Seguridad, un término que todos asumimos como esencial, todos necesitamos sentirnos seguros, y todos tomamos medidas de seguridad, nos ponemos el cinturón de seguridad cuando nos subimos al coche o cerramos la puerta con llave por seguridad, cuando salimos de casa, evitamos ir por zonas que consideramos inseguras. Consumimos productos que consideramos seguros o desconfiamos de los que creemos que no lo son. Algunas veces las medidas de seguridad para acceder a determinados sitios nos pueden resultar ciertamente molestas, pero lo aceptamos porque nos dan una mayor seguridad. Hay personas, que por ser quienes son toman una serie de medidas de seguridad adicionales, coches blindados, guardaespaldas etc. todo para aumentar la seguridad de esas personas. Contratamos seguros, de coches, de vivienda, de vida.... En la publicidad de algunas marcas de alimentación, vehículos, juguetes, accesorios de cocina y un sin fin más giran alrededor de la seguridad y nos machacan con la necesidad de sentirnos seguros a todas horas y con todo.
¿Por qué no pensamos igual cuando hablamos de informática?
Recuerdo en mis años de profesor preguntar a mis alumnos si les preocupaba más que les entrara un virus, o cualquier otro problema de seguridad, o que les fallara el último juego de carreras o tiros (ponía el ejemplo del counter, que era uno de los que estaban de moda en la época). Esta pregunta provocaba dos reacciones, la primera eran risas contenidas, que eran sustituidas al cabo de unos segundos por la respuesta esperada: el problema de seguridad, claro está. Digamos que mis alumnos eran más bien jóvenes
A pesar que la respuesta razonada fuese la lógica, de la primera reacción se deducen dos cosas: Que se toman a broma los temas de seguridad y que les importa un pimiento, con tal que puedan jugar y que funcione lo demás es secundario. No obstante, que tras meditarlo unos segundos nadie dude de la necesidad de la seguridad, quiere decir que si no implementamos medidas de seguridad es por algún motivo. Ciertamente muchos de ellos no usan la banca electrónica, ni compran con la visa por lo que solucionar ese problema así que se excusan en que aun no tienen la necesidad real de tomar medidas.
Tenemos claro que el cinturón de seguridad del coche nos protege ante un golpe de salir disparados hacia adelante, o que tengas que descalzarte, quitarte el cinturón, sacar el portátil de la funda y pasar por un arco de seguridad cuando vas a coger un avión disuade de llevar consigo un cinturón de explosivos encima. Pero ¿de qué tenemos que protegernos en internet? A esta pregunta muchos seguro que contestarían cosas como de los virus, de los malvados hackers o de los terribles gusanos, pero a la mayor parte de la gente esos conceptos le suenan a chino. ¿Cómo haría para protegerme del mago David Coperfield si ahora se dedicara a robar? Si me cruzo con él por la calle ¿cómo hago para tener la seguridad que ese señor no me va a robar? La respuesta está clara, como no entiendo cómo funciona la magia no se cómo puedo protegerme. La ventaja de la magia es que todos sabemos que tiene truco, y que si lo conocemos no podrá engañarnos.
Con la seguridad informática pasa un poco lo mismo, desconocemos tantas cosas que parece que todo funcione por arte de magia. Aprendemos como podemos y sabemos un poco de aquí y otro poco de allá. Conectamos algunas cosas pero otras cosas que no entendemos las dejamos inconexas o nos montamos nuestras propias películas.
