Seguridad digital A pesar de sus beneficios, las campañas de concientización por sí solas no son suficientes para fomentar la adopción generalizada de las mejores prácticas de ciberseguridad 01 de octubre de 2024 • , 3 min. leer A medida que entramos en octubre, es probable que los gobiernos, las organizaciones sin fines de lucro, los proveedores de ciberseguridad y muchas empresas con equipos de responsabilidad social corporativa se estén preparando para ofrecer algunos consejos útiles para mantenerse seguros en línea. Sin siquiera mirar el tema oficial de la edición de este año de la campaña, la semana pasada le recité el consejo habitual a un colega: use contraseñas seguras y únicas, habilite la autenticación multifactor (MFA) y evite hacer clic en enlaces de phishing, y Efectivamente, capturé casi todos los puntos principales del tema oficial de este año “Asegurar nuestro mundo”. Ahora bien, dada la abundancia de orientaciones bien intencionadas que circulan cada mes de octubre, se podría perdonar que se piense que esto debería ser suficiente para ayudar a crear un ciberespacio seguro y protegido. ¿Pero lo es realmente? ¿Ha sido eficaz este consejo para impulsar un cambio de comportamiento significativo y ayudar a abordar los crecientes riesgos de seguridad de hoy y de mañana? Quizás sea hora de examinar críticamente el enfoque actual y admitir que los consejos por sí solos no son suficientes. Más allá de consejos y trucos Después de una década de promover las mismas directrices (el propio Mes de la Concientización sobre la Ciberseguridad celebra su 21º aniversario este año), es hora de que la industria haga un replanteamiento radical y, además de hablar, legisle y aplique mejores prácticas de ciberseguridad, especialmente cuando esté en juego información de identificación personal (PII) u otros datos de valor. Normalmente no soy partidario de solucionar problemas con la legislación y la regulación, pero la realidad es que no estamos viendo avances al ritmo que necesitamos. Por ejemplo, hay muchos servicios y aplicaciones en línea populares que todavía no ofrecen MFA, e incluso si lo hacen, no está habilitado de forma predeterminada. El Mes de la Concientización sobre la Ciberseguridad del próximo año podría carecer por completo de este tema si todas las empresas que almacenan PII deben habilitar MFA en todas las cuentas de usuario de forma predeterminada. Por supuesto, puede haber problemas de accesibilidad con MFA habilitado de forma predeterminada, y si las personas que realmente necesitan desactivarlo por algún motivo, deberían poder optar por no participar. Sin embargo, para el resto de la multitud, habilitar MFA de forma predeterminada debería ser la norma. Así como muchos sitios web actualmente casi ocultan la opción de habilitar MFA, también deberían ocultar la opción de desactivarla. Apple fue una de las empresas valientes que impuso MFA para todos los usuarios en 2017. ¿Perdieron usuarios? ¿Bajó el precio de sus acciones? Por supuesto, las respuestas son “no”. Cuando no tengan otra alternativa, los usuarios adoptarán una práctica de seguridad mejorada que mantenga sus datos y demás seguros. Deles una opción y/o desactive la opción predeterminada, y muchas personas tomarán la ruta más fácil, incluso si eso puede significar comprometer su seguridad por conveniencia. Otra ventaja de activar MFA de forma predeterminada para todos es que mitigaría significativamente los riesgos asociados con el reciclaje de contraseñas; en otras palabras, es menos probable que una contraseña reutilizada respaldada por MFA cause un problema. Sin embargo, esto no quiere decir que sea aceptable utilizar contraseñas débiles o reutilizar contraseñas en todos los sitios. Lo que estoy diciendo en cambio es que disminuirá el énfasis en contraseñas seguras y únicas, ya que la capa adicional de MFA ayudará en gran medida a prevenir el robo de credenciales. De hecho, cuando algo como el robo de credenciales ha persistido como un problema importante durante tanto tiempo, es hora de repensarlo. Hemos visto precedentes efectivos para esto; en particular, el Reglamento General de Protección de Datos (GDPR). La Unión Europea (UE) se dio cuenta de que sin una regulación estricta, las empresas seguirían por el camino de menor resistencia: recopilar datos y almacenarlos sin cifrado en lo que era básicamente un enfoque del salvaje oeste en materia de protección de datos. Cuesta dinero mantener las cosas seguras, por lo que los directores financieros con presupuestos ajustados priorizarían las ganancias a corto plazo sobre la seguridad a largo plazo. Sin embargo, el RGPD cambió esta dinámica, ya que las fuertes multas regulatorias justifican el presupuesto para medidas adecuadas de seguridad de datos. Legislación al rescate Ahora imaginemos el Mes de Concientización sobre la Ciberseguridad el próximo año sin conferencias sobre prácticas de seguridad básicas como contraseñas seguras y únicas y MFA. Después de años de insistir en estos puntos, la conversación finalmente pudo evolucionar. La atención podría centrarse en las estafas desenfrenadas que engañan a las personas y les quitan el dinero que tanto les costó ganar. Me doy cuenta de que parte de esto ya está cubierto hoy, pero con demasiada frecuencia simplemente se pierde en la confusión. A todos los responsables de la formulación de políticas: es hora de cambiar esta conversación y legislar sobre lo que algunos sectores de la industria no han logrado implementar para que la educación crucial sobre cuestiones reales de ciberseguridad pueda ocupar los titulares.