Nos han repetido una y otra vez las mismas reglas: no pinches en los enlaces, no introduzcas dispositivos USB en tu ordenador, no abras adjuntos sospechosos. El mensaje parece claro: “conciénciate, cada clic puede desencadenar el inicio del desastre”. Pero en realidad, lo que parece que se te traslada es que nuestro trabajo es destruir la empresa.
Porque es muy probable que nuestro trabajo consista precisamente en eso: muchos días necesitamos abrir enlaces de desconocidos, examinar dispositivos USB, introducir la tarjeta de crédito, realizar transferencias, descargar programas que no conocemos...
Todas actividades cotidianas, pero altamente desaconsejadas. Tan imprescindibles como cuestionadas por peligrosas. En otras palabras: parece como si debiésemos resignarnos a aceptar que nuestro trabajo es poner en riesgo la empresa, una y otra vez con cada paso, a costa de ganarnos el sueldo.
El discurso dominante sobre la seguridad digital está lleno de buenos consejos, pero también de miedos. Queremos trabajadores que estén alerta, pero no paralizados. Queremos eficiencia, pero minimizando el riesgo.
Se nos dice: “la mayoría de los ataques comienzan en el usuario”. Se advierte: “claro, trabaja, pero hazlo con sentido común, no hagas nada sospechoso”, intentando que, de la nada, entendamos súbitamente qué es sospechoso y qué no.
En realidad, se nos traslada la enorme responsabilidad de decidir sobre el riesgo digital de la compañía, sin margen para equivocarnos, ni una sola vez porque cualquier error puede ser fatal. Lo cierto es que, seamos honestos, no sabemos bien qué significa el sentido común digital, ni qué pinta tiene un archivo sospechoso, un adjunto traicionero, un PDF manipulado y mucho menos un enlace que contiene un exploit. ¿Acaso lleva gafas? ¿Usa sombrero?
Si fuera tan sencillo, si con un simple vistazo se detectasen, no necesitaríamos ni profesionales ni usuarios avezados para distinguirlos. Ese sistema de defensa o antivirus que instalaron en el escritorio, el filtro de spam en el que ha invertido la compañía o cualquier otro elemento técnico que seguro ha contratado la empresa vigilaría por nosotros para que el usuario pudiera trabajar tranquilamente. ¿Verdad? ¿Qué es lo que no encaja aquí? ¿Qué se le está exigiendo al usuario exactamente? ¿Un sexto sentido mágico desarrollado para un entorno técnico que desconoce? El mensaje se distorsiona. Trabajar no puede usarse como sinónimo de riesgo incontrolado. Ese riesgo debe entenderse y ser manejado.
Pensemos en una autoescuela en la que se eludiese por completo la formación técnica o legal que nos permite, con unos mínimos conocimientos del reglamento y los fundamentos técnicos del vehículo, circular con ciertas garantías.
Imaginemos una educación vial que solo incluya concienciar sobre el peligro de los accidentes usando imágenes escabrosas, pero sin enseñarnos a usar el freno. ¿Existe acaso una formación en riesgos laborales donde solo nos muestran imágenes de trabajadores accidentados, pero no nos enseñan cómo evacuar específicamente un edificio o a manejar un extintor?
La educación en ciberseguridad debería incorporar técnicas simples y concretas sobre lo que significa “sospechoso”, enseñarnos a distinguir técnicamente el peligro y no limitarse a inducir un miedo esotérico y apelar a nuestra intuición como única herramienta. Porque la amenaza no desaparece con la precaución total. Solo se transforma en parálisis o en algo “peor”… en un dilema injusto: alguien que necesita trabajar con el miedo a destruir su empresa en cualquier momento.
