Nos apegamos emocionalmente a la forma en que creamos nuestras claves. Y luego nos ponemos a la defensiva cuando nos piden que cambiemos esa rutina. Karen Renaud.
No debería ser una sorpresa para nadie el que las personas tienden a elegir contraseñas débiles; un problema que exaspera a los profesionales de la ciberseguridad y motiva a los hackers.
Por lo general, se culpa a la ignorancia o a la flojera por ese comportamiento, o a una combinación de ambas. La cantidad de personas que escogen ”123456” como su contraseña es un testimonio de ambas explicaciones.
Sin embargo, en mi investigación con Robert Otondo y Merrill Warkentin, de la Universidad del Estado de Mississippi, descubrimos que algo más sucede aquí: las personas tienen un apego emocional al modo en que crean sus contraseñas. Para una mayoría de personas, estas no son simplemente al azar. Son personales.
Esto no es solo una curiosidad académica interesante. Mas bien, indica que la forma en que enseñamos tradicionalmente a las personas a crear contraseñas seguras (reprendiéndolas por aquellas débiles y mostrándoles el valor de crear otras más firmes) perfectamente puede ser contraproducente. Cuando les decimos a las personas que están haciendo todo mal, es probable que de inmediato se pongan a la defensiva y muestren poca disposición a cambiar su forma.
Para entender el por qué, considere como reaccionan las personas a la necesidad de pensar en más contraseñas que las que posiblemente podrían recordar: idean su propia rutina de creación. Quizás es una combinación de su cumpleaños y su domicilio, o el nombre de un hijo, más la misma secuencia de números. Sea cual fuere, una vez que queda establecida, se resisten a cambiarla. Decirles sobre los beneficios de contraseñas más firmes no parece constituir ninguna diferencia, tampoco ayuda recitar todas las terribles consecuencias de aquellas débiles.
¿Por qué sucede eso? ¿Por qué las personas ignoran lo que los expertos aseguran les está dejando tanto a ellas como a sus organizaciones expuestas a un ataque?
Dos ideas de economistas expertos en comportamiento entran en juego potencialmente.
La primera es el “efecto de certidumbre”. Resulta que cuando tenemos cosas nos apegamos a ellas. Esto, a su vez, nos lleva a sobrevalorar el ítem que poseemos. Mi taza de café vale más que la suya, simplemente porque es mía. No estamos dispuestos a cambiarla por otro ítem con la misma funcionalidad, aun cuando el reemplazo sea superior para un observador objetivo.
El segundo factor es lo que el economista Dan Ariely llama “el efecto IKEA”: Nos encariñamos excesivamente con las cosas que creamos y, de nuevo, las sobrevaloramos.
El valor, al parecer, está en el ojo del dueño y creador.
Queríamos descubrir si, y cómo, el efecto de certidumbre y el efecto IKEA se aplican a la creación de una contraseña.
En primer lugar, necesitábamos saber si las personas tenían una rutina para crear sus contraseñas personales. Mediante encuestas, encontrarnos que sí la tenían.
El segundo paso era descubrir si sentían que tenían su propia rutina, y si se sentían apegados a ella. De nuevo, así fue. Los que participaron en nuestro estudio consideraban que una crítica a su rutina de creación de contraseñas era como un ataque personal.
El último paso era determinar si los consultados sobrevaloraban su rutina personal; es decir, ¿creían que las contraseñas los protegían más que lo que realmente lo hacían?
Una vez más, la respuesta fue sí. Las personas sobreestimaban la fuerza de las contraseñas creadas por sus rutinas y las sobrevaloraban. Cuando les preguntamos cuánto les tendrían que pagar por elegir contraseñas más firmes, y cuánto se les podría pagar a otras personas para que hicieran lo mismo, querían significativamente más dinero por cambiarlas que lo que creían que debían recibir las otras personas.
En otras palabras, la respuesta cuadraba perfectamente con el efecto de certidumbre, y sugería que el efecto IKEA también estaba entrando en juego (aunque no hicimos una prueba específicamente para el efecto IKEA).
Necesidad de empatía
La visión que proporcionaron los descubrimientos de nuestro estudio es que las personas no van a escoger contraseñas más firmes simplemente porque se lo pidan o porque sepan que deberían hacerlo. Mas bien, si sienten que están tratando sus métodos existentes con desprecio o burla, podrían percibir esto como un ataque personal y ponerse incluso más reacios a adoptar practicas más seguras.
¿Qué significa esto para la forma en que tratamos de hacer que las personas sean más sensatas en cuanto a ciberseguridad? Mucho. Indica que los programas de capacitación en ciberseguridad no solo deberían incluir información sobre como escoger contraseñas más seguras, sino que también deberían reconocer que los usuarios tal vez tengan una sensación de pérdida cuando contemplan un cambio, y podrían adoptar una actitud defensiva si critican la rutina que ellos tienen.
Una forma de hacer esto es empezar cualquier entrenamiento enfocándose en el esfuerzo que todos tenemos que hacer a diario para idear y recordar contraseñas. Podría parecer como una diferencia sutil, pero de hecho este enfoque demuestra empatía, comprensión y una experiencia compartida, en vez de condena.
Luego, podríamos apuntar a las formas en que otras personas atenúan este dolor, como utilizar un administrador de contraseñas para que lidie con todo este problema. Las personas luego solo tienen que memorizar una buena contraseña, y nunca se tiene que cambiar. Los capacitadores también podrían recomendar que utilicen una frase (una divertida) en lugar de una contraseña compleja.
La clave es entender que las personas no están escogiendo contraseñas fáciles solo por ignorancia y flojera. Igualmente les importan más sus contraseñas que lo que el resto de nosotros puede imaginar. Y es crucial que los defensores de la ciberseguridad les faciliten las cosas para que hagan un cambio.
Escrito por: Karen Renaud, profesora de ciberseguridad en Abertay University (Dundee, Escocia).
Publicado en el diario El Mercurio.
Santiago de Chile, Chile. Martes 30 de julio de 2019.
Un aporte de: Parque del Recuerdo
Asociado de ALPAR en Chile.
