¿Por qué me tendría que importar? (Y porqué realmente)
Cuando se trata de lidiar con amenazas de seguridad cibernética, es muy probable que nuestra generación sea una causa perdida.
Como consultor de seguridad en informática, o como nos suelen llamar: “hackers éticos”, recibo más de la usual cantidad de atención y curiosidad en cuanto a lo que hago profesionalmente, lo que me da la posibilidad de abordar con la gente tópicos como tecnología, hackeo, seguridad online, privacidad, etc. La gente que toma interés en lo que hago para ganarme la vida se da cuenta que la seguridad informática es un tema importante en nuestra sociedad actual, y que las organizaciones, sean de carácter público o privado, deberían invertir más recursos en asegurarse que nuestra infraestructura tecnológica está protegida de agentes maliciosos, o en otras palabras, hackers.
Irónicamente, esta misma gente tiende a tener una actitud displicente acerca de la seguridad de la información cuando a sus vidas privadas se refiere; creyendo que el actual panorama de amenazas no los afecta personalmente, ya que no se pueden imaginar como posibles blancos de un ataque: “Yo no tengo nada de valor para un hacker, ¿por qué me tendría que importar?”.
Ese tipo de actitud es principalmente una consecuencia de la falta de conciencia y educación. Dejemos de lado el botín que comúnmente asociamos con un hackeo: contraseñas, información de tarjeta de crédito, fotos privadas, etc. Independientemente de quién seas, dónde vivís, cuánto dinero ganás, tenés algo muy valioso que solo vos y nadie más posee en el mundo entero: tu identidad.
Nadie es una isla en el Internet. Tu comportamiento inseguro en línea no solo te pone a vos y a tus datos en riesgo, sino también a las personas y entidades que están conectadas a vos: familiares, amigos, colegas, la empresa para la que trabajás, las organizaciones de las que formás parte, etc. Un hacker que compromete tus datos, puede usar esa información para suplantar tu identidad, lo que le permite explotar la confianza que vos y tus conexiones han construido a lo largo del tiempo.
Como individuos, también tendemos a olvidar que las organizaciones de las cuales esperamos que actúen como nuestros protectores en línea (ya sean instituciones gubernamentales, proveedores de servicios de Internet, fabricantes de hardware, etc.) no son más que una colección de otras personas como nosotros que sufrimos de la misma “parcialidad optimista” (optimism bias) en lo que respecta a la seguridad de la información. Esta renuencia a educarnos y pensar en la seguridad informática como algo más que una molestia, trasciende nuestras vidas personales y se extiende a todos los aspectos de la sociedad.
El ataque ransomware WannaCry que golpeó al mundo a mediados de este año es un claro ejemplo de cómo esta actitud imprudente puede llevar a consecuencias catastróficas. Las noticias hablaban de varios hospitales en el Reino Unido que habían cerrado después de que el malware encriptara sus sistemas de archivos, haciendo que sus sistemas informáticos fueran inútiles. Estas interrupciones han afectado a innumerables personas que no pudieron obtener atención médica inmediata y tuvieron que ser dirigidas a otros hospitales, poniendo vidas en riesgo.
Esta podría ser la primera vez que podemos ver las consecuencias de las malas prácticas de seguridad informática teniendo un resultado muy tangible, fácil de entender y, al mismo tiempo, impactante y potencialmente mortal. Como sociedad, como humanos, claramente necesitamos este tipo de llamadas de atención. El cerebro humano es un juez de riesgo muy pobre, especialmente cuando se trata de conceptos que no comprendemos del todo.
La mayoría de los medios de comunicación, demostrando una pobre comprensión de la situación en cuestión, hicieron que pareciera que la razón por la cual este ataque era posible se debía a que involucraba herramientas muy avanzadas desarrolladas por la NSA (Agencia de Seguridad Nacional de los Estados Unidos). Esta interpretación errónea de los hechos, a su vez, permitió a las organizaciones afectadas negar su responsabilidad para evitar ser víctimas de un ataque como este, y afirmar que no tienen los recursos para protegerse de actores que poseen tecnología que está supuestamente al nivel de armamento de guerra cibernética.
