Ciberseguridad y privacidad: dos importantes retos sociales

La digitalización de la sociedad está avanzando a un ritmo acelerado, abrazando cada vez más ámbitos de la actividad humana. La pandemia del covid-19 no se ha limitado a las crisis sanitaria y económica —que han acaparado la mayor parte de las informaciones de los últimos meses—, sino que también ha servido para catalizar la transformación digital de la sociedad de una manera impensable días antes de los confinamientos. Esto ha obligado a miles de organizaciones de todo el mundo a trasladar sus actividades a la red de manera inmediata y sin posibilidad de preparar una transición ordenada a esta nueva realidad. En este contexto, la ciberseguridad y la privacidad de la información son dos de los ejes que requieren mayor atención, tanto por parte de las organizaciones como de la ciudadanía en general. No es que se trate de nada nuevo, pero esta digitalización súbita de las actividades cotidianas ha servido para generar conciencia sobre la importancia de la información y de las vulnerabilidades de nuestros equipos y redes.

Hace ya años que se publican diferentes estudios relacionados con la importancia de la seguridad y la privacidad de la información en el ámbito laboral. Por ejemplo, en 2014, un análisis de la firma neoyorkina EisnerAmper situaba la ciberseguridad en el tercer lugar de importancia en cuanto a gestión de riesgos empresariales, tan solo por detrás de los riesgos financieros y los relacionados con la reputación. Más recientemente, en 2018, el Consorcio Internacional de Certificación de Seguridad de Sistemas de Información, o (ISC), cifraba en tres millones de empleos las necesidades no cubiertas de expertos en el ámbito de la ciberseguridad a escala mundial, de los cuales prácticamente trescientos mil correspondían a Europa.

Por todo esto, la seguridad y la privacidad de la información y de las redes de ordenadores hace tiempo que forman parte de las prioridades de investigación y formación de las universidades e instituciones científicas. En las dos últimas décadas, el número de grupos e institutos de investigación focalizados en la ciberseguridad no ha dejado de crecer. Además, la seguridad y la privacidad tienen un protagonismo cada vez mayor en los planes de estudios de varias ingenierías y no es difícil encontrar programas de máster universitario específicos en esta área. Los programas universitarios que se ofrecen para capacitar a las nuevas generaciones de expertos en ciberseguridad todavía tienen margen de crecimiento para cubrir las necesidades laborales del mercado. Se trata, pues, de un sector en fase de expansión en los próximos años y una evidente oportunidad profesional para los jóvenes.

Parece claro que las empresas, las administraciones públicas y los centros de educación superior e investigación ya se están preparando para una nueva realidad más digital, y que la inversión en ciberseguridad es uno de los factores clave para ser competitivos en este nuevo escenario. Pero ¿qué ocurre con la ciudadanía en general? La verdad es que esta es una de las grandes asignaturas pendientes en la actual transformación digital. La ciberseguridad a menudo se percibe como una cuestión eminentemente técnica que tan solo debe preocupar a los negocios, mientras que existe muy poca conciencia de los problemas de ciberseguridad y privacidad que afectan a la ciudadanía en sus actividades cotidianas.

La realidad es que la ciberdelincuencia no se circunscribe a las organizaciones y existe un gran número de ataques que fijan su objetivo en el ámbito doméstico. Un ejemplo reciente de ello son las llamadas falsas de un presunto servicio técnico de Microsoft. Esta estafa, muy extendida, consiste en contactar telefónicamente con la víctima para informarle de una vulnerabilidad crítica en su ordenador, ofreciéndole asistencia remota para resolverla. El estafador convence a la víctima para que instale una aplicación que le permite controlar su equipo a distancia y, una vez dentro, obtener toda la información personal y privada que tenga almacenada, a menudo incluyendo datos bancarios y financieros. Muchas personas han visto cómo sus ahorros se esfumaban de esta manera, en cuestión de minutos.

Este tipo de situaciones evidencia que los métodos empleados por los ciberdelincuentes no son siempre técnicamente sofisticados, como se nos muestra en las producciones de Hollywood, sino que a menudo se basan en pequeños trucos de «ingeniería social», que son sencillos de aplicar y que funcionan por estadística cuando se aplican a un gran número de víctimas. Da igual que el porcentaje de éxito para cada persona objetivo sea pequeño si los delincuentes pueden llegar a decenas o a cientos de miles de usuarios. Una versión algo más avanzada de este tipo de ataque se basa en enviar correos electrónicos o enlaces de páginas web que se hacen pasar por los de alguna empresa conocida o administración pública. Se trata del fenómeno conocido como suplantación de la identidad o phishing, y que suele tener como objetivo conseguir datos bancarios o de tarjetas de crédito.

Entre los retos más importantes a que nos enfrentaremos en los próximos años en el ámbito de la digitalización destaca el de conseguir una capacitación de la ciudadanía para protegerse frente a estas estafas, que a menudo tienen una base más sociológica que tecnológica. Es preciso, por lo tanto, dotar a la sociedad de una formación interdisciplinaria que permita combinar los aspectos técnicos de la digitalización con aquellos propios de las ciencias sociales, para mejorar nuestra preparación, permitiendo una transición digital robusta y con menos exposición ante la ciberdelincuencia. Así pues, será muy importante que las universidades incorporen aspectos interdisciplinarios en los grados y másteres que tratan de la ciberseguridad si quieren ofrecer una formación integral de esta materia. Además, los esfuerzos de capacitación no deben limitarse a la educación superior, sino que esta formación debería aparecer en los planes de estudios y en la lista de competencias que se desarrollan en edades tempranas, durante la educación obligatoria.

Otro gran reto que afrontan las sociedades hiperdigitalizadas es el de la privacidad de la información. A menudo se representan la privacidad y la seguridad en los brazos opuestos de una misma balanza, sugiriendo que un aumento en una de ellas necesariamente acarrea una disminución en la otra. Esta visión es simplista y engañosa, ya que da a entender que no se pueden conseguir seguridad y privacidad simultáneamente. La aparente contradicción entre seguridad y libertades individuales viene de lejos. Ya en el siglo XVIII, Benjamin Franklin afirmaba que «aquellos que renunciarían a la libertad esencial para comprar un poco de seguridad temporal no merecen ni libertad ni seguridad». Las palabras de Franklin son plenamente vigentes en la actualidad, entendidas como que no se debe comprar algo de «ciberseguridad temporal» a cambio de renunciar a nuestra privacidad. Como en el caso de la ciberseguridad, será necesario capacitar a la sociedad sobre la importancia de la privacidad de la información y empoderarla, dando a las personas el control sobre sus datos y legislando para que estos no sean propiedad de las empresas. Debemos incluir entre nuestras obligaciones la de actuar en defensa de la privacidad, sin renunciar a ella a cambio de seguridad, puesto que ambas deben ser compatibles en el marco de una sociedad digital capacitada y avanzada. Los grupos e instituciones de investigación que trabajamos día a día en estos temas somos responsables de difundir este mensaje para conseguir una sociedad mucho más madura y soberana en el actual contexto de transformación digital acelerada.

___________________________________________________

David Megías es Director del Internet Interdisciplinary Institute (IN3) de la UOC y Catedrático de los Estudios de Informática, Multimedia y Telecomunicación de la UOC