Esta es la segunda parte (aquí está la primera parte) de la entrevista que La Cocina de Estrategias (Susana y Laura) tuvo con Manuel Nader, un experto en Ciberseguridad, en el marco de la celebración del Día Internacional de la Protección de Datos.
Con más de 10 años de experiencia en ciberseguridad y titulaciones de Grado de Ingeniería Informática y Máster de Ciberseguridad y Privacidad, Manuel se especializa en asegurar el ciclo de vida del desarrollo de software y el manejo de vulnerabilidades. Su habilidad para colaborar con diversos stakeholders, comunicar problemas de seguridad y su compromiso con el aprendizaje continuo le han ayudado en su carrera.
A continuación, el resto de la entrevista:
Susana: Genial, todo muy interesante. Ahora viendo al equipo de seguridad como un usuario, ¿qué necesidades tienen ustedes en el trabajo, en el diario? ¿Qué tipos de productos o servicios les facilitan el trabajo en cuanto a herramientas, por ejemplo, o acciones?
Manuel: Nosotros usamos muchas herramientas. Tratamos de que sean open source (software de código abierto) porque así podemos implementarlas y no cuestan dinero. A veces pagamos por herramientas, pero en general, lo que más nos interesa como usuarios es que las herramientas sean precisas y sean correctas.
Existen lo que se llaman falsos positivos, falsos negativos, verdaderos positivos y verdaderos negativos. Un verdadero positivo y un verdadero negativo es lo que significa. O sea, el escáner dijo que es negativo el descubrimiento, y de verdad es negativo. El verdadero positivo, dijo que es positivo y sí lo era.
De las peores cosas, o de lo que tenemos que cuidar mucho, es que no haya falsos positivos, que es, que el escáner dijo que aquí hay una falla, cuando en realidad no hay. Y los que yo creo más peligrosos son los falsos negativos que es, el escáner dijo que no hay una falla, y en realidad sí hay una falla. Como usuarios lo que pedimos son herramientas precisas, sobre todo que no tengan falsos positivos y falsos negativos.
Lo otro que pedimos es que sean herramientas que arrojen descubrimientos con suficiente información para nosotros poder darle suficiente información a nuestros usuarios. Una herramienta que nos diga “aquí hay una falla y la tienes que corregir” no es útil, porque yo no le puedo decir a mis usuarios “aquí tienes una falla y la tienes que corregir”.
Susana: ¿cómo crees que ha evolucionado la experiencia del usuario en este aspecto, o sea, en facilitarles el día a día a ustedes en el trabajo?
Manuel: Creo que eso con los años ha cambiado. Hay empresas y productos que están mucho más enfocadas en eso, y hay empresas que hacen las cosas como las vienen haciendo desde los noventa y no es tan preciso o tan útil. Por ejemplo, revisar los flujos de cómo parchan, o cómo avisan que hay fallas, es muy distinto si vemos el trabajo que ha hecho Oracle, que el que ha hecho Windows, que el que están haciendo empresas que justo están moviendo el mercado de seguridad como Snyk. Justo ellos lo que venden es herramientas de seguridad, pero cuidan mucho que sea fácil de usar, que haya información, están dando feedback, etc. versus Oracle que sacan parches una vez al mes, y literal te dan una lista horrible y te dicen “tienes que arreglar todo esto. No te voy a decir más cosas, excepto que hay 30 cosas graves, y si no lo arreglas es tu problema.” Pero no te dan más detalle, así que tú no le puedes dar muchos detalles a tus usuarios y eso causa fricción.
Laura: Si al final ustedes también están en la mitad de una cadena, no pueden simplemente pasar el mismo mensaje de “Bueno, suerte. Resuélvelo tú.” Justo regresando a eso, ya nos dimos cuenta de que en este sistema hay muchos actores: ustedes son usuarios de otras personas, pero al mismo tiempo ustedes tienen un tipo de usuarios suyos. Y te queríamos preguntar al final si ¿la ciberseguridad y el usuario final del producto, el que sí utiliza la aplicación o el servicio que diseñan los desarrolladores, son enemigos? Y lo pregunto en términos de protección de datos, porque, por ejemplo, entiendo que cuando a mí me piden como usuario final que autentique mi usuario y contraseña, y me piden el two factor authentication (autenticación de dos factores), para mí puede ser un fastidio, como “ah, que mamera que me toca ahora abrir mi celular, y mirar otra vez, y darle click, etc.”, porque le me están poniendo más pasos en un proceso que yo quiero que sea rápido. ¿Consideras que es verdad que desde UX somos, de alguna manera, archienemigos? ¿o será que podemos encontrar algo dónde igual estamos buscando las mismas metas?
