Sobre phishing y otras ciberestafas (y 2)

En un post publicado hace unos cuantos días reflexionábamos acerca de ciertos peligros de la red. Comentábamos que es fácil encontrar en Internet multitud de opciones de ocio y entretenimiento y grandes ofertas de bienes y servicios, por desgracia no todas reales o seguras. Tenemos acceso a un mundo interminable de grandes ofertas y auténticas oportunidades a golpe de click, algunas tan increíbles que son capaces de “anestesiar” nuestros sistemas de alerta, haciéndonos elevar el umbral de riesgo que estamos dispuestos a asumir y convirtiéndonos, por tanto, en más vulnerables.

Al mismo tiempo, comentábamos que el gran público no entiende, en general, de cuestiones de seguridad e inseguridad ligada a las nuevas tecnologías. Sin duda todos sabemos mucho más acerca de las posibilidades que nos brindan las nuevas tecnologías que de los peligros a los que nos exponemos en su utilización cotidiana. El conocimiento sobre los peligros y amenazas asociados a las nuevas tecnologías siempre irá a por detrás del conocimiento y utilización de las mismas, y no precisamente a rebufo.

Los usuarios somos conscientes de que a la otra parte del teclado y la pantalla existen ciertos “peligros” pero la mayoría no sabemos muy bien en qué consisten. Por otro lado tendemos a pensar que “algo” o “alguien”, sin saber muy bien qué o quién (seguramente algún tipo de administración o algún organismo más o menos oficial) debe ocuparse y preocuparse de protegernos y asistirnos en caso de problemas. Pero la realidad es que no sabemos mucho más.

Si partimos del famoso tópico de que nada ni nadie puede garantizar la seguridad al 100% yo diría que en este tema estamos lejos de ese 100%. Seguramente demasiado lejos.

¿Cómo reducir esa distancia? ¿Cómo proporcionar a la comunidad de usuarios un nivel razonable de protección? Y, lo que es más difícil, ¿cómo mantenerlo en el tiempo?

Aquí van un par de ideas que entiendo que ayudarían y que espero que susciten otras cuantas entre nuestros lectores.

En primer lugar y al igual que se viene haciendo con otros temas relacionados con seguridad y salud (seguridad viaria, consumo de drogas, prevención de ciertas enfermedades, higiene alimentaria…) parece adecuado empezar con una labor divulgativa que no tendrá fin y que tiene que ver con campañas y programas de concienciación y educación adaptados a los diferentes tipos de usuarios, empezando por los más vulnerables, como son los niños, quienes utilizando las nuevas tecnologías son capaces de hacer muchas cosas con muy poquitos años (con frecuencia muchas más que sus padres).
Primero habría que captar la atención hacia estos temas para luego mantenerla por medio de campañas, charlas, seminarios, vídeos, formación, tutoriales, etc.

Cualquier profesional de la seguridad dedica buena parte de su tiempo regularmente a mantener sus conocimientos actualizados por lo que sería absurdo pretender que los usuarios de a pie estén a la última en temas de seguridad y protección frente a amenazas cibernéticas. No obstante, de igual manera que aprendemos a conducir sin que sea necesario saber de mecánica, cualquier usuario debería tener un conocimiento básico, una culturilla general sobre seguridad, y debería ser capaz de “conducirse” de manera segura por esos mundos de Internet y de entender las señales con las que se va encontrando en su recorrido.

Cualquier usuario de Internet debería tener nociones acerca de lo que pasa o de lo que podría pasar cada vez que introduce una contraseña o un número de tarjeta de crédito en su PC, cuando pone en marcha la webcam, cuando hace una compra por Internet, cuando abre un archivo de esos tan graciosos que llegan por e-mail, cuando abre un correo de un remitente al que no conocen, cuando hace click sobre un enlace Web que viaja en el cuerpo de un correo electrónico, cuando se descarga un juego o un vídeo de Internet, cuando saca una foto con metadatos con un smartphone y cuando la sube a Facebook o a Tuenti, etcétera.

No son tareas fáciles ni ágiles las relacionadas con cambios culturales.

En segundo lugar, asumiendo cubierta la parte más humana del asunto y suponiendo que los usuarios están razonablemente motivados, concienciados y formados y que disponemos de un nivel general de culturilla sobre seguridad aceptable cabría plantearse: ¿cómo ayudar al usuario a identificar peligros reales y a distinguir el bien del mal en su relación con las nuevas tecnologías? Tenía razón el Profesor Romero cuando decía que a menudo tendemos a “resolver correctamente el problema equivocado”.

Efectivamente. De poco sirven las ventanas emergentes con mensajes ininteligibles para un usuario y que le obligan a elegir entre dos o tres opciones que no entiende, tal como comentábamos en el anterior post.

Como complemento a los programas de divulgación, concienciación y educación antes indicados deberíamos pues ser capaces de proporcionar herramientas de seguridad a la comunidad de usuarios. Pero herramientas realmente eficaces, soluciones tipo poka-yoke, que protejan de verdad a los usuarios además de que, consecuentemente, puedan proporcionarles sensación de seguridad y tranquilidad en su navegación y operación por la red.

Habría pues que ponerse en la piel del niño que chatea o que navega sin objetivo ni rumbo fijo por Internet. En la piel del padre o de la madre que realizan la compra online. En la piel del usuario que busca una gran oferta de un viaje, de un artículo de marca o de lo penúltimo en tecnología. Etc. Gran reto.

Las herramientas de seguridad deberían de ser capaces de protegerlos a todos. Tendrían que ser capaces de hacer comprobaciones ulteriores eficaces sobre los sitios visitados y ofrecer al usuario ventanas útiles con información útil y elecciones entendibles. Herramientas que de alguna manera comprueben la veracidad de las direcciones, de las informaciones, de los nombres, de los logotipos, etc. con que nos vamos encontrando en nuestra navegación por la red. Luego ya cada cual que decida y asuma los riesgos a los que elige exponerse en este cibermundo, al igual que hace en el mundo real.

En otra entrada les hablaremos de iniciativas de divulgación, concienciación y educación en materia de seguridad tales como el programa americano NICE (National Initiative for Cybersecurity Education), uno de cuyos objetivos es el promover una toma de conciencia a nivel nacional (además de incluir otros aspectos más profesionales, relacionados con la ciberseguridad de los EE.UU), así como de la iniciativa Protect IT o el blog Hijos Digitales que con un objetivo más modesto pero con intenciones y objetivos similares hemos creado desde S2 Grupo.