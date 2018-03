Un falso ataque de phishing con un correo sobre contraseñas expiradas realizado como parte de una auditoría de seguridad entre los usuarios de la red de ordenadores del gobierno estatal de Michigan entrega un resultado alarmante: uno de cada tres empleados abrieron el correo, una cuarta parte hizo además clic en el enlace suministrado, y casi una quinta parte introdujo usuario y contraseña en la página resultante. Las cifras no resultan extrañas, y seguramente lo sabes: es perfectamente posible que si un ataque similar fuese llevado a cabo en tu organización, obtuviese resultados similares o incluso más elevados. De hecho, una métrica así podría ser un indicador muy razonable del nivel de cultura digital en una compañía. En la mía, una persona del departamento de Seguridad se encarga, metódicamente, de mantenernos actualizados compartiendo constantemente a través de la red corporativa ejemplos de phishing y posibles problemas de seguridad, en un intento de mantener una presencia permanente, crear un repositorio de referencia y generar una conciencia sobre la importancia de la seguridad.

El phishing es una técnica para obtener información sensible de usuarios simulando ser una entidad confiable en una comunicación electrónica. Sus orígenes se remontan a los años ’80, aunque el término como tal no se acuñó hasta mediados de los ’90 cuando comenzaron este tipo de actividades, fundamentalmente dentro de AOL. El primer ataque contra un sistema de pagos como tal tuvo lugar en junio de 2001: a lo largo del tiempo, el sistema se ha sofisticado notablemente y en muchas ocasiones llega a técnicas de ingeniería social y de personalización verdaderamente brillantes, y se estima que en la actualidad, los ataques de tipo spear phishing, esquemas personalizados diseñados contra individuos o compañías concretas son responsables de alrededor de un 91% de los ataques en la red. El ataque utilizado como prueba en la auditoría de Michigan, sin embargo, como la gran mayoría de los que suelen llevarse a cabo en este tipo de operaciones, era completamente trivial, similar en su operativa a los que se llevaban a cabo hace más de dos décadas.

¿Qué lleva a que un ataque de phishing relativamente trivial y conocido por cualquiera que utilice habitualmente internet o el correo electrónico, siga teniendo el nivel de éxito que tiene? La respuesta es muy sencilla: por más esfuerzos que hacen los departamentos de sistemas en las compañías, una gran parte de sus trabajadores y, por extensión, un porcentaje importante de la sociedad sigue estando compuesta por auténticos analfabetos digitales, por personas incapaces de reconocer un ataque de phishing aunque siga los patrones más obvios. En el caso de las compañías puede ser incluso peor: personas que, aunque puedan sospechar de un posible ataque, deciden hacer clic porque piensan que, al tratarse de su compañía, la seguridad es “cosa de otros”. O ya rizando el rizo de la irresponsabilidad… que simplemente “les da igual”, “no es su problema”.

El phishing y la seguridad, en realidad, son simplemente síntomas de un problema mucho más grave: la carencia de alfabetización digital. En muchos casos, estamos hablando de transformar digitalmente compañías cuando la dura realidad es que muchos de sus directivos y trabajadores están aún en la más dura Edad de Piedra en lo que a cultura digital se refiere. Y no solo lo están, sino que además, les trae completamente sin cuidado: desprecian lo digital, les parece “cosa de frikis” o justifican sin despeinarse su ignorancia con una simple frase del tipo “yo es que de esto de las nuevas tecnologías sé poco”. ¡¡Pero vamos a ver, alma cándida: si de “las nuevas tecnologías” (que provienen en muchos casos de hace más de dos o tres décadas) sabes poco, es muy posible que simplemente, a día de hoy, no estés a la altura para trabajar en una empresa seria!! Por alguna razón, muchos consideran que “las nuevas tecnologías” no son parte de su trabajo, son algo que aparece ahí mágicamente para que puedan llevarlo a cabo, pero que no son cosa suya, que son responsabilidades que recaen en un tercero. En general, al que hace clic en aquel correo que no debería haber abierto jamás y, para más gracia, entra en una página y facilita su usuario y contraseña como si fuese lo más normal, tendemos a mirarlo con comprensión, con cierta sensación de “le podría pasar a cualquiera”. Pues no, lo siento… no debería pasarle a cualquiera. O al menos, no a cualquiera con un mínimo de cultura digital y dos dedos de frente. No estoy diciendo que si todo el mundo tuviese ese mínimo de cultura digital, este tipo de ataques no existirían: como ya he dicho anteriormente, los hay muy sofisticados, muy personalizados y muy bien calculados, en ocasiones con diseños que, desde el punto de vista técnico o social, resultan auténticos derroches de ingenio. Cualquiera podría caer fácilmente en uno de esos: la seguridad total no existe, ni para los más formados y actualizados. Pero obviamente, ese tipo de ataques no son lo más habitual.

Para plantearse un proceso de transformación digital en una compañía, la cultura digital de sus trabajadores y directivos tiene que alcanzar un mínimo determinado, o estarás intentando construir rascacielos sin tener la cimentación adecuada. Tendrás que esforzarte por atraer y retener talento con el nivel de cultura digital necesario. Tendrás que poner las cosas muy claras: que quien diga (o sienta) eso de “yo es que de las nuevas tecnologías no sé nada”, no tiene sitio en tu compañía, en una compañía que pretende digitalizarse de arriba a abajo. Y no, no es esa persona sea necesariamente idiota: no tiene por qué ser un torpe, es posible que haya cosas de su trabajo que haga fenomenalmente bien, puede incluso que tenga un gran valor para la organización… pero no se ha preocupado de estar mínimamente actualizado, de prepararse para el entorno que le rodea. Y con esa actitud, cuando el entorno se mueve a la velocidad que se mueve, ya no se va a ninguna parte. En un mundo digital, la alfabetización digital ya ha alcanzado el nivel de cualificación necesario e imprescindible para llevar a cabo la mayoría de las tareas con un mínimo de responsabilidad: que un trabajador carezca de esa cultura no solo revela un problema en su compañía, sino que revela un problema de actitud, de concienciación en el trabajador. Cuando esa carencia tiene lugar en un directivo, cuanto más alto sea su nivel, más grave y patético resulta. La política es ya el extremo: para poder encargarse de algo tan importante como la toma de decisiones y la gestión de información que nos afecta a todos, tener un mínimo de cultura y formación digital debería ser un requisito imprescindible, que o bien tienes ya razonablemente desarrollado cuando recibes la confianza de los votantes, o tendrías que recibir obligatoriamente como formación cuando accedes al cargo, antes de comenzar a desempeñar tus responsabilidades. Tener políticos digitalmente alfabetizados eliminaría una parte de los absurdos problemas que tenemos actualmente cuando los vemos tomar decisiones en temas en los que evidencian una absoluta ignorancia.

¿Podemos dejar de considerar la falta de cultura y alfabetización digital como algo disculpable, como un detalle anecdótico, en lugar de calificarlo y considerarlo como lo que es, como un auténtico must-have de cara a la transformación digital?