Para el gran público, la seguridad informática es un concepto difuso y amplio, tan amplio que empiezo a dudar de su utilidad. El peligro es suponer que va más allá de nuestro entendimiento, y por lo tanto nada podemos hacer. Lo que me escandaliza es que es exactamente al revés: la mayor parte de la prevención contra ataques informáticos está en manos del usuario.
La manera más fácil de visualizar la seguridad informática es imaginar la seguridad de una casa. Como a nadie le gusta imaginar ser asaltado, quitémosle dramatismo, pensemos en un juego, una misión que consiste en defender una casa. Podés elegir las alarmas, cerraduras, barrotes y puertas blindadas que le vas a poner. Luego aparezco yo con un tanque de guerra y le hago un boquete a una pared. Moraleja: no existe la seguridad absoluta. Se elige un nivel de seguridad acorde a lo que queremos proteger y a lo que queramos pagar o soportar. Hoy los usuarios no son conscientes del valor de lo que deben proteger, y no manejan una seguridad adecuada.
¿Por qué no son conscientes? Todos hemos vivido cambios vertiginosos, los invito a una reflexión: las cosas no son como eran, en muchos aspectos nuestra experiencia y nuestro sentido común quedaron obsoletos.
Sin ir más allá, hasta hace poco abundaba la tecnología informática vulnerable, y la culpa siempre era de los fabricantes. Ya no, el juego hoy es diferente. En la cadena de la seguridad informática el sistema operativo actualizado, el navegador actualizado y las comunicaciones cifradas son eslabones de titanio, y el usuario es un eslabón de plastilina. ¿Adónde apuntará un atacante cibernético?
Los ataques más efectivos empiezan por engañar al usuario, o aprovecharse de sus descuidos. Como ejemplo de éstos, un análisis reveló que un alto porcentaje de empleados utiliza la misma contraseña de su cuenta corporativa en los sitios web más intrascendentes e inseguros. Los atacantes no pierden el tiempo intentando obtener esa contraseña desde los servidores seguros de la compañía: la obtienen más fácilmente de sitios web inseguros, y luego la usan en las cuentas corporativas.
Y como ejemplo de engaño: Wannacry, Petya y otros infames ciberataques recientes entraron a los sistemas con el cuento del tío. Presten atención a estos cinco sutiles pasos del engaño:
Un usuario recibe un e-mail divertido de un desconocido, que lo invita a ejecutar el archivo adjunto. El usuario solicita descargar el archivo adjunto.
El navegador advierte que es peligroso. ¿Conservar o rechazar?
El usuario lamenta que no esté la opción “ejecutar directamente”. Elige descargarlo, lo busca en la carpeta de descargas y lo ejecuta.
El sistema operativo advierte que el archivo no procede de ninguna fuente de confianza, es peligroso, y recomienda cancelar la orden.
El usuario no lee ese mensaje aburrido y hace clic en “No me importa, quiero ejecutarlo igual, yo me hago cargo”.
Epílogo: el usuario víctima de un ataque informático se lamenta de su mala suerte. Hoy los usuarios son como motoqueros con el casco en la mano. Tienen todos los elementos de seguridad, pero no los usan.
Conclusión: el usuario que permanezca en la ignorancia será la víctima preferida de los ataques informáticos.
Los consejos son los de siempre, no hay nada nuevo:
Usar contraseñas seguras. Al cambiarlas, observar el indicador de fortaleza y procurar siempre el más alto.
Mantener las claves en secreto. Nunca escribirlas, nunca compartirlas.
Usar distintas contraseñas en diferentes sitios. Para simplificar, elegir una misma contraseña o variantes sólo para sitios irrelevantes, aquéllos que no perjudican si se hackean. Pero no usar esa clave en sitios relevantes.
Utilizar sistemas operativos y navegadores seguros y actualizados. Algunos se actualizan diariamente.
Sospechar, y no ejecutar sin estar seguro.
*Profesor de la Facultad de Ingeniería de la Universidad Austral.