Imaginemos un mundo en el que en las autoescuelas se mostrasen solo las consecuencias de los accidentes de tráfico. Los diferentes tipos de accidentes que pueden causar el exceso de velocidad, no usar el cinturón o conducir bajo los efectos del alcohol. Imaginemos que en esa misma autoescuela no se enseñase cómo usar el freno, ni a interpretar las señales de tráfico, ni cómo abrocharse correctamente un cinturón. O que si lo hicieran, los términos para describirlo fuesen tan técnicos que el conductor medio no entendiese las instrucciones.
La concienciación sin formación no sirve de nada. Concienciar sobre ciberseguridad suele centrarse en describir los peligros que conlleva la digitalización de procesos importantes en compañías y personas. Para concienciar se suele hablar de consecuencias de un uso inseguro de la tecnología: se puede sufrir un ransomware, un robo de identidad, una fuga de información o pérdida de todos los datos. La concienciación, por sí sola, induce al miedo y a la paralización en el mejor de los casos (porque no hay nada que el usuario crea que puede hacer para evitarlo y prefiere no tocar nada), y a la desidia en el peor (porque no hay nada que el usuario crea que puede hacer para evitarlo y prefiere no preocuparse).
La única manera de acabar con esta dinámica es poniendo foco en la formación después de la concienciación. Pero esto no es tan sencillo. Requiere tiempo, planificación y generar un interés en el usuario. Su inversión en tiempo debe conllevar un beneficio percibido para todos. No podemos pretender que un usuario medio se proteja de forma adecuada sin unas técnicas concretas que no sean ambiguas como las que habitualmente se utilizan. Palabras como “enlace sospechoso”, “dominio poco fiable”, “archivo no solicitado” o “tener cuidado al navegar” no significan absolutamente nada y no aportan seguridad a la conducta del usuario. Son tan inútiles como las soflamas técnicas que distancian al oyente que no está instruido en la terminología de los profesionales.
Debemos, por un lado, concienciar sí, pero inmediatamente formar. El lugar ideal son las escuelas. Por otro, debemos además conseguirlo evitando el rechazo que hemos creado en la propia industria a través del lenguaje. Un reciente estudio de la industria revelaba que el 44% de los directivos españoles no prioriza la ciberseguridad en sus empresas debido al lenguaje confuso que se utiliza en este sector. En concreto porque “el lenguaje utilizado es confuso y obstaculiza la comprensión de las amenazas”. Un tercio de los ejecutivos encuestados afirmó no entender el significado de malware y casi otro tercio no comprender el término ransomware. Esto a pesar de que el 45% de los ejecutivos de grandes empresas en España es consciente de que las ciberamenazas son el “peligro más grande” que puede sufrir su empresa. Esto es un perfecto ejemplo de concienciación, pero sin formación. Para la industria, es más fácil reconocer fallos en el usuario que en ella misma. Modificar esto es un cambio de cultura que llevará tiempo.
Y es que, durante la formación, si pretendemos ser precisos corremos el riesgo de ser demasiado técnicos y distantes. Si somos excesivamente simplistas podemos acabar infantilizando el problema. El término medio es complicado pero posible. Ahí es donde la formación debe comenzar. Explicando en términos comprensibles las reglas básicas necesarias para evitar los peligros más comunes. En abstracto puede parecer sencillo, pero aterricemos el concepto: ¿qué sería lo mínimo que debe comprender un usuario para protegerse?
Una primera propuesta podía ser que para que un usuario medio detecte un caso de phishing, debe: conocer qué es un dominio de primer nivel, un dominio, un subdominio y una ruta. También debe conocer cómo interpretar un certificado. Además, para evitar ejecutar adjuntos maliciosos debe conocer cómo diferenciar un formato ejecutable de otros o cómo analizar un archivo antes de abrirlo con dos sencillos pasos (uso de agregadores antivirus y comprobación de firma). Y, por último, enseñar cómo gestionar las contraseñas (usando un gestor y reglas mnemotécnicas) y cómo activar segundos factores de autenticación.
Para cubrir estos tres puntos no se necesita una gran inversión de horas, sino unos mínimos procedimientos sencillos con pasos no ambiguos y concretos. Una evolución en la cultura de aproximación a la ciberseguridad. Y esto, estoy convencido, son habilidades básicas que cualquiera puede adquirir. Porque, por continuar con la analogía inicial, la inmensa mayoría de personas también es capaz de asimilar las reglas fundamentales de tráfico y conducir con una mínima seguridad.