Editor Top
Crédito: Pixabay/CC0 Dominio público
Cuando se trata de ciberseguridad, muchas personas piensan inicialmente en tecnologías sofisticadas, como programas de cifrado, filtros de correo electrónico o software antivirus. Sin embargo, incluso el mejor programa de cifrado resulta de poco beneficio si no se utiliza. Las contraseñas débiles son definitivamente un factor de riesgo.
Pero la razón de esto no es necesariamente la pereza o la ignorancia. El cerebro humano simplemente no está diseñado para recordar 50 o más contraseñas aleatorias diferentes. Sin embargo, cuando se trata de seguridad cibernética, a menudo se hace referencia a las personas como el «eslabón más débil», un «riesgo» o un «problema». Si bien tanto las personas como la tecnología son relevantes, la interacción entre las personas y la tecnología es crucial para el éxito de la ciberseguridad.
Estos hallazgos son publicado en Comunicaciones de la ACM.
¿Minimizar el factor humano?
En el pasado se intentó frecuentemente eliminar en gran medida el «factor humano» evitando, restringiendo severamente o regulando la interacción del usuario. Ejemplos de ello son directrices estrictas, como el cambio mensual de contraseña, la prohibición de memorias USB o la automatización de procesos.
Las pautas de seguridad pueden resultar útiles. Sin embargo, si las directrices entran en conflicto con los flujos de trabajo diarios o no son fáciles de aplicar, los usuarios suelen desarrollar estrategias inseguras para eludirlas. Por ejemplo, pueden guardar su contraseña en un lugar abierto porque es difícil de recordar, o pueden simplemente agregar un número al final de su contraseña si es necesario cambiarla con frecuencia.
Desafortunadamente, este comportamiento a menudo hace que un ataque sea mucho más fácil. Por lo tanto, la estrategia de pedir a las personas que se adapten simplemente a las especificaciones técnicas sólo tiene un éxito moderado.
Los ataques dirigidos son cada vez más comunes
También es preocupante el aumento del número y la calidad de los ciberataques dirigidos al «factor humano». Los ataques de phishing, por ejemplo, utilizan la ingeniería social en un intento de engañar a las personas para que descarguen archivos adjuntos maliciosos o introduzcan sus datos de inicio de sesión secretos en sitios web falsos.
Por lo tanto, la investigación sobre ciberseguridad debe comenzar a abrir nuevos caminos. Entre otros enfoques, investigaciones recientes apuntan a mejorar la conexión entre las personas y las soluciones de seguridad. Las alternativas de contraseña generadas a partir de imágenes o formación gamificada, por ejemplo, pueden ayudar a que los usuarios sean más conscientes de las amenazas cibernéticas. Esto debería ayudar a cerrar mejor la brecha entre los requisitos técnicos y las capacidades humanas.
Sin embargo, en mi opinión, tendría aún más sentido comprender y aprovechar el potencial no aprovechado de las personas y sus capacidades.
Aprovechar mejor el potencial humano
De hecho, este potencial es bien conocido por la psicología y las investigaciones relacionadas con la seguridad: las personas son muy creativas, adaptables a nuevas situaciones y capaces de tomar buenas decisiones incluso cuando se enfrentan a la incertidumbre. Hasta ahora, nos hemos centrado principalmente en lo que la gente hace mal y hemos tratado de prevenirlo. Sin embargo, si también analizamos qué hace bien la gente y por qué, podemos desarrollar nuevos enfoques para la ciberseguridad.
El phishing es un buen ejemplo de esto: los investigadores han descubierto que la intuición humana y el reconocimiento de patrones, perfeccionados por años de experiencia, suelen ser superiores a la hora de detectar intentos sutiles de phishing en comparación con algoritmos complejos. Por lo tanto, si entendemos por qué algunas personas no sólo reconocen los correos electrónicos de phishing sino que también los denuncian y advierten a otros de forma proactiva, podemos investigar cómo podemos ayudar mejor a otros en esta tarea.
En el entorno dinámico de amenazas actual, el alto grado de flexibilidad y adaptabilidad de las personas podría ser clave. Si logramos establecer una cultura en la que todos y cada uno de los individuos sientan una responsabilidad (y también estén motivados y empoderados para actuar en consecuencia), podríamos hacer una contribución decisiva a la ciberseguridad. Es hora de dejar de ver a las personas como el eslabón más débil y empezar a verlas como un valioso factor de seguridad.
Más información:
Verena Zimmermann et al, Ciberseguridad centrada en el ser humano revisada: de enemigos a socios, Comunicaciones de la ACM (2024). DOI: 10.1145/3665665
Citación: Las habilidades especiales de los usuarios deben emplearse de manera específica para aumentar la seguridad cibernética, dice el experto (2024, 2 de diciembre) recuperado el 2 de diciembre de 2024 de https://techxplore.com/news/2024-12-special-abilities- usuarios-empleados-cibernéticos.html
Este documento está sujeto a derechos de autor. Aparte de cualquier trato justo con fines de estudio o investigación privados, ninguna parte puede reproducirse sin el permiso por escrito. El contenido se proporciona únicamente con fines informativos.
GIPHY App Key not set. Please check settings