La industria de la ciberseguridad no ha logrado conectar con los ciudadanos. Hemos convertido un tema vital en un meme. Aunque la sociedad ha intentado adaptarse a las recomendaciones técnicas, considero que ha terminado por rechazarlas por su complejidad innecesaria y falta de empatía de la industria. No creo que revele una falta de comprensión del usuario, sino un fallo de transmisión eficaz por parte de los expertos.

Hemos culpado a los usuarios de malas prácticas, cuando la responsabilidad es nuestra. Hemos incidido más en que se debe disponer de una contraseña diferente para cada servicio (sin importar su relevancia) con al menos 12 caracteres, una mayúscula, un carácter especial, un número, y cambiarla cada tres meses… que lo que nos hemos esforzado en ofrecer gestores de contraseñas o herramientas accesibles para gestionarlas.

Les pedimos que verificasen el candadito en sitios web, pasando por alto que hoy casi todas las páginas lo usan por defecto y que en móviles apenas se puede comprobar. Aún insistimos en que el phishing se detecta por faltas de ortografía, cuando hace más de diez años que los ataques suelen ser profesionales y estar bien escritos.

Consejos incomprendidos pero familiares, transmitidos de blog en blog, de experto a experto, basados en algo que alguna vez fue, pero pocos recuerdan ya en qué se fundamentaban. Una zona de confort, al fin y al cabo, donde nadie puede acusarnos de complicarnos la vida. Pura tradición, folclore. Cibercostumbre.

Promovimos la imagen romántica del hacker adolescente con capucha en una habitación oscura que va por tus datos, cuando en realidad, la mayor parte de los ataques los perpetran bandas organizadas que usan ingeniería social para obtener credenciales indiscriminadamente. Les prohibimos por su bien abrir adjuntos, usar redes wi-fi públicas, escanear códigos QR, aceptar cookies, conectar dispositivos y memorias USB, entrar en web “sospechosas”, o mantener el bluetooth y el NFC activos.

Incluso recomendamos no contestar con un “sí” a las llamadas de números desconocidos… todo sin el contexto suficiente ni alternativas prácticas, sin calibrar peligro y riesgo frente a comodidad. En la práctica, se impide trabajar eficientemente en el día a día a los usuarios.

Y eso no es todo. Les hemos dicho que los ataques pueden ser de tipo phishing, pero que tengan especial cuidado con el spear phishing. También con los smshing, y en concreto con el vishing y el baiting. Ojo en la calle con el QRshing. Hoy en día en cualquier momento pueden ser víctimas de los deep fakes.

Vigilemos además el SIM swaping, el pharming y el pretexting. Les hemos pedido que se cuiden del shoulder surfing en la oficina y, sobre todo, que eviten los virus, los gusanos, troyanos, el scareware, ransomware, los downloader, los rootkits y el adware. El problema no es clasificar las amenazas, sino convertirlo en un galimatías en el que parece que cada problema requiere una nueva solución. Aunque a la vez, como contramedida mágica, les hemos prometido que con “sentido común” estarán bastante a salvo.

¿Por qué trasladar esta terminología interna y abrumadora al público general? ¿Por qué intentar impresionarlo? Prometo que el otro día asistí a una charla donde se recomendaba a unos alumnos de instituto (sin conocimientos técnicos) interpretar el campo SPF de los emails en su código fuente para detectar un phishing.

Es como explicar a un conductor las leyes de la física y la inercia y olvidarnos de mostrarle el freno de un coche. Sé que uno de los problemas, y es cierto, es que en ciberseguridad no existe algo tan simple como “un freno”. Pero estoy convencido de que debe haber algo intermedio.

Con el ánimo legítimo de generar una reacción, creamos en su lugar un mito inalcanzable: tan complicado que muchos usuarios ni lo entienden o se han rendido. No les merece la pena conocer tantos ritos para mitigar un riesgo que no terminan de comprender.

Todo este enfoque ha generado un "costumbrismo" en ciberseguridad: hábitos y prácticas cotidianas (a menudo anticuadas o de dudosa utilidad) que adoptamos por rutina, sin cuestionarlas. Tradiciones, edulcoradas y desactualizadas que consumen nuestra escasa ventana de atención.

Hemos ignorado al verdadero enemigo hasta que el usuario se ha convertido en uno más de los adversarios. Creemos estar concienciando, pero son los atacantes los que lo han conseguido por nosotros. Muchos usuarios aprenden a la fuerza por sufrir brechas reales, más que por poner en práctica dudosos consejos.

¿Existen soluciones? Usar explicaciones útiles y concretas enfocándonos en acciones simples que resuelvan problemas reales, transformando el miedo en hábitos. Promover e insistir en los aspectos de la protección que nunca pasarán de moda y cubren buena parte de los fundamentos de los posibles ataques comunes. Y estos son, básicamente: la autenticación multifactor, el uso de gestores de contraseñas intuitivos y las actualizaciones.

También, un acercamiento más simple hacia la tecnología. Explicar no tanto el problema técnico como la solución común que los previene. Utilizar lenguaje cotidiano y priorizar la prevención práctica frente a la tentación de alertar sobre complejas amenazas improbables con supuestas nuevas fórmulas que, no por resultar más interesantes para los profesionales, modifican el paradigma fundamental.

Simplifiquemos. La ciberseguridad debe ser accesible, no percibida como la imposición de un folclore indescifrable que finalmente, acabará por ahuyentar a los usuarios. Proporcionemos un “freno”, encontremos ese atajo comunicativo que permita entender el peligro y poner un remedio abordable y eficaz. Y como he mencionado varias veces, creo que lograr esto pasa por la transmisión sencilla, desde muy temprano, del conocimiento técnico fundamental del marco digital en el que nos movemos.