El error de delegar responsabilidades en el factor humano

security warning

Es una pelea que tengo abierta con la industria, y a la cual he dedicado más de un artículo en estos últimos años.

Seguimos empecinados en echarle la culpa al usuario de los riesgos de seguridad que corren los sistemas informáticos, delegando en sus acciones, y por ende, en su conocimiento, cualquier vulnerabilidad no convenientemente cubierta a nivel de desarrollo.

Y el corolario no tiene un final feliz, habida cuenta de que este camino nos fuerza a buscar ese ansiado escenario en el que toda la sociedad está convenientemente capacitada para utilizar la tecnología.

Es decir, que el humano se supedite a las limitaciones de la herramienta. No al revés.

Dichosas alertas

¿En serio no vemos un error en esta metodología?

Desde el principio de nuestra existencia, lo que nos ha dado esta solvencia frente al resto de especies ha sido precisamente el hecho de ser capaces, con nuestro ingenio, de adaptar el entorno a nuestras necesidades. Ni somos los más rápidos, ni los más listos, ni los más fuertes, ni destacamos en prácticamente nada más que no sea esa increíble facilidad de aprovechar lo que hay a nuestro alrededor para paliar nuestras limitaciones. ¿Por qué entonces no hacemos lo mismo con el mundo de la tecnología?

Empezando por esas páginas de alerta que eventualmente nos asaltan en nuestras labores cotidianas.

Soy consciente de que los ingenieros que diseñaron esa página de warning en navegadores como Chrome o Firefox, o quien estructuró las alertas de sistemas operativos como Android, iOS o Windows, lo hizo con toda la buena intención del mundo. Que esas páginas están ahí para informar al usuario de que, de continuar, lo mismo está poniendo en peligro la integridad, seguridad o privacidad de sus dispositivos.

¿Pero qué ve, por ejemplo, mi madre, cuando se le pone la pantallita entera roja? Algo así como “blablabla no hagas esto, o bien clicka aquí para cerrar esta página y seguir navegando/haciendo lo que sea que estuvieras haciendo”.

Es tan sencillo como eso. El grueso de la sociedad no tiene ni idea de qué es un malware (ya ha costado hacerles entender qué es un virus, como para ahora decirles que su mayor riesgo no son estas piezas de código, sino otras aún más abstractas), ni entiende qué problema hay en entrar en esa página que siempre ha entrado. Además, ¿por qué no voy a poder instalar esta aplicación si me la ha recomendado un amigo? Obviando el hecho de que casualmente estas alertas aparecen en portales de torrents, quizás ampliamente utilizados, a medio camino entre el interés de la industria en evitar posibles infecciones a sus clientes… y el interés de la industria en bloquear este tipo de páginas por razones puramente económicas.

¿No sería mejor que el propio sistema fuera capaz de adaptarse a las necesidades? Quiero decir, de, en base a esas listas negras, implementar un nivel u otro de seguridad según la página en la que estemos, de tal manera que por ejemplo evitemos que se cargue contenido javascript en una página marcada como difusora de malvertising, o aplicara un sandbox más restrictivo a aquellas aplicaciones que se instalen fuera de los límites del market (no tan controladas, por tanto). Con los permisos por defecto bloqueados, en espera de analizar su comportamiento y levantarle paulatinamente el bloqueo.

Delegamos así la seguridad no al usuario, cuyo papel sería únicamente utilizar la herramienta, sino en el sistema, que es quien debería hacer el trabajo de adaptación.

Dichosos enlaces

Viene de la mano del anterior.

Desde el nacimiento de internet hemos educado a los usuarios en que un hipervínculo es un elemento que nos redirige a otro contenido. Que es a efectos prácticos un botón que hay que apretar. ¿Cómo podemos esperar que el usuario sea capaz de discernir qué enlaces son “buenos” y cuáles son “malos”? Y peor aún, que a los segundos ni los mire.

Con campañas de phishing a la orden del día, con la expansión de los acortadores de enlaces en redes sociales como Twitter, y con la simplificación hasta el absurdo de la apertura de enlaces en navegadores capados de sistemas operativos móviles (que evita asegurarse que en realidad estamos navegando hacia X página), esa responsabilidad que delegamos en el humano no va a tener un final feliz.

Es físicamente imposible que una persona sepa a ciencia cierta, sin pinchar en el mismo, qué ocurrirá después. Por contra, una compañía como Google o Facebook puede, a colación de su ingente base de datos de contenido indexado, adelantarse a dicho resultado, bloqueando por defecto aquellos sites marcados como spam, de manera que el usuario ni siquiera vea un enlace al que pinchar.

¿Qué esa página soluciona su problema? Pues se desactiva el bloqueo y todos felices. Pero mientras, cualquier enlace apuntando a esos dominios dejará de estar visible.

Dichosas contraseñas

Y quiero terminar con un ejemplo en el que creo estamos dando bastantes pasos acertados.

Las contraseñas son una verdadera lacra en el mundo digital. Para hacer las cosas bien, tendríamos que tener una para cada servicio, y además que ésta cumpliera una serie de particularidades específicas que no siempre son cómodas de utilizar.

De nuevo, esa terna seguridad-privacidad-usabilidad de la que tanto estamos hablando últimamente.

¿Que por qué siguen con nosotros? Porque son el acercamiento más sencillo de implementar, delegando en el conocimiento del usuario la seguridad de sus servicios.

¿Qué es lo que ocurre habitualmente? Que el usuario delega en las contraseñas almacenadas en el navegador toda esa responsabilidad. Y si en algún momento necesita recuperar esa contraseña, activa el típico “He olvidado mi contraseña” y así bypasea el sistema de seguridad.

¿Qué se puede hacer? En parte lo que estamos haciendo.

  • Por un lado, aprovechando el propio sistema operativo (y en otros casos, el navegador o un programa específico) como llavero en el almacenar de forma segura esas contraseñas. De esta manera, las contraseñas pueden no ser recordadas, lo que les permite volverse muchísimo más robustas.
  • Por otro, apoyarnos en otros factores de autenticación, como es el de la posesión (te envío un mensaje al móvil y así me demuestras que eres tú) o el de la inherencia (utilizo algo tan innato en ti como es tu huella dactilar para identificarte). Que sí, que tienen sus handicaps, pero son infinitamente más cómodos de utilizar que el mundo de las contraseñas, y lo mejor de todo, es que basan su seguridad en la seguridad del propio sistema, no en la que pueda aplicar el usuario.

Por aquí deberían ir los tiros. Menos responsabilidades al usuario y más a la herramienta.

Lo que hemos hecho toda la vida y tan bien nos ha funcionado, por cierto.