Todos los días vemos, leemos y escuchamos noticias sobre la gran cantidad de vulnerabilidades y amenazas a los sistemas informáticos que usamos, tanto en nuestro trabajo como a nivel personal. Botnets, rootkits, virus, ataques de día cero y un montón de cosas más amenazan nuestros servidores, computadoras personales, teléfonos inteligentes, tabletas y cualquier artefacto con chip (hasta los sistemas electrónicos de ese bonito BMW que muchos tienen en casa).

¿Por qué entonces seguimos tan confiados, incluso aquéllos que nos dedicamos a la seguridad informática? ¿Por qué no vemos incidentes de seguridad todo el día y todos los días? (El hecho de no detectarlos no significa que no existan.) Las respuestas a estas preguntas no son sencillas y sin duda son multifactoriales, pero en esta ocasión me concentraré en una faceta que me parece interesante porque habla mucho de la naturaleza de los humanos ante las amenazas: nuestro comportamiento es similar al de los ñus cuando atraviesan parte de África durante su migración.

Me explico: los ñus no son muy inteligentes y físicamente no se caracterizan por nada en particular; no poseen grandes o filosos cuernos, no son muy rápidos, etcétera. Entonces, ¿cuál es su estrategia de supervivencia ante los hambrientos leones en la sabana o los cocodrilos que esperan pacientemente para cazarlos cuando cruzan el río? Es simple, siendo muchos y protegiéndose al ser parte de un gran rebaño.

No es lo mismo ser un ñu solitario que trata de cruzar un río con cien cocodrilos hambrientos (seguramente terminaré siendo comido), que ser parte de un rebaño de cien mil individuos que cruzarán el río: la probabilidad de ser comido se reduce increíblemente y el «ñu Héctor» tiene una muy alta probabilidad de sobrevivir otro rato.

Creo que en el mundo de la seguridad informática vivimos, inconscientemente, un escenario semejante: somos tantos que la probabilidad de ser víctimas parece baja.

Pero, ¿realmente lo es? Creo que no. Lamentablemente nuestros cocodrilos son mucho más inteligentes, cada día son más y, lo que es peor, trabajan en equipos muy bien coordinados. Por ello también nosotros debemos ser más inteligentes y coordinados, lo cual inicia con un aumento del grado de conciencia de las amenazas y vulnerabilidades de nuestros sistemas.

¿Hay una solución mágica? No. Tanto en casa como en las empresas debemos tomar medidas tecnológicas y de otros tipos. Aunque mucho se ha hablado de la probable inutilidad de los programas de concienciación, yo soy de aquéllos que sostienen que sí son valiosos y necesarios, no obstante que muchos esfuerzos hayan resultado infructuosos (más por una mala implantación que por la inutilidad de estos programas).  Y apoyo mi información en el simple hecho de que el incremento del grado de conciencia de las vulnerabilidades y amenazas es la principal herramienta que hemos utilizado durante muchas generaciones para proteger a nuestros semejantes, en especial los menores.

En conclusión, implantemos programas de concienciación para dejar de comportarnos como un ñu; pero hagámoslo bien, asegurándonos de definir claramente los objetivos, asignando los recursos necesarios y haciendo al plan parte de un proceso continuo que incremente la seguridad de los sistemas, la información y las personas.

 [email protected]