Si quieres cambiar los hábitos de seguridad de tus empleados no apeles a su voluntad, cambia su entorno

Gonzalo Álvarez de Marañón  19 febrero, 2019
Si quieres cambiar los hábitos de seguridad de tus empleados no apeles a su voluntad, cambia su entorno
Estás en una cafetería, necesitas conectar tu smartphone a una WiFi, miras tu pantalla y ves estas opciones, supón que conoces o puedes pedir la contraseña en caso de que se te exigiera una. ¿Qué WiFi elegirías?

Listado redes WiFi imagen

Dependiendo de tu nivel de concienciación en seguridad, irías a por la primera: mi38, que parece tener la mejor cobertura, o a por v29o, que no está mal de cobertura, pero es segura y pide contraseña. Imagina que estás en la misma cafetería, pero en la pantalla de tu smartphone aparece esta nueva pantalla de listado de redes WiFi disponibles. ¿Cuál elegirías ahora?


Listado redes WiFi 2 imagen
Tengas o no conciencia elevada en materia de seguridad, apostaría a que seleccionas 3gk6. ¿Qué ha cambiado? Son las mismas redes WiFi, pero presentadas de forma diferente. Sin que seas ni siquiera consciente, esta presentación habrá influido en tu decisión. ¡Bienvenido al poder de los “empujoncitos”!
Esos pequeños “empujoncitos” que influyen en tus decisiones sin que te des cuenta de que están ahí

En 2008 Richard Thaler y Cass Sunstein publicaron Un pequeño empujón: El impulso que necesitas para tomar mejores decisiones sobre salud, dinero y felicidad, un libro que ayudó a popularizar la “teoría del empujón” (nudge) y el concepto de “arquitectura de la elección“. En este libro los autores proponen que diseñando cuidadosamente las opciones que se muestran al público y de qué manera se presentan o enmarcan se influirá sutilmente en la decisión tomada, sin restringir la libertad de elección.

Según los autores, un empujoncito (nudge) es: “cualquier aspecto de la arquitectura de elección que altera el comportamiento de las personas de una manera predecible sin prohibir ninguna opción o cambiar significativamente sus incentivos económicos.”

En este libro se mencionan docenas de casos de éxito de “empujoncitos” y de arquitecturas de la elección: pegatinas con forma de mosca en urinarios que consiguen que los hombres apunten bien y manchen menos; frutas y verduras colocadas al principio del lineal de un self-service que consiguen que los usuarios coman más de estos productos que si están al final; paneles en la carretera que por el mero hecho de mostrar la velocidad de los vehículos que se aproximan consiguen una reducción de su velocidad; formularios mostrando como predeterminada la opción de ser donante de órganos al morir que consiguen diferencias abismales en el número de donantes entre unos países y otros; y un larguísimo etcétera. La lectura del libro es muy entretenida e ilustrativa.

Como ya vimos en artículos pasados de esta serie, nuestra racionalidad está limitada y nuestras decisiones están sometidas sistemáticamente a sesgos y heurísticas que producen resultados indeseados en ciertas situaciones complejas. Los “empujoncitos” se apoyan en el marco teórico del sistema dual de los dos sistemas cognitivos: Sistema I y Sistema II. Lo que caracteriza a estos “empujoncitos” es el hecho de que explotan nuestra irracionalidad.

Con los años, el concepto de empujoncito se ha ido refinando y han aparecido nuevas definiciones. Una particularmente útil es la del experto en ciencia de la conducta P. G. Hansen: “un empujoncito es una función de (1) cualquier intento de influir en el juicio, la elección o el comportamiento de las personas de una manera predecible, que es (2) posible debido a límites cognitivos, sesgos, rutinas y hábitos en la toma de decisiones individuales y sociales que representan barreras para que las personas se desempeñen racionalmente en sus propios intereses autodeclarados y que (3) funcione haciendo uso de esos límites, sesgos, rutinas y hábitos como parte integral de tales intentos”.

Esta definición sugiere las siguientes características de los “empujoncitos”:

  • Producen resultados predecibles: influyen en una dirección predecible.
  • Combaten la irracionalidad: intervienen cuando las personas no actúan racionalmente en su propio interés debido a sus límites cognitivos, sesgos, rutinas y hábitos.
  • Explotan la irracionalidad: explotan los límites cognitivos, las heurísticas, las rutinas y los hábitos de las personas para influir en un comportamiento mejor.

