Ciberseguridad entendible, … ¿para qué?

“El 44% de los directivos españoles no prioriza la ciberseguridad porque el lenguaje empleado en este sector es confuso”. Este fue el titular de una noticia que Europa Press publicó el pasado 30 de mayo, basada en el estudio “Separados por el mismo lenguaje”, realizado por la empresa de ciberseguridad Kaspersky.  

Se podría considerar como el enésimo estudio de este tipo, aunque a mí me llamó la atención porque resalta un asunto que está en lo más profundo de la tecnología altamente compleja como es la ciberseguridad. ¿Hay voluntad de democratizar este conocimiento? ¿Hay interés de recibir este conocimiento y asimilarlo? No conozco respuesta de amplio consenso para ninguna de las dos preguntas.

Democratizar el conocimiento en ciberseguridad implica un doble esfuerzo. El primero, tiene que ver con la autoprotección del colectivo, la defensa de lo propio, la consolidación de lo exclusivo. En un proceso de apertura se podría perder la especialización reservada a unos pocos. Todavía queda mucha retranca del “antiguo” paradigma de seguridad por oscuridad, basado en limitar al máximo la información y que actualmente se muestra en forma de inundar el discurso de tecnicismos o rellenar huecos con frases del estilo “la ciberseguridad es una inversión y no un gasto” y otras muchas, absolutamente desgastadas a estas alturas. El segundo de esos esfuerzos se centra en aterrizar los mensajes ciber, muchos de ellos de alta intensidad técnica, a la audiencia más profana. En este caso el perfil de la audiencia es de vital importancia. Si este perfil no se sincroniza con el nivel técnico del mensaje, se consideraría una pérdida de tiempo por aquel que intenta transmitir el conocimiento y, al otro lado, se produciría una pérdida de interés por parte de la audiencia o, incluso, podría insultar a la inteligencia de algunos de ellos.

Sobre el interés de entender sobre ciberseguridad, va por barrios y por momentos. A veces estoy seguro de que sí que existe y otras pienso que no. En un lado de la balanza tenemos la necesidad de conocer por qué la cibercriminalidad nos afecta a todos, y mucho, además en aspectos que nos duelen (dinero, reputación, orgullo…); en el otro lado, tenemos el miedo y la apatía que provoca el tema. Tampoco estoy seguro de que se pudiera equilibrar el hipotético peso de ambos lados.

Para mí, entender de ciberseguridad resulta útil y práctico. En mi caso primero me llamó la atención (el mundo de los espías, el reto de descifrar…) y eso me motivó a aprender. La situación más habitual es bien distinta: primero sufres un ciberincidente y eso te “motiva” a capacitarte mínimamente para que no te vuelva a pasar (aprender a golpes). Pero si nos fijamos un poco, nos daremos cuenta de que todos ya sabemos mucho de seguridad, en la vida no digital. En general tenemos interiorizadas la actitud de prevención, de desconfianza sobre lo “demasiado bonito para ser cierto”, de estar en guardia ante determinadas amenazas de otros… y es sencillo trasladar esos aprendizajes al ámbito digital.

No nos dejemos asustar con tanto tecnicismo y acrónimo. Por ejemplo, la práctica totalidad de los ataques ransomware que han tenido éxito (por ejemplo, el ransomware Ryuk que tanto daño hizo al SEPE en el 2021) es por qué alguien recibe un correo electrónico malicioso y cae en la trampa digital de pinchar en un enlace que ese correo contiene o abre un supuesto documento adjunto con la sorpresa dentro, que, una vez liberada, se extiende con extrema facilidad. Ese “alguien” es como tú y como yo, como tu jefe y como mi cuñado, como Elon Musk o como Cristiano Ronaldo. En definitiva, un ser humano con sus fortalezas y debilidades al que le pueden pillar de la manera más tonta y en el peor de sus momentos, así que no te castigues si un día te pasa y procura entender el ciber contexto que te rodea.

Autor: Javier Zubieta