Si queremos conducir un coche sabemos que previamente tenemos que obtener un permiso que, aunque no garantiza la correcta conducción, si que acredita que tenemos los conocimientos necesarios para conducir un vehículo. En informática eso no sucede, nadie enseña a "conducir" o navegar por la red y no se precisan conocimientos previos para hacerlo. De hecho mis alumnos denotaban su ignorancia. Cuando apagaban sus risas, posponían para otro día, quizás mañana, el aprendizaje de unas reglas de utilización. Eso es lo que hace la mayoría, y la mayoría lo pospone tanto que se encuentra con que compra por internet, entra en la banca electrónica, guarda un montón de datos en su correo y utiliza la misma contraseña en todas partes, incluidos los 200 sitios webs que le han obligado a registrarse. A veces incluso coincide con el pin de tarjeta de crédito y del móvil. Otras veces utiliza 1234 como password en todas partes, ajeno al hecho que ese es el password más utilizado del mundo y con diferencia.
Vistos en el problema de haberse quedado atrapado en la telaraña de la red y que ya es demasiado tarde, muchos usuarios optan por una solución radical: bajarse el antivirus X, que le ha recomendado su colega informático, que por supuesto le ha pasado también el correspondiente crack. Ciertamente hay quien paga por el antivirus al igual que hay quien no entra en sitios web que sabemos que son potencialmente peligrosos, pero no actualiza el sistema operativo ni utiliza un cortafuego. La mayoría no actualiza el sistema operativo porque no tiene ni idea de que es eso, y aunque tenga miles de mensajes molestos que le indiquen que debe actualizar no lo hará. Quizás si lo hace será aconsejado por uno de esos banners que pululan por la red y que le indican que debe hacerlo por la enorme cantidad de problemas que ha detectado desde el propio banner. En algunos casos las actualizaciones automáticas las deshabilitan los propios "amigos informáticos" debido a que Microsoft optó por incluir en estas actualizaciones que añadían una estrellita que se empeñaba en decirnos que la éramos víctimas de una falsificación de software.
En cuanto al cortafuegos suelen ser palabras mayores, en la mayoría de los casos no se instalan porque requieren un mínimo de conocimientos para su uso, y por lo general los "amigos informáticos" ni siquiera consideran necesarios. En los últimos años han aparecido cortafuegos que se autoconfiguran solos, lástima que el módulo de adivinación no se haya implementado adecuadamente. En algunas empresas, incluso, se instalan cortafuegos perimetrales sin saber siquiera para que sirven o el impacto que tendrá sobre la red.
En la mayor parte de los casos el amigo informático forma parte del problema, pues aun en el caso que sus conocimientos de informática general puedan estar por encima de la media y de su buena voluntad, sus conocimientos de seguridad son casi tan ambiguos como el del amigo no informático. ¿Y cómo puede ser esto posible?
Podemos hacer analogía de la seguridad informática con un condón, forma parte del tabú de la sociedad, nadie te enseña, pero como con los condones hay que aprender a utilizarlos. Nadie reconoce no saber utilizar uno, aunque nunca lo haya utilizado. Y como la primera vez que tienes que hacer uso del condón no tienes ni puta idea haces lo que puedes. En muchos casos como la otra parte tiene la misma idea el resultado no es muy bueno y hay quien opta, muy a su pesar, por no utilizarlo. Y eso es lo que pasa en la informática, que o se utiliza mal o no se utiliza.
Al final con los condones acabas aprendiendo, sobre todo ellas, por la cuenta que les trae, pero por desgracia, en la seguridad se prefiere mantenerse en la ignorancia, reconocerla es algo infame, sobre todo para los profesionales de la informática y nos guste o no los problemas con la seguridad informática, al igual que la seguridad en general, tienden a aumentar. Muchos seguirán tirándose a la piscina sin saber si esta está llena de agua o vacía, y cometiendo temeridades con el descaro de un quinceañero que acaba de descubrir que el mundo va a caer rendido a sus pies y que tendrá suerte si el mundo no se lo come a él.
No es que la seguridad sea un tema especialmente complejo, no requiere de másteres ni tesis doctorales, nadie dirá que conducir un coche sea complicado tampoco, pero sin una formación básica seremos incapaces de distinguir un stop de una dirección prohibida. Por eso no solo no debe tomarse a broma sino que además cuanto antes evitemos los malos vicios
