El error de la industria de la seguridad: falta de empatía con el usuario

lock and key

En la última Black Hat hubo una charla (EN) que me llamó poderosamente la atención. La de Alex Stamos (EN), director de seguridad de Facebook, sobre el papel de la industria de la seguridad en la actualidad.

Y dejó algunas prendas que merece la pena analizar, tales como:

“Tenemos una verdadera incapacidad para ponernos en la piel de las personas a las que tratamos de proteger”

Quien haya trabajado en seguridad entenderá bien a qué se refiere. Los desarrolladores y analistas se tienden a preocupar más por vulnerabilidades que comprometen la seguridad técnica del sistema que la que compete al factor humano. Pese a que está más que demostrado que el usuario es el eslabón más débil, que la seguridad técnica es más compleja de asegurar, y que el resultado, se vaya por uno u otro lado, es exactamente el mismo (la explotación ilícita del sistema).

Parte de esta tesis la defendía un servidor ya hace un año, en ese artículo tituladoEl error de delegar responsabilidad en el factor humano, y desde entonces he ido profundizando en el paradigma de la seguridad humana haciéndome eco de algunos aciertos y algunos fracasos.

Pero siempre sale a relucir el mismo debate. Centrarse en el usuario no significa estrictamente tener que hacer concesiones, sino más bien buscar un equilibrio que satisfaga a ambas partes. Una mala gestión de la seguridad de cara al usuario tiende a criminalizar a los buenos (forzar acciones complejas y/o molestas), cuando la idea es justo la contraria.

Precisamente, de hecho, Facebook es una de esas empresas que más aboga y estudia las mejores prácticas de Human Security. Cuentan con las ganas (importantísimo), pero también con un laboratorio de investigación único en su especie (alrededor de 1.700 millones de usuarios). Lo que ha servido para desmitificar ideas tan caladas dentro de la industria como el que las mejoras de usabilidad reducen drásticamente la seguridad de cualquier sistema.

El enemigo no es el que piensas

La principal batalla a la que se enfrenta Facebook, y en definitiva, todos los grandes agentes informacionales de nuestra actualidad, es, no obstante, la propagación de noticias falsas con intereses que van más allá del puramente económico, hacia mecánicas de propaganda geopolítica.

En abril, de hecho, el equipo de Stamos publicaba un informe tituladoInformation Operations and Facebook (EN/PDF) en el que analizaban el impacto que habían tenido este tipo de mecánicas en la red social, y por tanto, en el apartado civil estadounidense.

Un white paper de cabecera para todos aquellos que nos dedicamos al análisis de información, en el que en apenas 13 páginas recorren uno a uno todos los elementos que refuerzan el papel de estas plataformas como amplificadores de lecturas alternativas (y generalmente distorsionadas) de la realidad.

Un negocio que, como ya explicaba recientemente, es cada vez más asequible:

Y es en esto en lo que históricamente la industria está fallando.

Empezando por la asociación absurda de privacidad con seguridad, cuyo último coletazo está afectando sobremanera a la ideosincrasia que el grueso de la sociedad asocia con una página firmada con un SSL y otra que no lo esté. Que sea la propia Google con Chrome, el navegador líder del mercado, la que esté favoreciendo con esta nueva señalética que el usuario caiga en el error de asociar HTTPs a legitimidad, dice muchísimo del entorno profundamente opaco en el que nos movemos. Que en ese afán por penalizar las conexiones no cifradas hayan obviado todos los blogs creados en Blogger con un dominio propio, que hasta el momento no pueden migrar a SSL (ES), es otro gran ejemplo de cómo decisiones que reman claramente a favor de la seguridad se llevan a cabo sin tan siquiera ponerse en la piel del usuario.

El principal reto de los equipos de seguridad de nuestros días no es proteger el sistema de ataques avanzados, sino hacerlo, precisamente, de ataques poco sofisticados técnicamente hablando.

El riesgo está ahí, en las usurpaciones de identidad, en las campañas de phishing, en la reutilización de contraseñas, en el desconocimiento de la existencia y uso del segundo factor de autenticación, en el acoso digital… Y como no, en la viralización de contenido falso.

Y bajo este prisma, la compañía está moviendo ficha con la creación de herramientas de verificación de hechos (EN), con la lucha contra el cloaking y la propaganda (ES), que se ha saldado con el cierre de 30.000 cuentas falsas a escasos días de las elecciones francesas (EN).

Facebook patrocina el Proyecto Defensa de la Democracia Digital (EN), cuyo cometido es precisamente englobar a todos los grandes agentes políticos del país para colaborar juntos en la creación de un sistema más justo y participativo.

Aquí es donde está el verdadero campo de batalla, y no en los APTs y AVTs. En dotar al usuario de las herramientas suficientes como para que su desconocimiento del paradigma de la seguridad de la información no sea una traba a la hora de utilizar los servicios digitales. En crear plataformas lo suficientemente robustas como para que se antepongan a intentos ilícitos de diferentes agentes a “expensas” (y esto es lo importante) del usuario.

Ese forzado periódico de revisión de permisos que alegremente hemos concedido en tal o pascual servicio. Un doble factor de autenticación como medida de seguridad mínima. El que toda noticia vaya acompañada de varias fuentes de información relacionada y que cuente con un sistema de contraste abierto y auditable. La limitación artificial de la audiencia utilizada no únicamente como recursos económico, sino también a la hora de penalizar aquellos agentes cuyos fines son potencialmente maliciosos.

Por ahí deberían ir los derroteros de la seguridad. Centrarse en la pata humana de la tecnología, y no en la puramente tecnología.

Lo que nos obliga a empezar a dar prioridad a las aptitudes sociales. Algo que, como bien sabe, se hecha demasiado en falta en esta industria.