Manuel: Yo creo que definitivamente se buscan las mismas metas. Lo que sucede a veces es que hay empresas que tienen equipos de seguridad sin tanto conocimiento o que siguen prácticas muy viejas, o hay mezcla de esos dos, que es la peor. Cosas como seguir pidiéndole al usuario que cambie su contraseña cada 90 días, es una práctica de seguridad muy vieja que causa fricción, y que hoy en día está demostrado que no aporta seguridad. Al contrario, crea una falsa sensación de seguridad, y muchas veces lo que hace es reducir el nivel de seguridad. Porque entonces obligas a la gente a usar una mala contraseña, y los obligas a que escriban algo como “nombredelaempresa_laestacióndelaño” o “nombredelaempresa_númerodelaño”. Entonces ya ahorita todos pusieron “nombredelaempresa_enero” y en marzo lo van a cambiar a lo mismo, pero terminado en “marzo”. Ese es un ejemplo de falsa seguridad, que sucede en muchos lugares.
Eso es lo que a veces causa mala reputación a los equipos de seguridad. Un buen equipo de seguridad debe de pensar alineado a los objetivos de la empresa, alineado al apetito de riesgo que tiene la empresa.
La seguridad se debe ajustar al contexto, se debe ajustar a la empresa, y nunca se deben de seguir prácticas viejas solamente porque alguien lo dijo. Por ejemplo, hay lugares que bloquean que tú puedas “pegar” texto en el campo de contraseña de un inicio de sesión, diciendo que es una práctica de seguridad. Yo llevo trabajando más de una década en seguridad y puedo decir, que es mentira. Eso no es una práctica de seguridad, al contrario, es una práctica de inseguridad, porque haces que la gente use contraseñas que puedan escribir fácilmente, las cuales son mucho menos seguras. Creo que eso es un error común en las industrias que piensan como “ah esto se hace por seguridad” y muchas veces no.
Susana: Creo que nos diste una muy buena respuesta a la pregunta que venía, que es: ¿qué tips le darías a los equipos de ciberseguridad y qué se podría hacer también desde el UX, para mejorar esta colaboración? Por ejemplo, desde el tema de protección de datos. Creo que este es un tema muy interesante, porque mencionaste que se trata de en el usuario y pensar un poquito más allá, realmente qué le estoy pidiendo, para qué lo estoy necesitando, cómo lo estoy solicitando, y pensar de una manera también incluyente quién realmente debe tomar las decisiones, y de qué manera deben trabajar todos juntos. Te pregunto, entonces, ¿qué tendencias emergentes ves en el horizonte que podrían influir en la relación entre UX y ciberseguridad?
Manuel: Aunque suene como cliché, creo que hay una posibilidad alta y real de que la experiencia de la persona común con seguridad mejore mucho, por el tema de la inteligencia artificial. Yo ya he visto empresas que lo ponen, un poco en modo prueba, pero ya existen. Por ejemplo, un chatbot de seguridad. Entonces, si mis managers de seguridad no tienen el tiempo de estar respondiendo preguntas, le puedo decir a los demás usuarios de la empresa que vayan y hablen con el chatbot. Así le puedes preguntar cosas como “oye, ¿dónde usamos TLS?” y el chat les contesta, “Aquí, aquí y aquí.” O preguntas como “¿qué significa que tengo que aplicar un parche?” y el chat les dice “Significa que debes seguir estos pasos.” y se los describe.
Entonces, tener chatbots para ayudar en preguntas comunes, como el primer y segundo nivel de apoyo. Puede ser una cosa que ayude mucho a que la gente se acerque más. También, todo lo que es hablar con un robot es muy positivo porque es muy fácil hacerlo y la gente no siente vergüenza, porque a veces te da pena preguntarle a alguien como “oye esto que estoy pensando hacer, ¿es seguro?” y por no querer que tu colega piense mal de ti, entonces no haces esa pregunta. Normalmente los equipos de seguridad donde yo he estado y en los que me gusta trabajar, asumimos que ninguna pregunta es tonta, siempre podemos ayudar al usuario, pero es humano que a la persona le dé pena hacer una pregunta que ellos sienten tonta. Por eso creo que eso puede ser un gran uso del tema de la tecnología, en particular la inteligencia artificial.
Por otro lado, justo la inteligencia artificial también puede ser algo que cambie drásticamente el tema de seguridad para los usuarios de manera negativa. Por ejemplo, el caso de phishing (robo de credenciales o información mediante la suplantación de identidad), o el caso de videollamadas falsas, audios falsos, entre otros. Estamos a nada de que se empiecen a ver videos y audios donde te ponen la cara del CEO diciéndote “si, mándame cien mil euros a las Islas Caimán” y tú vas a decir “pues es que yo vi el video de mi jefe, diciendo que mandara el dinero, y lo mandé.”
Laura: Ay, no. ¿Qué tal estemos hablando en este momento con una IA? ¿Cómo sabemos que sí eres tú, Manuel? Ja, ja, ja, ja.
Manuel: Es algo interesante. Creo que la única forma en la que se sabe hoy en día es pedirle a la gente que haga cosas que romperían los patrones de la IA, como que la persona haga caras o gestos que no haría la IA. Como ponerse sombreros, sacar la lengua y cosas así.
Laura: Claro, la IA no está diseñada para eso, sino para hablar muy normalito y estar quieto. Que locura. Estamos aprendiendo muchísimo y claramente hay mucho que sacar de esta relación entre ciberseguridad y UX. ¿Hay algo más que quieras resaltar aprovechando la celebración del Día Internacional de la Protección de datos del 28 de enero?
