«Las contraseñas son como la ropa interior: no dejes que nadie las vea, cámbialas a menudo y no las intercambies con extraños». La cita es de Chris Pirillo, fundador y CEO de la comunidad de blogs y forums LockerGnome, y hace referencia a algo que en teoría todos conocemos de sobra en la sociedad digital: las contraseñas son sagradas. Sin embargo, la realidad es bien distinta de como debería ser: muchas veces no se recuerdan, no se cambian periódicamente o su gestión es bastante deficitaria.
Y no es lo único mal que hacemos continuamente en una materia tan básica para la brecha digital como es la Ciberseguridad. La aseguradora Chubb en colaboración con la firma de investigación Dynata ha publicado en fechas recientes su tercer Informe Cibernético anual, elaborado el pasado mes de mayo a partir de los datos obtenidos en 1.223 encuestas en Estados Unidos, estratificadas por género, edad, región y status socioeconómico. Los resultados nos sitúan frente al espejo de algunas prácticas que deberían estar erradicadas pero que, por el motivo que sea, se mantienen.
Tanto usuarios como empresas
Y es algo llamativo porque según los datos, 8 de cada 10 encuestados están preocupados por una violación cibernética, pero apenas supera la mitad (41%) la cantidad de usuarios que utiliza algún software de seguridad. La cifra es incluso menor, un 31%, ante la pregunta concreta sobre los cambios de contraseñas efectuados con regularidad. Estos dos últimos datos, software y cambio de contraseñas, se mantienen planos año tras año, por lo que las campañas de sensibilización al respecto no parecen estar surtiendo demasiado efecto.
Del comportamiento del usuario medio hay que extraer las respuestas halladas para el caso de las empresas. Todo puede ser, cabe pensar, que en este segmento los deberes sí estén mejor hechos. Pero no: la capacitación de algún tipo para los empleados sigue estancada, con un tercio (33%) de respuestas afirmativas, casi la misma proporción que en los datos de 2018 (31%). Prácticamente la misma cantidad de empresas (32% en 2018 y 33% en 2019) mitigan de alguna forma el acceso a redes sociales, y una cifra ligeramente superior (38% y 40%) disponen de algún sistema de filtrado de contenido en línea. El riesgo no solo es por la escasez de estas cifras, sino por la falta de concienciación al respecto, ya que para la inmensa mayoría (75% en 2018, 70% en 2019), sus empresas tienen unas prácticas de ciberseguridad que califican nada menos que de «excelentes» o «buenas».
Otra significativa contradicción la encontramos en los datos médicos. A pesar de, como hemos visto, 8 de cada 10 encuestados tienen preocupación por la ciberseguridad en general, solo 1 de cada 4 (27%) consideran la violación de registros médicos sobre algo a lo que prestar atención. «Si las personas supieran que un historial médico comprometido a menudo proporciona suficiente información para robar por completo la identidad de uno, probablemente estarían más preocupados», afirma el informe de Chubb. Probablemente, este hallazgo esté reflejando una falta de información al respecto, sobre la naturaleza del fraude de identidad médica y el incremento de ataques de este tipo, que es nada menos que de un 1.800% desde el año 2009.
Los jóvenes y el éxito
Otra de las sorpresas que contiene este informe viene de la mano de la segmentación por edad. Aparentemente, millenials y nativos digitales deberían salir con matrícula de honor en esta encuesta, y sin embargo los datos dicen todo lo contrario cuando se trata de acciones básicas de ciberseguridad. Por ejemplo: la eliminación de correos electrónicos sospechosos. ¿Quiénes son los que con más asiduidad lo hacen? Derribando mitos: los mayores de 55 años, que en un 77% de los casos actúan así, frente al 55% de los que tienen entre 35 y 54 años, y el exiguo 36% de quienes tienen entre 18 y 34 años.
No obstante, ese dato se ha de poner en relación con el de la segmentación socioeconómica. Porque resulta llamativo que también los perfiles que podemos considerar «exitosos» por su status son los más «perezosos» a la hora de proceder con estas y otras prácticas. Así, solo 4 de cada 10 (43%) elimina estos e-mails sospechosos, 6 de cada 10 (59%) vigilan sus cuentas bancarias (78% en el total de la muestra), 5 de cada 10 toman precauciones con su identidad médica (76%), y 1 de cada 4 revisan sus operaciones de compra online (36%).
Estos perfiles, sin embargo, prestan más atención que la media al impacto reputacional de su actividad online o a la información sobre sus negocios y propiedades. De alguna forma, parece que los perfiles exitosos están más en sintonía con los millenials y los nativos digitales, que también cuidan el aspecto de su reputación. De hecho, una de los mayores preocupaciones de ese segmento premium está relacionada con la edad que proyectan respecto a la que tienen. Un «complejo de Peter Pan» que bien enlaza con las generaciones más jóvenes.
Nos gusta el riesgo
Lo cual nos lleva a otro de los puntos también relevante de este chequeo a la salud cibernética: las redes sociales. Son porcentajes pequeños los que consideran «muy seguras» a las principales plataformas, desde el 24% que lo afirma para Youtube hasta el 15% que lo sostiene en el caso de LinkedIn. Sin embargo, no parece haber conciencia al respecto sobre la información personal que se comparte: fotografías de mascotas (37%) o hijos (36%) están más o menos a la orden del día, en gran parte porque es lo que esperan consumir de los contenidos ajenos. Lo que más se disfruta es precisamente ver fotos de bebés (45%) y sobre viajes (43%) a pesar de estar especialmente contraindicado informar a los demás sobre los viajes de uno por los riesgos potenciales que conlleva.
Todas estas contradicciones entre las preocupaciones y las acciones reales respecto a la ciberseguridad conforman precisamente la mayor oportunidad para quien quiera y sepa sacar ventaja de ellas. Ya como ciudadanos, ya como empresas, nunca está de más tener presente la sentencia del responsable de ciberseguridad (CISO) de la empresa de servidores OVH, Stéphane Nappo: «Lleva 20 años construir una reputación, y apenas unos minutos de incidente cibernético para arruinarla».
Photo by Nahel Abdul Hadi on Unsplash