fbpx
Estrategias para consolidar una cultura de ciberseguridad
Estrategias para consolidar una cultura de ciberseguridad

Estrategias para consolidar una cultura de ciberseguridad

Un día, de camino a casa, recibí una llamada de mi vecina –una millennial con estudios de licenciatura y habilidades digitales avanzadas– pidiendo ayuda para arreglar su correo electrónico que, según sus propias palabras, había sido atacado por un “virus cibernético.” Si bien esto no era técnicamente posible, debido a que un virus requiere un dispositivo en el cual alojarse, corrí en su ayuda decidido a encontrar una solución a su problema. El incidente consistió en que, sin aviso alguno, ella comenzó a recibir cientos de notificaciones indicando que los correos electrónicos de sus contactos estaban rechazando mensajes maliciosos, supuestamente enviados por su propia cuenta.

Luego de consultar en el buscador, fue fácil corroborar que su correo electrónico había sido víctima de algo conocido como spoofing, es decir, que había sido robado, redireccionado y programado para enviar repetitivamente mensajes no deseados a sus contactos. Lo único que podía hacer por el momento era cambiar contraseñas, filtrar notificaciones, analizar si había información personal valiosa que pudiera haber sido robada y monitorear la actividad hasta que cesara, o abrir un nuevo correo.

Debido a la creciente dependencia que experimentamos respecto a los dispositivos digitales, este tipo de escenarios son cada vez más comunes. Actualmente existen 65.5 millones de mexicanos conectados a internet y múltiples programas gubernamentales han centrado su atención en proveer a más ciudadanos de acceso a herramientas y habilidades digitales. Sin embargo, todavía hay un importante vacío en relación al uso seguro de la tecnología.

Prácticas de ciberseguridad tan básicas como no acceder a servicios bancarios en línea por medio de redes públicas, actualizar las aplicaciones en dispositivos personales, establecer contraseñas adecuadas, evitar acceder a páginas web no seguras o responder ante incidentes cibernéticos sencillos aún son un misterio para gran parte de la población. 

Si bien promover la inclusión digital representa una prioridad para el país, ya que se trata de una condición necesaria para dotar a todos con igualdad de oportunidades en la era de la información, el uso de herramientas tecnológicas puede convertirse en un problema si no es acompañado con hábitos de uso seguro. Un dispositivo digital puede empoderar a una persona, pero también la vuelve vulnerable a nuevos riesgos, como el robo de identidad, la disrupción de procesos de trabajo, el robo de recursos financieros o la extorsión por medio del robo de datos, entre otras cosas. 

Conciencia de ciberseguridad en México

En 2017 se publicó la Estrategia Nacional de Ciberseguridad con el propósito de “identificar y establecer las acciones en materia de ciberseguridad aplicables a los ámbitos social, económico y político, que permitan a la población y a las organizaciones públicas y privadas el uso y aprovechamiento de las TIC de manera responsable”. 

En cuanto a la concientización, destaca uno de los ejes transversales planteados, en el cual se estipula la necesidad de promover la conformación de una cultura de ciberseguridad en distintos ámbitos, mediante el desarrollo de diversas políticas públicas, estrategias, programas, ​proyectos ​e ​iniciativas.

A pesar de que la publicación de este documento indica un avance en la materia, como puede apreciarse en el párrafo anterior, no contamos aún con información concreta sobre cómo se lograrán los objetivos de la estrategia. Mientras que en países como Estados Unidos, Canadá o España existen, desde hace varios años, diversos programas y estrategias para preparar a la población ante riesgos cibernéticos, en México apenas estamos dando los primeros pasos. Más aún, esto se refleja en la falta de una discusión activa sobre los retos que enfrentamos y la ausencia de regulación para tratar con efectos de crímenes cibernéticos en distintas áreas como, por ejemplo, el sector salud, educativo, financiero y hasta de infraestructura crítica. 

¿Cómo aumentar esta conciencia?

Generar una cultura de ciberseguridad requiere soluciones integrales que se adapten a los usuarios y sus necesidades, de modo que no sólo brinden información, sino que también generen hábitos en la población. Para ello, debe considerarse que los usuarios cuentan con distintos niveles de conocimiento técnico, por lo cual los programas deberán dividirse en cuatro grupos: 

1. Acceso e inclusión digital

2. Formación de hábitos seguros en línea

3. Capacitación sobre ciberseguridad

4. Promoción de habilidades avanzadas de ciberseguridad

El primer grupo está compuesto por usuarios que son nuevos en el uso de las tecnologías digitales y van en proceso de aprender cómo utilizarlas. El segundo es aquel que ya utiliza la tecnología de modo cotidiano, pero aprende cómo debe actuar para desarrollar sus actividades sin poner en riesgo su privacidad o sus datos en línea. El tercero corresponde a usuarios familiarizados con la tecnología, quienes pueden comenzar a realizar acciones más avanzadas de ciberseguridad como encriptar su información, implementar doble autenticación en sus cuentas, reconocer correos maliciosos y responder ante pequeños incidentes. Finalmente, el cuarto grupo es aquel conformado por usuarios especializados en campos tecnológicos que deben tener acceso a recursos para aumentar su conocimiento, de modo que sean competitivos e innovadores en la industria.

