La gestión de contraseñas, los segundos factores de autenticación, la comprobación de los enlaces y adjuntos, la organización de copias de seguridad… Todos son actividades imprescindibles relacionadas con la ciberseguridad, pero que intentamos evitar a toda costa. Ya sea de manera consciente o inconsciente, por fatiga o desconocimiento, el asunto es que se nos da muy mal sostener esos hábitos en el tiempo, y terminamos por rebajar nuestra atención. La actitud de alerta permanente ―que es tan ideal como inalcanzable en la mayoría de los escenarios― no escala.
La buena seguridad ―la realmente útil― es la que puede conseguir todo eso por nosotros de forma que nos permita olvidarnos en lo posible y relajar nuestra tensión. Las copias automáticas de seguridad, los gestores de contraseñas integrados en el navegador, los antivirus que comprueban la legitimidad de ficheros y enlaces por nosotros… Abrazamos con buen ánimo todo lo que sea tender a la mínima energía. Así, delegando la responsabilidad y las preocupaciones en herramientas diligentes, la buena seguridad se hace transparente y discreta para los usuarios. Pasa desapercibida aunque nos proteja de forma razonable. Reservamos energía y tiempo para las circunstancias excepcionales y lo cotidiano se automatiza. Pero, lamentablemente, no estamos ahí todavía. Creemos que sí, porque en otros ámbitos ajenos a la ciberseguridad la tecnología se ha invisibilizado, pero ni de lejos. Todavía debemos poner de nuestra parte, cada día, para mantenernos ciberseguros aun contando ya con excelentes herramientas “transparentes”. Hemos avanzado mucho, pero no tanto.
Se da además la circunstancia, por otro lado, de que la mala ciberseguridad es la que no vemos. Es la que creemos que nos está protegiendo, pero no porque sepamos que está ahí vigilando en la sombra, sino porque no sabemos ni lo que tenemos que proteger ni cómo. Es la ciberseguridad invisible y no porque sea transparente, sino porque realmente no existe. No se está aplicando y no sabemos ni a qué. Al final, “transparente” e “invisible” nos suenan parecido y no somos capaces de distinguir ni la buena ni la mala. Para colmo, aquella que vemos (esa ciberseguridad a base de protocolos y gestión compleja con muchos pasos que no entendemos) nos estorba en nuestro día a día. Con este panorama, no debe extrañarnos la desafección del usuario hacia la ciberseguridad y sus técnicas de protección.
Por si fuera poco, esta mala ciberseguridad que no vemos tiene la manía de manifestarse demasiado tarde porque la solemos ignorar. ¿Quién iba a pensar que aquello que siempre funciona, un día es atacado? ¿Cómo deducir que tenía que proteger un flanco que no sabía que existía? ¿Cómo saber si una solución está funcionando si nunca ha sufrido un ataque? En ciberseguridad, descuidar algún punto es condenarlo a convertirse en la siguiente víctima. No confundamos la mala ciberseguridad con “decidir no aplicar ciberseguridad”. Al menos eso asumiría una decisión de gestión de un riesgo. La mala ciberseguridad que no se ve, representa en realidad los “unknown unknowns”. Los aspectos que incluso no somos conscientes de que no sabemos. Y en ciberseguridad, son muchos.
Y así, entre lo que no vemos y lo que no se ve, lo transparente y lo que no queremos ver, es fácil confundirse. Ni todo es transparente ni solo debemos proteger lo que vemos. ¿Qué podemos hacer, entonces? Nos queda valorar y comprender aquella ciberseguridad que nos protege sin esfuerzo, por un lado. Con todo lo que nos ahorramos, vigilar la oculta o detectar la ignorada por el otro. Y eso, qué ironía, requiere mucho esfuerzo por nuestra parte. Ahí no va a llegar la propia tecnología por sí misma. Al menos por ahora.