En realidad, WannaCry explotó un problema en Windows que había sido revelado al público dos meses antes que el ataque ocurriera. Además, Microsoft ya había lanzado un parche para sus sistemas que solucionaría el problema en el momento en que la vulnerabilidad se hizo pública. En un mundo perfecto donde la organización promedio comprende mejor el riesgo de no parchar sus sistemas cuando una vulnerabilidad de alto riesgo se conoce públicamente, este ataque no hubiera sido posible, o al menos hubiera tenido un menor impacto y alcance. De hecho, muchas personas involucradas en la industria de seguridad informática predijeron que era solo cuestión de tiempo antes de que ocurriera un ataque como ese, pero nadie escuchó.
Sin embargo, ¿podemos culpar a alguien por esto? La mayoría de las personas que están a cargo de tomar las decisiones que impactan directamente sobre cómo se manejan estas situaciones han sido educadas en un mundo donde el Internet no existía. Nadie les ha instruido desde una edad temprana que deben preocuparse por temas como ciberseguridad.
Entonces, la pregunta es qué acciones estamos tomando para remediar esta situación para las generaciones futuras. Nuestros sistemas educativos están claramente retrasados cuando se trata de tecnología. Los niños pequeños ingresan en programas escolares que han permanecido bastante estáticos y sin cambios significativos durante décadas; programas que fueron diseñados en una era completamente diferente donde la tecnología no era un elemento tan omnipresente de la sociedad. Los niños participan en un mundo online sin tener una comprensión básica de cómo funcionan las computadoras y el Internet, al igual que sus padres.
Estos niños, los mismos que se convertirán en los tomadores de decisiones en el futuro, están obligados a cometer los mismos errores que cometieron sus predecesores, juzgando mal los riesgos cuando se trata de amenazas de ciberseguridad. Por lo tanto, el círculo vicioso se perpetúa y continúa. Excepto que para entonces, la tecnología se habrá vuelto exponencialmente más compleja, a medida que la civilización se vuelva cada vez más dependiente e integrada con lo “ciber”. ¿Qué sucederá cuando un tipo similar de malware golpee autos en masa? ¿Robots que realizan cirugías? ¿Aviones? ¿Casas inteligentes?
Es por esto que abogo por hacer que la seguridad informática sea parte del plan de estudios de la escuela secundaria. Ayudar a crear una comprensión básica de cómo funciona la tecnología sería la mejor manera de luchar contra el síndrome de parcialidad optimista. No podemos esperar que nuestros hijos tengan una comprensión inherente de cómo funciona la tecnología solo porque están constantemente expuestos al Internet. Saber cómo publicar un video en Youtube no les da una comprensión real de por qué el cifrado es importante, qué es una vulnerabilidad, cómo funcionan los exploits y por qué es importante mantener su sistema operativo actualizado.
Además, hay un beneficio más al educar a nuestros hijos. No solo serán los que tomarán las decisiones del futuro, sino que también podrían convertirse en la fuerza impulsora que exija niveles más altos de seguridad informática en la sociedad. Dentro de 20 años a partir de ahora, se unirán al mercado laboral y se convertirán en consumidores, lo que significa que sus decisiones y preferencias impulsarán la economía global. Un consumidor educado podría identificar un producto que se desarrolló teniendo en cuenta la seguridad. Esta demanda de seguridad empujaría a las empresas y organizaciones a hacer de ella una prioridad, ya que de lo contrario, significaría perder frente a sus competidores.
Cuando se trata de lidiar con amenazas de seguridad cibernética, es muy probable que nuestra generación sea una causa perdida. Pero si queremos tener la esperanza de que nuestros descendientes puedan enfrentar las amenazas cibernéticas de la era posmoderna, debemos dejarles las herramientas necesarias para comprender el mundo que estamos dejando atrás.