Sin embargo, existen varias barreras que dificultan esta labor. Por un lado, los tres primeros grupos suelen tener una percepción general de la ciberseguridad como una disciplina compleja y tediosa, por lo cual cuentan con pocos incentivos para aprenderlo. Por otro lado, el tercer grupo requiere una inversión económica que les permita aumentar su nivel de estudios y compartir información con otros mercados más avanzados en la materia.

8 recomendaciones que han funcionado

En este contexto, resulta relevante aprender de la experiencia de otros países que han recurrido a diversos recursos para resolver estas limitantes:

Recomendación

Ejemplos

1

Adecuarse a las necesidades de los distintos grupos de población y ofrecer incentivos para cada uno de ellos.

En TIC Confío de Colombia (2013) se especializaba en niños y estudiantes, pero también brindaba recursos para padres y profesores con la finalidad de otorgar una aproximación integral.

2

Relacionar los contenidos con la vida diaria de los usuarios para generar hábitos que les faciliten cumplir con sus metas y propósitos. 

Parents Corner en Sudáfrica (2011) era un portal que resolvía las dudas de los padres que querían mantener a sus hijos seguros en línea.

3

Implementar acciones que apoyen a los usuarios ubicados en los cuatro niveles de concientización sobre ciberseguridad.

INCIBE en España ha realizado una serie de programas y recursos innovadores, brindando recursos para usuarios con distintos niveles de conocimiento.

4

Generar acuerdos entre instituciones públicas, privadas, civiles y académicas para incrementar el impacto de los programas. 

Get Safe Online por Reino Unido (2008) promovía la colaboración entre distintas organizaciones, a fin de capacitar a los ciudadanos de pequeñas y medianas empresas en la adopción de prácticas de ciberseguridad.  

5

Establecer métricas para evaluar el impacto de cada programa con base en las fortalezas y debilidades de los usuarios.

STOP.THINK.CONNECT, programa estadounidense (2010) que provee una serie de métricas en su guía para el diseño de programas de concientización. 

6

Distribuir el mensaje por medio de mecanismos creativos, interactivos y comprensibles que motiven a los usuarios a modificar sus hábitos.

Go Safe Online – Live Savvy with Cybersecurity de Singapur cuenta con varios recursos como videos creativos, un libro de actividades para niños, casos de cibercrímenes, guías para el manejo de datos, un cuestionario para evaluar conocimientos básicos e incluso algunas herramientas para empresas. 

7

Adaptar el programa para aprovechar recursos de iniciativas internacionales. 

Safer Internet Day (2004) es implementado por instituciones en más de 130 países, aunque está basado en una campaña generada en Europa.

8

Brindar mecanismos para que los ciudadanos reporten incidentes y dialoguen con autoridades a través de plataformas de capacitación en ciberseguridad.

Go Safe Online – Live Savvy de Singapur también cuenta con un mecanismo que permite reportar incidentes y recibir asistencia legal, apoyando a las compañías para que aprendan cómo actuar ante cibercrímenes. 

El camino hacia adelante

A pesar de que México se encuentra retrasado en esta materia, la publicación de la Estrategia Digital Nacional de Ciberseguridad representa un avance de importancia. Sin embargo, ahora habrá que poner atención en qué acciones concretas se llevan a cabo para coordinar a distintas organizaciones, de tal manera que, efectivamente, se brinde capacitación para que la población mexicana utilice la tecnología de modo seguro. 

Crear una cultura de seguridad en el país nos protegería, sin duda, de muchos problemas en el presente y el futuro próximo, a fin de que aquellos que hoy incluimos en la sociedad de la información no se conviertan mañana en víctimas de actores maliciosos. No hay que olvidar que la ciberseguridad no es una materia únicamente técnica, sino que al final siempre depende en cierto grado del usuario y, comúnmente, el eslabón más débil es el ser humano. 

Regresando a la historia inicial, explicarle a mi vecina lo que significa el spoofing y apoyarla para encontrar una solución a su problema hizo que repitiera el concepto al menos diez veces durante las próximas conversaciones que sostuvimos. Me dio gusto notar que, finalmente, ella sólo necesitaba un poco de información y sabrá cómo actuar la próxima vez que suceda algo semejante.

Este artículo refleja únicamente las opiniones del autor y es ajeno a la postura de cualquier organización a la que pertenezca.
Comentarios de Facebook