Aplicando neurobiología al diseño de alertas de seguridad

neurobiologia

Del 2 al 4 de Marzo se celebra en Madrid uno de esos eventos que intento no perderme cada año: La RootedCon (EN).

Para esta edición ya tengo entrada, y estoy en espera de ver si al final por trabajo tendré que ir al Mobile World Congress (se celebra esa misma semana los días anteriores), pero de seguro a partir del jueves/viernes estaré allí de sol a sol.

¿La razón? Este tipo de eventos, centrados exclusivamente en los apasionados de la seguridad, son uno de los mejores sitios para enterarte de primera mano de las últimas investigaciones, para conocer o volver a ver a gente del sector a la que admiras, y si fuera el caso, para echar unos cuantos currículums allí donde nos gustaría trabajar. Además, descontando los espacios dirigidos para tal fin, el objetivo de todas las charlas es enseñar, no vanagloriarse del tamaño de nuestro… equipo, o hacer publicidad gratuita de nuestro negocio.

No es una feria de tecnología, vamos. Allí se va a tomar apuntes con lápiz y papel (deje todo lo que tenga conectividad en la seguridad de su casa) de algunas de las investigaciones que acapararán portadas en los próximos meses.

Y un ejemplo de esto lo veíamos estos días en Oakland, California, donde se ha celebrado ENIGMA, otro de los grandes eventos del sector. Por supuesto, hubo de todo, pero me quedo con la charla que impartió Anthony Vance (EN), profesor de sistemas de información en la Universidad de Brigham, sobre cómo la neurobiología podía ayudarnos a diseñar sistemas de alerta de seguridad muchísimo más eficaces.

Comprendiendo el hardware humano

La tesis que defiende el laboratorio de Vance es que los sistemas informáticos, y en particular, las alertas de seguridad, no han sido diseñadas teniendo en cuenta el funcionamiento de nuestro cerebro. Y esto hace que con el tiempo se vuelvan cada vez menos útiles.

Para colmo, la multitarea, entendida como esa forma de trabajar a la que parece que la tecnología nos empuja (varias pestañas del navegador abiertas a la vez, diferentes notificaciones que entran en paralelo, segundas pantallas a la hora de visionar contenido televisivo…), minimiza el impacto de las alertas de seguridad hasta el punto de activar con menor intensidad las regiones de nuestro cerebro asociadas a una consciencia plena, lo que hace que con mayor probabilidad obviemos o subestimemos el problema.

El tema es crítico, habida cuenta de que la mayoría de ataques que sufren tanto particulares como organizaciones se deben a las acciones que realizan los usuarios a expensas del propio sistema, que generalmente intenta alertar de los posibles riesgos asociados a dicha acción. En según qué ámbitos, nos hemos acostumbrado a aceptar por defecto todos los permisos que nos pide una aplicación, a obviar el error que muestra un navegador cuando una página no cuenta con un SSL correctamente configurado o está caducado, e incluso cuando el gestor de correo informa de que ese adjunto podría ser dañino para nuestro dispositivo.

La señalética de los sistemas de seguridad está fallando, y de ahí que ya haya incidido en esto en más de una ocasión últimamente. El fin de cualquier tecnología de seguridad es delegar en el propio sistema el control y ámbito de actuación frente a potenciales amenazas. Pero mientras llegamos a ello (hay que minimizar al máximo el impacto de eventuales falsos positivos), no nos queda otra que ofrecer una asistencia lo más acertada posible para el usuario, que es, en última instancia, quien está tomando la decisión.

Cómo afecta el diseño a la toma de decisión del usuario frente a eventuales riesgos

Con esto en mente, el equipo de Vance ha colaborado con Google para diseñar nuevos sistemas de advertencias de seguridad en Chrome que sean más útiles a nivel de la neurobiología humana.

A sabiendas de que el estado de multitarea de la mayoría de los usuarios de la red supone un problema para el éxito de una advertencia de seguridad (se calcula que su efectividad se reduce tres veces frente a aquellos que están centrados en una única tarea), el equipo ha estado probando una versión modificada de Chrome que solo muestra advertencias de seguridad cuando se da cuenta que el usuario está centrado en una actividad específica (por ejemplo, esperaría a que terminara un vídeo, se completara una descarga o llegara al fin de un artículo).

Según el estudio (EN/PDF), estas advertencias fueron ignoradas solo un tercio de las veces, frente al casi 80% de fracaso que tiene la versión actual que muestra la advertencia tan pronto se produce el suceso.

Otra de las investigaciones del equipo de Vance se encargó de demostrar cómo el diseño pierde efectividad conforme más veces lo ve el usuario.

¿Cómo se puede solventar esto? Rompiendo las reglas del diseño de cada sistema para impactar al usuario con aquellos elementos que de verdad suponen una alerta de seguridad. 

Aplicado por ejemplo al market de aplicaciones, pasaría porque cada vez que el usuario intenta descargar una app y ésta le pida una serie de permisos que el sistema considera que son excesivos para su ámbito de actuación (típica app de linterna que de paso pide acceso a contactos, a historial de llamadas y SMS, por ejemplo), mostraría dichos permisos utilizando diferente aspecto al que el usuario está habituado (una tipografía y/o tamaño de caracteres distinto, diferentes colores…).

De esta manera el ojo humano no se acostumbra a ver estas alertas (serán distintas para cada ocasión), y eso evita que nuestro cerebro analice la advertencia como algo rutinario, dándole el valor que se merece.

Son dos pequeños ejemplos, pero adelantan un problema que el mundo tecnológico ha obviado hasta la fecha. Si queremos de verdad minimizar esos más de 90.000 millones de euros que cada año se calcula que las empresas gastan en securizar sus sistemas, si queremos evitar que el ransomware y las campañas de phishing sigan siendo uno de los negocios más suculentos para la industria del cibercrimen, tendremos que centrarnos en entender cómo nuestra biología e instintos identifican qué es riesgo y qué no lo es, diseñando los sistemas de alerta en consecuencia.