Sabemos que nos falta formación en ciberseguridad. Pero además se ha probado que, aunque suene contraintuitivo, las nuevas generaciones están cada vez menos formadas en esta disciplina… o les importa menos. Sí, aquellos que llamamos nativos digitales puede que estén cometiendo los mismos errores (o peores) que la generación anterior. Si no hacemos algo al respecto, los jóvenes actuales estarán mejor preparados que los que están por llegar.
No lo digo yo, sino un informe de EY que recoge la opinión de 1.000 usuarios estadounidenses cuyo trabajo exigía el uso de un ordenador la mayor parte del tiempo. Y para analizar bien la brecha generacional, el estudio segmentó por generaciones. A saber: oficialmente, los boomers son los nacidos entre el 1946 y 1964; generación X, entre 1965 y 1980; Milenials, entre 1981 y 1996; y generación Z, entre 1997 y 2012. Veamos los datos.
De todos ellos, el 83 % decía entender las políticas de ciberseguridad de sus empleadores y el 76%, además, afirmaba tener conocimientos sobre ciberseguridad. Pero entender no es implementar ni tener conocimientos es saber. Porque quizás lo más relevante del estudio es que los más jóvenes están menos dispuestos a hacer caso a los administradores que pretenden protegerles. En concreto, el 58% de la generación Z y el 42% de los milenials desoyen todo lo posible las actualizaciones obligatorias del departamento de informática de la empresa, frente a “solo” el 31% de la generación X y el 15% de los (ya cincuentones) boomers.
El 31% de los milenials y el 30% de la generación Z reutilizan sus contraseñas entre el trabajo y la vida personal. Los mayores (X y boomers) “solo” lo hacen en un 22% y 15%, respectivamente. Sobre las cookies, casi la mitad de la Z y milenials las aceptan casi siempre en su entorno de trabajo. Sin embargo, solo un 31% de los X y un 18% de los boomers lo confiesan.
Lo importante no es la precisión de los resultados, sino la reflexión sobre si de verdad los que llamamos nativos digitales actúan de manera más segura. Podríamos resumir que aunque se sabe que la ciberseguridad es importante y se conocen las reglas básicas… cuanto más joven es la persona, menos cumple las normas. Estamos hablando de una característica intrínseca a la juventud (la rebeldía), pero en el caso de la ciberseguridad quizás pueda interpretarse de otra forma y quepa plantear esta pregunta: ¿existe un exceso de confianza por la familiaridad obtenida con una tecnología que paradójicamente no se entiende?
La informática siempre se ha dedicado a facilitar la labor a las generaciones venideras. Los diseñadores han creado interfaces para que todo sea más fácil de usar y los programadores han desarrollado entornos que permiten que los jóvenes (sin saber apenas de código) puedan crear un juego de éxito viendo tutoriales en Youtube. Los boomers que no disponían de esas capas han tenido que aprenderlas o construirlas, entender y respetar esa tecnología: familiarizarse desde dentro. Y ahora la generación Z sabe cómo manejarla y explotarla mucho mejor que sus mayores, pero no cómo funciona en sus entrañas. Se han familiarizado desde fuera. Confían en una tecnología de una apariencia que perciben tan madura, que están seguros de que puede llegar a protegerles por ella misma sin que deban añadir esfuerzo por su parte. Demandan, como demanda la juventud en general, sobre todo usabilidad por encima de cualquier incomodidad impuesta.
Siempre se ha dicho que la usabilidad está reñida con la ciberseguridad. Los humanos tendemos a preferir lo sencillo a lo seguro y cualquier barrera (que, por definición, impone la ciberseguridad) será mal recibida y, si es posible, sorteada. De un tiempo a esta parte, superada en cierta forma la usabilidad desde un punto de vista técnico, las nuevas generaciones exigen ese mínimo esfuerzo también para protegerse. Ahora es la familiaridad la que está reñida con la ciberseguridad. Cuanto más se crea que se conoce la tecnología y más se confíe en esos poderes de abstracción, más se relajarán las medidas personales.
El avance conseguido es magnífico, pero tiene un precio. Hemos enterrado en capas y capas de abstracción las entrañas de la operativa del ordenador en favor de la usabilidad para no tener que preocuparnos por cómo usarlo… Hasta que no nos hemos preocupado ni siquiera por cómo protegerlo. Cuando hablamos de usabilidad, o de programar, esa abstracción supone un logro. En lo que concierne a la ciberseguridad, conlleva un riesgo.
En conclusión, es importante cómo se acerca la ciberseguridad a los más jóvenes. Porque no todos deben aprender las bases, por supuesto, pero de la misma forma que el no tener ni idea de mecánica del automóvil no exime de respetar la seguridad vial, sí se debe enseñar cómo prevenir los ataques independientemente de la abstracción y la usabilidad conquistadas. Por muy fácil que sea conducir, no podemos ir a 200 km/h por autopista. Por muy fácil que sea interactuar con la tecnología, por muy familiar que se nos antoje, debemos entender y conocer las normas de ciberseguridad. De lo contrario, seguiremos produciendo generaciones de excelentes nativos digitales ignorantes en ciberseguridad que vivirán en un mundo cada vez más digitalizado y con menos conocimientos sobre cómo protegerse en él.
Las reglas impuestas sin ser entendidas siempre serán incómodas y por tanto rechazadas, y más entre los jóvenes. El reto consiste en aprovechar toda esa abstracción para facilitar tanto la usabilidad como la ciberseguridad, con la formación como vertebrador. La concienciación sin formación provoca miedo en las personas más maduras, y puede que indiferencia en los más jóvenes. Pero todos debemos entender por igual que aunque la tecnología nos ayudará en muchos aspectos, nunca será capaz de protegernos de ella misma sin poner un poco de interés por nuestra parte.
Sergio de los Santos es gerente del área de Innovación y Laboratorio de Ciberseguridad y Cloud de Telefónica Tech.