Manuel: Al usuario final que se pregunta ¿qué puedo hacer yo para mejorar mi seguridad?, mis recomendaciones son dos cosas muy fáciles. La primera es usar un gestor de contraseñas. Guarden ahí todas sus contraseñas, que sean aleatorias, no sólo guarden la misma contraseña mil veces, y no reúsen contraseñas. La segunda recomendación es que habiliten el two factor authentication. Si se pueden comprar una yubikey, pues mejor. Si no saben qué comprarles a sus amigos de cumpleaños, regálenles una yubikey y así todos van a estar más seguros.
Susana: Ah, no había visto eso, ¿para qué es?
Manuel: Es una usb, que se pone en la computadora y hace las veces de tu second factor authentication. Entonces, por ejemplo, me meto a algún sitio web, pongo mi usuario, pongo mi contraseña y luego me pide una clave adicional. Luego, conecto esta usb, le pongo mi dedo, y ya ahí sí me deja ingresar. Esto es un mecanismo súper seguro, porque por cuestiones matemáticas es prácticamente imposible de replicar o de adivinar. Esta tecnología lleva ya más de diez años y a la fecha no ha habido un ataque real que se pueda hacer sobre las yubikeys. Todos los ataques son teóricos. Al final, mientras no la pierdas, como que la lleves en tu llavero, estás seguro.
Susana: ¡Wow!
Laura: Ya para terminar, queremos hacer la pregunta tal vez más obvia, ¿por qué es importante la protección de datos? O sea, al final ¿qué importa que alguien más tenga mis datos?
Manuel: Es una buena pregunta. Hay dos respuestas que se me ocurren. Una es más con el tema de privacidad. Al final la privacidad es proteger tus datos, más allá del argumento de “yo no tengo nada que esconder”. Todos tenemos cortinas en la casa y no es porque tenemos algo que esconder, es porque hay cosas que queremos no mostrar.
La segunda respuesta es que el tema de los datos es que son muchos los que generamos y nosotros no nos acordamos, pero las computadoras sí. Y no quieres que un atacante o alguien a quien tú no autorizas tenga acceso a eso. Por ejemplo, tú puedes pedir los datos tuyos que hay en Youtube y es absurdo. Ese ejercicio yo lo hice hace unos años en la maestría y ese día desactivé la recolección de datos de Google, porque te dice todos los videos que has visto, cuándo los viste, cuánto tiempo los viste, y entonces tú puedes sacar tus propios datos y luego graficarlos y decir “ah, yo no me acuerdo que antes escuchaba mucho a este artista” o que “antes veía mucho esto”, pero Google lo sabe por mí. Y son todos esos datos que como humanos se nos olvida, pero no quieres que un tercero tenga acceso a tantas cosas, más cosas de las que tu cerebro se acuerda.
Por ejemplo, en Starbucks, saben todas las veces que has ido y lo que has pedido. Los de tu tarjeta de crédito saben todas las veces que has gastado dinero y dónde. Los del transporte público saben cada vez que has usado ese transporte, en qué ruta, a dónde, y en qué horario. Y si esos tres juntaran esos datos, alguien tendría una imagen muy precisa de todo lo que haces y todo lo que has hecho. Cosas que para ti sería imposible. Como “¿te acuerdas que tal día fuiste a tal lugar?”, “No, no me acuerdo”, “No, te estoy informando que tal día fuiste a tal lugar, hace 15 años a las 3 de la tarde, tomaste un bus en tal lugar.”. Entonces no quieres que alguien tenga acceso a eso.
Laura: Sí, hay muchos motivos. Otro ejemplo sería una suplantación, o que usen eso para anunciarte ciertas cosas, o tratar de manipularte. Se puede volver distópico el asunto.
Manuel: Correcto.
Susana: Pues estaremos entonces mucho más atentas. Muchas gracias, Manuel por habernos enseñado tantas cosas.
Manuel: Con mucho gusto, de nuevo gracias por la invitación. Yo, feliz de ayudar.
Laura: Sí, muchísimas gracias. Ya vemos que hay mucha tela por cortar entre la ciberseguridad y el UX, hay mucho potencial de hacer excelentes alianzas. Te deseamos a ti y a todos un feliz Día de la Protección de Datos, y te esperamos en una siguiente ocasión.
¿Qué aprendimos?
La ciberseguridad requiere la cooperación de muchos tipos de usuarios, así que los principios de UX (como entender las necesidades de nuestro cliente y cómo usa nuestras herramientas en su día a día) son de gran utilidad para cualquier persona que trabaje en la Protección de Datos. También las personas trabajando en el diseño de servicios y experiencias podemos ser un gran apoyo a nuestros usuarios, siendo más cuidadosos con la forma en la que protegemos sus datos. Al final, todos queremos lo mejor para nuestros clientes, es decir, no somos tan enemigos como podría parecer inicialmente, porque la seguridad en realidad es tarea de todos. Es la historia de un maridaje perfecto entre dos disciplinas que tienen mucho que aprender entre sí.