A pesar de los avances significativos en ciberseguridad, un problema sigue dominando sobre los demás: el error humano. Las investigaciones muestran de forma consistente que la mayoría de los ciberataques exitosos se deben al factor humano. Según un informe reciente, el 68% de esos ataques se deben precisamente a errores de los usuarios. Y aunque las tecnologías de protección continúan evolucionando, el elemento humano sigue siendo la parte más vulnerable del sistema de seguridad.
El factor humano es una parte inseparable de la vida digital cotidiana, y es imposible eliminar completamente su influencia. Sin embargo, los programas tradicionales de formación en ciberseguridad e incluso las nuevas leyes a menudo no logran corregir esta debilidad. ¿Qué hacer, entonces, para reducir el riesgo asociado a los errores humanos?
Comprender los errores humanos
En el contexto de la ciberseguridad existen dos tipos principales de errores humanos:
1. Errores basados en habilidades. Estos errores ocurren cuando una persona realiza tareas rutinarias y su atención se dispersa. Por ejemplo, puede olvidar crear una copia de seguridad de los datos en su computadora, aunque sepa que es importante y cómo hacerlo. Sin embargo, por prisas o por tener muchas otras ocupaciones, esto puede pasar desapercibido. Como resultado, en caso de un ciberataque sus datos pueden perderse sin posibilidad de recuperación.
2. Errores por falta de conocimiento. Este tipo de errores surge cuando una persona con poca experiencia comete fallos críticos en materia de ciberseguridad, al no seguir las normas o no poseer los conocimientos necesarios. Un ejemplo es pulsar accidentalmente un enlace en un correo electrónico de un remitente desconocido, lo que puede provocar la instalación de malware o la pérdida de datos personales.
Por qué los enfoques tradicionales no funcionan
Durante años, organizaciones y gobiernos han invertido recursos considerables en programas de formación en ciberseguridad, pero los resultados de esos esfuerzos dejan que desear. El problema principal es que muchos de estos programas se centran en aspectos técnicos, como mejorar la gestión de contraseñas o implantar la autenticación multifactor. Rara vez abordan los aspectos psicológicos y conductuales profundos que influyen en las acciones de las personas.
Cambiar el comportamiento humano es mucho más complejo que simplemente transmitir información o establecer normas. Las personas pueden estar al tanto de las mejores prácticas, pero eso no garantiza que las apliquen de forma constante, especialmente cuando surgen situaciones de estrés o limitaciones de tiempo.
El ejemplo de la iniciativa australiana y de Nueva Zelanda «Slip, Slop, Slap» ilustra la importancia de la educación continua y del cambio de conducta para lograr resultados a largo plazo. La campaña «Slip, Slop, Slap» estaba dirigida a reducir los casos de cáncer de piel (melanoma) mediante el aumento de la concienciación sobre los riesgos de la exposición al sol. Llamaba a las personas a proteger la piel aplicando protector solar, usando sombreros y cubriéndose con ropa. Tras décadas de trabajo se redujo significativamente la incidencia de melanoma, lo que demuestra cómo los esfuerzos continuos de información y cambio de conducta pueden dar resultado.
Las nuevas leyes tampoco resuelven el problema
Algunos países, como Australia, están introduciendo nuevas leyes en materia de ciberseguridad, incluyendo medidas contra los ataques de tipo ransomware, el refuerzo de la protección de los sectores críticos y la implementación de estándares mínimos de seguridad para los dispositivos inteligentes. Sin embargo, al igual que los programas de formación, las leyes se centran principalmente en aspectos técnicos de la seguridad, ignorando el factor humano.
Estados Unidos avanza en otra dirección, prestando especial atención a los enfoques «centrados en la persona» en su estrategia federal de ciberseguridad. Un elemento importante de esta estrategia es el reconocimiento de que los sistemas de ciberseguridad deben diseñarse en función de las necesidades, motivaciones y capacidades de las personas, y no solo en base a la tecnología.
Tres formas de corregir el factor humano
Según investigaciones recientes, se pueden destacar tres estrategias principales para combatir los errores humanos en ciberseguridad:
1. Minimizar la carga cognitiva. Los procesos de ciberseguridad deben ser lo más simples e intuitivos posible. Los programas de formación deben adaptarse al flujo real de trabajo, de modo que los conceptos complejos de seguridad se integren en las tareas cotidianas sin añadir carga innecesaria al usuario.
2. Fomentar una actitud positiva hacia la ciberseguridad. En lugar de confiar en el miedo y la intimidación frente a las amenazas, la formación debe centrarse en resultados positivos. Hay que motivar a las personas mostrando los beneficios de cumplir las normas de seguridad, en lugar de concentrarse exclusivamente en las consecuencias negativas de las violaciones.
3. Enfoque a largo plazo. Cambiar el comportamiento y la actitud hacia la ciberseguridad no es un acontecimiento puntual, sino un proceso continuo. Es necesario actualizar regularmente los programas de formación para que reflejen las nuevas amenazas y ayuden a las personas a adaptarse a condiciones cambiantes.
Conclusión
Para crear un entorno digital verdaderamente seguro se necesita un enfoque integral que incluya tanto tecnologías avanzadas como políticas fiables. Pero lo más importante es concienciar y preparar a las personas frente a las ciberamenazas. Comprender lo que hay detrás de los errores humanos ayudará a diseñar programas de formación y métodos de protección más eficaces, que funcionen en armonía con la naturaleza humana y no en contra de ella.
