¿Harto de cambiar contraseñas y de temer a los códigos QR? Los "desmontadores de mitos" de ciberseguridad exponen los consejos más inútiles
Nueva iniciativa explica por qué los consejos habituales no protegen y qué hacer en su lugar
La campaña para desacreditar los mitos populares sobre la seguridad digital está cobrando impulso, y sus promotores proponen centrarse en las amenazas reales en lugar de en mitos alarmistas. Un grupo de 86 responsables de seguridad y exempleados de CISA lanzó el proyecto Hacklore, destinado a cambiar la percepción sobre los riesgos cibernéticos y explicar qué prácticas realmente ayudan a reducir la probabilidad de intrusión.
La idea surgió del exasesor de CISA y exdirector de seguridad de la información de Yahoo, Bob Lord, quien atrajo a una amplia gama de profesionales del sector, incluyendo a la exresponsable de CISA Jen Easterly, al subjefe de seguridad de la información (CISO) de Microsoft Jeff Belnap, al ex CISO de Uber Joe Sullivan y a la responsable del desarrollo de seguridad de Chrome, Parisa Tabriz. Según Lord, el detonante fue otro ejemplo de recomendaciones desactualizadas que incluso colegas experimentados comparten con frecuencia. Señaló que, al acercarse grandes rebajas y periodos de viajes intensos, la cantidad de consejos dudosos suele aumentar, por lo que el lanzamiento del recurso se programó precisamente para ese momento.
Los participantes de Hacklore subrayan que muchas amenazas populares están sobredimensionadas. Así, las preocupaciones sobre redes Wi-Fi públicas, las prohibiciones de mantener el Bluetooth activado y la renuncia a escanear códigos QR recuerdan más al folclore que a los riesgos reales. En la lista de recomendaciones que proponen mandar al pasado también se incluyeron advertencias sobre «juice jacking», aunque no existen casos confirmados de infección a través de puertos USB públicos, y los consejos de cambiar las contraseñas con regularidad, que al final solo debilitan la seguridad y aumentan la probabilidad de su reutilización. Tampoco será útil eliminar las cookies, ya que eso no impide el rastreo ni fortalece la protección.
Los autores de la iniciativa proponen desplazar la atención hacia prácticas que realmente reducen la probabilidad de incidentes. Entre ellas, el uso obligatorio de variantes resistentes al phishing de autenticación multifactor, el abandono gradual de las contraseñas y la implementación de arquitecturas capaces de soportar errores humanos. Se destaca la importancia de canales claros y rápidos para notificar actividad sospechosa, y la respuesta a esos avisos debe ser inmediata. No se debe trasladar la responsabilidad por las consecuencias de un error al empleado: si una acción aislada provoca un daño grave, eso indica una debilidad del sistema que debe ser rediseñada.
También se presta atención a los desarrolladores de software, a quienes se les propone fortalecer el enfoque Seguridad desde el diseño. Los iniciadores de Hacklore instan a los fabricantes a publicar planes de transición hacia la creación de software más seguro, a garantizar el cifrado del tráfico con protocolos modernos, a desarrollar programas de recompensas por vulnerabilidades encontradas y a publicar puntualmente registros CVE completos y precisos.
En el comunicado final, el grupo señala que la difusión del «hacklore» causa más daño que beneficio, ya que distrae de las medidas que realmente reducen los riesgos. Según ellos, es importante centrarse en recomendaciones basadas en cómo ocurren las violaciones reales, y no en ideas aterradoras pero incorrectas sobre las amenazas cibernéticas.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!