Abrimos el grifo, llenamos un vaso de agua y lo bebemos. Entramos en un restaurante aleatorio, pedimos un plato y ―a no ser que sospechemos de algunos aspectos evidentes que cuestionarnos que exista un riesgo para nuestra salud por consumir lo que se nos sirve- no nos planteamos que el camarero nos intente acuchillar. Aunque no tengamos ni la menor idea de quién mantiene la red de aguas, con qué frecuencia se analiza, de qué están hechas las tuberías, la higiene del cocinero o la salud mental de los empleados. No lo pensamos porque confiamos en que, entre varios mecanismos como pueden ser la reputación o leyes y regulaciones que tampoco conocemos de memoria, se nos proporciona la seguridad suficiente como para olvidarnos de ello hasta nuevo aviso (alertas, evidencias, etc.). ¿Y en ciberseguridad? ¿Ocurre lo mismo?
De forma instintiva, el usuario busca no tener que cuestionar cualquier acción en su ordenador o en la red. Es agotador. Desea que otros se hayan ocupado de que navega seguro, de que el archivo que descarga no sea malware, de que la empresa filtre el correo profesional para que no llegue ningún phishing, de que el cortafuegos corte lo que tenga que cortar, de que el programa que usa no tenga fallos y respete la privacidad... En teoría, para eso existe una industria y unas regulaciones, ¿no? Cuanto más se difumina lo digital con nuestros hábitos más cotidianos, más aspiramos ―por analogía con el mundo físico que consumimos― a esa merecida despreocupación. Sin embargo, no conseguimos trasladar a la práctica esa ambición de que la ciberseguridad sea transparente. Existen demasiadas trabas en los métodos de defensa (dobles factores, contraseñas, restricciones…), leemos que se producen ataques a diario… hasta el punto de que o bien el usuario desconfía o bien cree que no existe solución.
La tecnología nos ayudará en muchos aspectos, pero por ahora no será capaz de protegernos de ella misma sin que conciliemos dos aspectos: poner un poco de interés por parte del usuario (el componente humano) y mejorar aún más la industria y las leyes.
Ya hemos hablado del sentido común, que no sirve sin formación y una mínima base técnica porque la tecnología no nos ofrece aún la transparencia necesaria para que podamos despreocuparnos de todo. El otro aspecto es mejorar la industria y las regulaciones para ayudar a esa transparencia. Conseguir que, igual que confiamos en los organismos que velan por nuestra seguridad en el consumo de alimentos, la ciberseguridad sea también confiable. Establecer esa confianza no es sencillo porque (aunque ya son de obligado cumplimiento muchas certificaciones en ciberseguridad) todavía no se han establecido regulaciones que responsabilicen de aspectos críticos como puede ser algo tan complejo como un fallo de software que comprometa la seguridad del usuario o incluso de la sociedad. Esta demanda de vinculación responsable se plantea cuando hemos sufrido casos en los que literalmente es posible comprometer vidas a través de vulnerabilidades en sistemas informáticos. Hemos llegado a ese nivel de dependencia, pero no de confianza en lo digital. Y no olvidemos que una de las funciones de una buena ciberseguridad es generar confianza. Aunque creo que por cotidianeidad y uso masivo, lo digital ha generado confianza en los usuarios más rápido que lo que la seguridad ha podido protegerles de forma transparente. No se han complido sus expectativas.
En general, impulsar tecnologías rápidamente y definir responsabilidades a varios niveles sin generar conflictos es uno de los mayores retos a los que nos enfrentamos. Mientras, debemos seguir gestionando el riesgo, entre todos (y como en todo). No debemos responsabilizar al usuario, pero todavía no hemos conseguido que se pueda despreocupar. No es tan transparente como para que se considere confiable.
Pero se solucionará. Hemos hecho avances. En ciberseguridad, ya el coste del problema es mayor que invertir en la solución que lo corrige (pongamos el caso de ransomware en empresas). Y esto, que no siempre estuvo tan claro, es una realidad que ha impulsado y mejorado la industria en los últimos años. Otro avance podemos verlo en procesos que hemos conseguido invisibilizar de forma relativamente segura. Por ejemplo, si hasta hace unos 20 años, acceder a internet no era técnicamente tan sencillo (configurar un módem, router, el sistema operativo…) hoy hemos conseguido que nadie se plantee que debe “conectarse” a internet. Está ahí, disponible para todos de forma razonablemente cibersegura (es raro que no exista un cortafuegos o segmentación de redes) y transparente como el agua que sale del grifo. Hemos reducido el esfuerzo a introducir una contraseña para el wifi, que suele ser compleja por defecto.
¿Pasará lo mismo con la ciberseguridad en general? ¿Conseguiremos esa facilidad, transparencia y confianza fundamentada? Todavía es necesario esperar. Adaptarse, ser flexible. Ser como el agua en la tetera y beberla sin cuestionarla.