Esta semana hemos visto varios ejemplos de una tendencia cada vez más marcada: egregios fallos de seguridad informática que no se deben a errores del programa o de la máquina, sino a tremendos fracasos del usuario. Hace unos días supimos que una app para compartir los datos de actividades deportivas llamada Strava permite a cualquiera analizar en detalle la localización y estructura de bases militares e incluso recintos de alta seguridad. Y ayer mismo un 'descuido' de un político catalán permitió a una televisión hacer públicos mensajes delicados enviados a través de un programa de mensajería considerado eminentemente seguro. En ambos casos el problema no está en la tecnología, sino en el usuario; en ambos casos el fracaso se ha debido a errores de uso que han provocado un desastre sin que la mecánica interna del software haya resultado afectada. El problema es que en tiempos digitales la seguridad de la información no es un asunto de programas o de cifrado, sino de mentalidad del usuario. Si queremos estar seguros, tendremos que trabajar.

Ningún programa de alto cifrado puede proteger unos mensajes si se captura la pantalla del dispositivo que los ha descodificado. Ningún sistema de protección de información puede evitar que aparezcan los mapas de bases secretas en zonas de guerra si las preferencias de carga de datos del sistema están mal puestas. Para garantizar la seguridad de la información en la era digital hace falta un sistema completo que cubra el ciclo completo de la comunicación, y en esa cadena el eslabón más débil nunca es la tecnología, por más que las películas mitifiquen al hacker capaz de romper cualquier tipo de encriptación desde su ordenador casi mágico. En el cine y la televisión el acceso no autorizado a redes informáticas siempre tiene que ver con complejas navegaciones en programas superavanzados, con matemáticas sofisticadas y software al alcance solo de unos pocos. En la ficción, romper la seguridad informática es siempre un trabajo de altísima tecnología que únicamente pueden llevar a cabo programadores excelsos.

De hecho, buena parte del trabajo de quien se dedica a interceptar comunicaciones tiene mucho más que ver con la denominada 'ingeniería social' que con sofisticados análisis matemáticos y complejos algoritmos de desencriptación. Es sencillamente más fácil hacerse pasar por 'alguien de sistemas' para obtener la contraseña de un trabajador o introducir un programa en una memoria USB dejada caer en el baño o el aparcamiento que atacar de forma directa las defensas informáticas: buena parte de los test para evaluar sistemas de defensa tienen que ver con la formación de los empleados y su forma de enfrentarse a este tipo de problemas. Legendarios crackers como Kevin Mitnick eran tan duchos en el arte de sonsacar datos como en el de programar agujeros de seguridad, e históricamente muchas de las grandes hazañas en el campo de la invasión de sistemas ajenos se han realizado mediante ingeniería social. La gente lista siempre ataca el eslabón más débil, que es siempre el usuario.

Ningún programa de alta seguridad puede salvarnos de alguien que lee nuestros mensajes por encima del hombro. Ninguna barrera será útil si usamos una contraseña inane como '12345' o 'contraseña'. Los programas no pueden garantizar nuestra seguridad si nosotros cometemos errores al utilizarlos, y esta es una realidad ubicua en la era digital: no hay cerrojo que valga si nos olvidamos de echar la llave. Esto significa que a partir de ahora si queremos proteger nuestros datos habrá que trabajar: usar contraseñas potentes, tener cuidado cuando abramos mensajes, desconfiar y no dar nuestra contraseña a cualquiera, conocer y controlar nuestros niveles de privacidad en redes sociales, etc. Si queremos seguridad de nuestra información, habrá que trabajársela. La alternativa es carecer por completo de ella.