupados (32,8%) de que los cibercriminales puedan robar sus datos personales, tales como mensajes de correo electrónico, información de cuentas bancarias o registros médicos.
- 38% de los adultos estadounidenses piensan que el hecho de que el gobierno tenga "muchos datos personales diferentes que las computadoras son capaces de reunir con rapidez" es una amenaza extremadamente grave para la privacidad individual. Otro 29% considera que es una amenaza bastante grave.
Pérdida de confianza
La idea de que los problemas de seguridad y privacidad pueden socavar el uso de Internet no es nueva. Empecé a hablar sobre la erosión de la confianza como una amenaza para el comercio electrónico ya en la década de 1990, cuando el crimen de moda en Internet consistía en modificar las páginas de inicio (defacement), lo que en ese entonces acaparaba los titulares.
numerosos profesionales de seguridad han advertido sobre este problema durante mucho tiempo
Sin embargo, como la adopción de Internet todavía era muy baja, las espectaculares tasas de crecimiento en su uso durante la década siguiente dejaron en segundo plano cualquier sugerencia de que la gente podría no estar 100% conforme con el sistema. Así que empecé a decir que "a Internet le está yendo tan bien que no podemos ver lo mal que le va", pero era algo extremadamente difícil de probar.
Ciertamente, en el cambio de siglo, ya había algunas discusiones académicas sobre la pérdida de confianza en Internet por problemas de seguridad y privacidad, como el artículo de Goldbery, Hill y Shostack en la edición de abril de 2001 de la publicación Boston University Law Review. No quiero decir que fui la primera ni la única persona que predijo estas cosas. De hecho, justamente ése es el punto: numerosos profesionales de seguridad han estado advirtiendo sobre este problema durante mucho tiempo.
Lamentablemente, la capacidad que tiene la sociedad para ignorar los buenos consejos es legendaria, como "no subestimes el potencial que tienen el cibercrimen desenfrenado y el descuido de la privacidad de los datos para socavar Internet". Y hablando de leyendas, el pionero en privacidad Willis Ware nos advirtió en 1973: "El temor y la desconfianza de incluso una minoría de la población puede complicar hasta una simple operación de recopilación de datos de seguridad y de mantenimiento de registros que podrían ser de un indudable valor social".
Pasos a seguir
Entonces, ¿qué es lo que debemos hacer? En primer lugar, lee el artículo de la NTIA (en inglés). Luego considera involucrarte en las actividades en las que la NTIA dice que seguirá trabajando:
- Fomentar y difundir "la implementación de un cifrado fuerte y otras medidas de seguridad que ayuden a reconstruir la confianza en Internet y a estimular el libre flujo de la información y del comercio online".
- Apoyar el proyecto de ley sobre privacidad para "suministrarles a todos los estadounidenses una protección básica de su privacidad".
- Participar en "procesos destinados a mejorar las prácticas de privacidad y seguridad cibernética online del sector privado, en los que participan múltiples partes interesadas", organizados por la NTIA, entre los que se incluyen enviar comentarios sobre la privacidad, la seguridad y otras cuestiones relacionadas a la Internet de las Cosas.
- Hacerles saber a tus representantes elegidos que estás de acuerdo con las disposiciones de la NTIA y que, "para garantizar el crecimiento continuo de la economía digital, nosotros, como Nación, debemos hacer frente a las preocupaciones de seguridad y privacidad que pueden conducir a la pérdida de confianza en Internet". Y también preguntarles a nuestros representantes qué están haciendo para solucionar este problema.
Mientras tanto, voy a seguir usando Internet, aunque únicamente desde dispositivos bien protegidos que están bajo mi control, y que manejo y uso con cuidado. Voy a mantenerme al tanto de las nuevas amenazas y estafas, y voy a adaptar mis acciones en consecuencia. Voy a seguir con mis buenas prácticas cibernéticas y con mi política de realizar backups periódicos de mis datos. Y también voy a comunicarme con mis representantes en Washington.