Cuando alguien oye “cadena de suministro” seguro que imagina contenedores, barcos, trazabilidad, proveedores críticos o powerpoints con flechas de colores. Parece que no tiene nada que ver con un usuario medio y su ciberseguridad hasta que nos damos cuenta de que, como toda cadena de suministro, buena parte de la vida digital depende de algún punto muy débil.
Como las cadenas de suministro tradicionales, el usuario también cuenta con una logística que mueve algo bastante más valioso: acceso y datos. Al banco, a las redes, al trabajo o las copias de seguridad. Todos hemos oído aquello de que el usuario es el eslabón más débil, pero ¿cuál es el eslabón más débil del usuario, a su vez?
Si comparamos un puerto con el lugar donde entra y sale todo: mercancía, documentación, facturas… para el usuario, ese puerto es el correo electrónico. Es un sistema de suscripción, sistema de login y verificación: todo lo importante acaba pasando por ahí.
El correo se ha convertido en, por un lado, el gestor universal de “he olvidado mi contraseña” de todas las suscripciones (y por tanto desde donde se puede conseguir acceso a cualquier servicio al que se esté suscrito…); por otro, el registro histórico de la vida digital (qué se ha comprado, cuándo y cualquier notificación) además de la llave maestra para casi cualquier web. En resumen, si alguien controla el correo, no necesita atacar ningún sistema. Basta con ir haciendo recuperación de contraseña servicio a servicio, y en un rato ha recolectado buena parte de los activos digitales.
Podría parecer que es difícil acceder a ese correo, sobre todo si dispones de una contraseña compleja, doble factor, y una exquisita higiene digital. Pero, de nuevo, si pensamos en cadenas de suministro personales, debemos comprobar otras formas alternativas de acceder al correo. Por web, por la aplicación… sí, pero también suele estar disponible en el móvil, siempre activo y sin necesidad de autenticarse de nuevo. Por lo que debemos pensar a partir de ahí, ¿cómo se accede al móvil para acceder al correo?
En el móvil se mezclan claves, apps del banco, redes sociales, documentos de trabajo, fotos privadas y códigos de verificación. Todo en el mismo almacén, accesible a través de un PIN (de cuatro o seis cifras), un patrón, o una huella dactilar. Si alguien traspasa esa puerta, con solo haber espiado el patrón por encima del hombro, deducir el pin o usar tu dedo mientras duermes, tendría acceso a todo lo demás, sin necesidad de grandes ataques. Un claro punto de fallo.
En las empresas se habla de proveedores de primer nivel, de transporte o de última milla. En la vida digital pasa lo mismo, solo que con otros nombres. Cada uno de esos puntos puede ser razonablemente seguro por separado, pero el problema reside en la combinación: un pin sencillo, un extravío o un patrón predecible puede dar al traste con las mejores políticas de contraseñas o actualizaciones de seguridad. La seguridad se romperá por ese punto.
El usuario no debe percibirse a sí mismo como un ente atómico, ese que la industria victimiza ante los errores o al que se conciencia sin formar. El usuario debe pensar en sus propios puntos de fallo y eslabones débiles a su vez. Y el correo o el móvil son solo dos ejemplos.
Las empresas invierten tiempo y dinero en blindar sus cadenas de suministro porque saben que un incidente en un solo punto puede parar toda la operación… Apliquemos esta dinámica para el usuario. Nada de esto es divertido. De hecho, es bastante tedioso. Pero ahí es donde se decide si la cadena aguanta o no el primer golpe serio. No se trata de vivir paranoico, se trata de entender la importancia de la información. No porque al atacante le interese exactamente tu vida, sino porque te interesa a ti y no quieres perderla, que la divulguen o que se use la identidad para generar un fraude. Tu email y tu móvil no son juguetes. Son parte de tu infraestructura crítica.