Llevamos años hablando de ciberseguridad como si fuera una mezcla entre Matrix y Misión Imposible. Algo ajeno, fantástico y, sobre todo, lejano. Las empresas, gobiernos, medios y ciudadanos han incorporado palabras como “ciberamenazas avanzadas”, “ransomware”, “ciberdefensa” o “ciberataque”.
Supone un avance, pero también un discurso en ocasiones vacío que usa solo “palabras” mientras que un mensaje certero es capaz de comunicar y contar. Y creo que nuestra forma de explicar la ciberseguridad se ha extraviado en algún punto.
Sospecho que la narrativa que construimos alrededor de la ciberseguridad sigue siendo torpe, tecnócrata, incompleta e incluso, a veces, poco honesta. ¿Está la narrativa actual en ciberseguridad desenfocada, inflada y desconectada de una parte de la realidad?
¿Acaso hemos abrazado una retórica inexacta o grandilocuente que, en vez de informar o concienciar, a veces desinforma, asusta o, peor, aburre? Si asusta, paraliza. Y si aburre, lo fácil es acudir a la inmediatez y al espectáculo.
Muchos divulgadores, aficionados o influencers han sabido adaptarse bien a este antídoto contra el aburrimiento. Aunque el precio puede ser asistir a vídeos que prometen convertir a cualquiera en experto en 15 segundos.
Por otra parte, en la industria, se presentan soluciones que, a veces, están disfrazadas de disrupción. En una escalada para llamar la atención sobre el negocio, el gremio se ha regodeado en términos importados y una parafernalia técnica que esquiva al ciudadano medio.
El público da la sensación de estar atrapado siempre en un teatro del miedo, en el que los protagonistas son siempre los mismos: el hacker con capucha, la empresa víctima, la compañía o gurú con la solución perfecta y el experto que repite que la concienciación es clave. Una obra donde el usuario solo está invitado como víctima y culpable. El rechazo de la inmensa mayoría de la población está garantizado.
Sobreactuar o gritar más alto tampoco ayuda. Convertir la ciberseguridad en un “fin del mundo” permanente, donde cada nueva vulnerabilidad, malware o filtración se describe como un apocalipsis inminente es un sensacionalismo que no solo anestesia a los destinatarios del mensaje, sino que también fomenta la parálisis: si todo es tan inabarcable, ¿para qué intentarlo siquiera?
Este abuso oculta los avances reales, que son muchos, y dificulta la consolidación de soluciones útiles. El miedo constante conduce a la desafección, no a la acción razonada. Perpetuamos el concepto de que la ciberseguridad es asunto exclusivo de departamentos técnicos que saben mucho, no de usuarios. Esta visión no solo margina a la mayoría de los usuarios, sino que también impide que la dimensión humana del riesgo se aborde con rigor.
Admitamos, por el contrario, que buena parte del sistema en general está diseñado aún para fallar con el usuario dentro. Todavía contamos con interfaces inseguras, configuraciones por defecto vulnerables y procesos corporativos que hacen de la seguridad un obstáculo, no un facilitador.
Y es que uno de los fracasos que mantenemos (aunque creo que vamos por el buen camino) es no haber conseguido ser lo suficientemente transparentes con la tecnología todavía como para que el usuario no deba preocuparse por todo. Es la organización quien debe entrenar y acompañar al usuario, no delegar por completo la responsabilidad.
¿Existen soluciones? Las fórmulas creo que pasan por saber contar las cosas como son. Por no guiarse por los clichés. Pasa por explicar la ciberseguridad como un proceso de ingeniería que requiere constancia.
Por tomarnos el asunto en serio como para definir una estrategia coherente y preventiva. Pasa por aprender también de los casos de éxito, donde las empresas atacadas han sabido aprovechar su relato para aprender, ser transparentes y comunicar de forma efectiva y con rigor. Necesitamos más pedagogía y menos elitismo.
Se echa en falta una narrativa nueva en ciberseguridad. Una que hable claro, que no infantilice al usuario ni mitifique al atacante. Una que empiece a asumir que la ciberseguridad es una cuestión de cultura, no de herramientas.
Necesitamos contar historias reales. De cómo se cae un sistema porque nadie aplicó un parche. De cómo un ataque de ransomware destroza una pyme no porque fuera un objetivo estratégico, sino porque usaban un sistema operativo antiguo, los empleados no tenían formación y además no hacían copias de seguridad. Historias aburridas, sí, pero ciertas y útiles porque es donde muchas otras empresas se sentirán identificadas. Y quizás así serán más honestas con sus propias circunstancias.
Ojalá pasar de lo críptico a lo sencillo, de la reacción al planeamiento y del miedo paralizante a la corresponsabilidad informada. Urge recuperar el valor de una comunicación honesta en ciberseguridad, humana y continua, capaz de poner el acento en lo cotidiano, en el error, en el aprendizaje y en la resiliencia.
Sin edulcorar, pero tampoco condenar al fracaso. Solo así la ciberseguridad dejará de ser “lo que ocurre a otros” o peor “eso que no me atañe” y empezará a formar parte, de verdad, del tejido de la sociedad.
