La ciberseguridad está rodeada de algunos mitos muy resistentes y perniciosos. Desde un punto de vista práctico, el mayor problema que generan estas falsas creencias es que se invierte más tiempo explicando por qué lo son y desmintiendo a los usuarios que explicando información útil.
Se pierde foco y confianza. Además, el ruido de fondo, inexacto e incluso a veces absurdo, desgasta la visión sobre la ciberseguridad. Se sigue marginando como algo incomprensible, solo para unos pocos… o directamente prescindible.
Aun así, voy a contar aquí tres mitos inútiles sobre malware y ciberseguridad que perduran 30 años después para intentar, una vez zanjado el asunto, comenzar una discusión constructiva y no solo destructiva de mitos. Más nos vale.
Primero
El malware (virus es una palabra algo obsoleta) son programas (no magia) que se crean con ánimo de lucro por parte de atacantes que saben cómo monetizar la ejecución en un ordenador ajeno. No los crean las casas antivirus para meter miedo ni generar negocio. En todo caso, explican cómo funcionan con una intención didáctica y de “venta” de capacidad de detección y análisis. No necesitan asustar.
Bastante tienen con los atacantes actuales que quieren (y saben) sacar el máximo provecho con actividades como ransomware a gran escala, ciberarmas, etc. El mundo del malware está profesionalizado desde aproximadamente 2010 y desde poco después se encuentra extremadamente enfocado en extorsionar a grandes empresas, perpetrar ataques dirigidos y en ámbitos militares ya está concebido como ciberarma.
Y esto ha hecho que los ataques a los usuarios “de a pie” hayan disminuido en favor de grandes golpes a las compañías a las que extorsionan. ¿Cuándo fue la última vez que percibiste una infección limitante en tu ordenador o que tu cuñado te llamó para limpiar el suyo? Probablemente hace más de lo que piensas o al menos ocurre con menor frecuencia que hace 10 años. También ha influido la mejora en la seguridad del sistema operativo y de los programas, además de la migración a la nube que facilita el parcheo.
Segundo
Insisto: el malware son programas que se crean con ánimo de lucro por parte de atacantes que saben cómo monetizar la ejecución en un ordenador ajeno. Y da exactamente igual el tipo de sistema operativo que albergue. Incluso si es alguno exótico usado en la industria pesada para gestión de brazos robóticos.
Todo lo que tenga un sistema operativo no solo es susceptible de ser atacado, sino que realmente es atacado en mayor o menor medida. Históricamente se ha asociado el malware a Windows cuando en realidad en ciertos entornos de ataques de ransomware, el malware para otros sistemas operativos está más cotizado y se les vulnera con frecuencia.
Tercero
Una vez más, el malware se crea con ánimo de lucro por parte de atacantes que saben cómo monetizar la ejecución en un ordenador ajeno y eso incluye el de cualquier usuario. Allá donde exista un sistema operativo, acudirá. Y solo hay una manera de que el malware lance su ataque: ejecutándolo.
Y, a su vez, solo hay dos maneras de ejecutar: o bien lo hacemos nosotros mismos lanzando con doble clic y aceptando todas las advertencias (creyendo que se trata de otro programa) o aprovechan una vulnerabilidad. El primer caso se evita sabiendo muy bien qué se está ejecutando (lo que requiere cierta formación). El segundo caso es más sencillo porque la mayoría de las vulnerabilidades se eliminan con la actualización y una pequeña revisión de la configuración del sistema (lo que requiere también formación).
La conclusión es que el malware lo crean atacantes para los que son potenciales víctimas todos los sistemas de todas las personas, siempre que exista un lucro. Y disponemos de formas relativamente sencillas y eficaces de evitarlo. A partir de esta eliminación de prejuicios y mitos, deberíamos comenzar a abordar esa formación básica (que no solo concienciación) necesaria para conseguirlo. Porque la ciberseguridad no es cosa de algunos. Afecta y concierne no solo ya al que manipule, sino que estamos en un punto en el que es importante para todo el que simplemente mire una pantalla.