De “Enemigos” a Aliados: Un Nuevo Enfoque en la Ciberseguridad Centrada en las Personas

Recientemente he leído el artículo publicado en Communications of the ACM, titulado : «Human-
Centered Cybersecurity Revisited: From Enemies to Partners»

Y os digo que me ha impactado. Es interesante porque estoy dirigiendo un TFM (Trabajo Fin de Master) junto con una persona de la politihogskolen (politihogskolen.no) donde analizamos el impacto del usuario dentro de la organización. Es cierto que la ciberseguridad ha evolucionado como una disciplina fundamental para proteger nuestra información y privacidad en un mundo cada vez más digitalizado. Sin embargo, una idea que aún prevalece (y que motiva el TFM) es que el «eslabón débil» en la seguridad son los propios usuarios. Los sistemas suelen diseñarse con el propósito de limitar los errores humanos, implementando políticas restrictivas o mecanismos de automatización, y asignando a los usuarios un rol pasivo o de “cumplimiento forzado”. ¿Es esta la mejor manera de abordar la ciberseguridad? Por lo menos es la que conocemos hasta la fecha.

Pero el artículo de Communications of the ACM cuestiona este enfoque. En él, los autores argumentan que en lugar de ver a los humanos como “enemigos” o posibles fuentes de error, tendríamos que considerar un nuevo paradigma: los usuarios como socios activos en la seguridad. ¿Queeeeé?

Esta perspectiva plantea que, si bien los errores humanos son una realidad, también lo son las capacidades únicas que los usuarios pueden aportar: creatividad, adaptabilidad y motivación intrínseca. Estos atributos pueden hacer que los usuarios sean agentes muy poderosos en la detección y mitigación de amenazas.

¿Por qué los enfoques tradicionales fallan?

El enfoque restrictivo de la ciberseguridad ha intentado limitar el papel de los usuarios. Las medidas como las políticas estrictas de contraseñas y la prohibición de uso de dispositivos externos son comunes, pero con frecuencia generan frustración. Los usuarios buscan atajos para lidiar con estas restricciones, como el uso de contraseñas simples o el almacenamiento de información de forma no segura. A pesar de las buenas intenciones, estos enfoques pueden ser contraproducentes. De hecho suelen ser vectores de ataque muy comunes.

Algunos han propuesto enfoques «considerativos» que intentan hacer las tecnologías de seguridad más «usables» y accesibles, comprendiendo mejor las limitaciones humanas. Sin embargo, la mayoría de estos métodos todavía mantienen a los usuarios como una fuente potencial de error, ignorando la posibilidad de que contribuyan activamente a la seguridad.

El enfoque habilitador: Convertir a los usuarios en aliados

En el artículo se sugiere un enfoque adicional: el habilitador. Inspirado en las ciencias del comportamiento, este modelo no solo reconoce las limitaciones humanas, sino también sus fortalezas. Un enfoque habilitador implica diseñar sistemas de seguridad que motiven y capaciten a los usuarios para tomar decisiones seguras por iniciativa propia, convirtiéndose en socios y no solo en piezas de un sistema rígido. No se pero yo no termino de ver eso de involucrar a un usuario en las políticas de seguridad.

Este cambio de paradigma implica capacitar a los usuarios para que respondan a amenazas emergentes, como ataques de phishing cada vez más sofisticados, es decir, fortalecer la resiliencia. Pero ¿cómo? Ademas, implica estudiar no solo los errores, sino también los éxitos y comportamientos positivos en seguridad para replicarlos y entender qué motiva a los usuarios a actuar de forma segura. Y en lugar de esperar que los usuarios sigan reglas impuestas, fomentar una cultura de seguridad donde los individuos se sientan responsables y comprometidos con la seguridad colectiva.

A ver cómo le explicas esto a un CISO.

Según el artículo, este nuevo enfoque ofrece una visión de la ciberseguridad que va más allá del control y la desconfianza. Considerar a los usuarios como socios en lugar de “enemigos” abre la puerta a una ciberseguridad más humana, eficiente y resiliente, preparada para afrontar los desafíos de un mundo digital en constante cambio.

Y esto, lectores, es para mí la pérdida completa de control sobre un sistema.