Volvamos al ejemplo del principio del artículo sobre las WiFi. Atendiendo a la definición de Hansen, observamos cómo la segunda forma de presentar la lista de redes afecta de la siguiente manera:

  • Produce resultados predecibles: más usuarios viran hacia las elecciones más seguras.
  • Combate la irracionalidad: combate el impulso irreflexivo de conexión, que puede verse satisfecho por la primera WiFi con buena potencia que aparece listada, sin importar si está abierta o cerrada.
  • Explota esa misma irracionalidad: juzgamos como más seguro lo que está en color verde que en rojo, favorecemos las primeras opciones de una lista frente a las últimas, hacemos más caso a pistas visuales (candados) que a textuales, primamos la (supuesta) velocidad frente a la seguridad, etc.

Y todo ello mostrando las mismas redes sin prohibir ninguna opción ni cambiar los incentivos económicos de los usuarios. Es decir, se están aprovechando todos estos sesgos para mostrar la opción preferible en primer lugar en la lista, de color verde, con un candado además de texto y jerarquizando, además de por seguridad como primer criterio, también por la velocidad de conexión como segundo criterio. En definitiva, se analizan los sesgos y se diseña un pequeño empujón que los explote, respetando la libertad de elección.

Varios trabajos de investigación reprodujeron este experimento de las redes WiFi , logrando modificar con éxito la conducta de los usuarios hacia elecciones más seguras. En todos los casos, los estudios llegaron a conclusiones similares:

  • Los “empujoncitos” bien diseñados tienen el poder de influir en la decisión.
  • Esta capacidad para modificar la conducta es mayor cuanto más probable sea que el usuario exhiba conductas inseguras.
  • El poder de alterar la conducta aumenta si se combinan varios tipos de “empujoncitos”, apelando al Sistema I y II.
Cómo influir en el comportamiento de seguridad de tus empleados

Cada día las personas de tu organización están enfrentándose a decisiones de seguridad de lo más variopintas además de la selección de una WiFi segura:

  • Si descargo e instalo esta app, ¿será un riesgo para mi seguridad?
  • Si introduzco este USB en el portátil, ¿será un vector de entrada para un virus?
  • Si creo esta contraseña corta y fácil de recordar, ¿estaré invitando a que me la crackeen?

Precisamente para eso están las políticas de seguridad: para guiar el comportamiento de los usuarios, forzándoles a actuar de la manera más segura posible dentro del contexto y objetivos de seguridad de la organización. Pero ¿existen otras alternativas? ¿Es posible guiar las decisiones de seguridad de la población respetando su autonomía sin restringir las opciones? En otras palabras, ¿se puede conseguir que actúen de forma segura, sin que sean conscientes de que se les está influyendo ni sientan coartada su libertad?

Según el profesor experto en ciber leyes R. Calo existen tres tipos de intervención conductual:

    1. Códigos: implican una manipulación del entorno que hace que el comportamiento indeseable (inseguro) sea (casi) imposible. Por ejemplo, si quieres que los usuarios de tu sistema creen contraseñas seguras, puedes rechazar cualquier contraseña propuesta que no cumpla con la política de seguridad de contraseñas: “12 o más caracteres con mezcla de alfanuméricos y especiales distinguiendo mayúsculas y minúsculas y no repetida en las últimas 12 ocasiones”. El usuario no tiene otro remedio que pasar por el aro o no podrá iniciar sesión en el sistema. En general, todas las directivas de seguridad que no dejan opción entran dentro de esta categoría: bloquear los puertos USB para impedir conectar dispositivos potencialmente peligrosos; bloquear la instalación de software; restringir a una lista blanca los sitios a los que se puede conectar; limitar el tamaño de los adjuntos que se envían por email; y un larguísimo etcétera, contemplado típicamente en las políticas de seguridad de la organización. Los códigos resultan muy eficaces a la hora de modificar la conducta, pero no dejan elección ni explotan la racionalidad limitada, por lo que no pueden considerarse como “empujoncitos”. De hecho, muchas de estas medidas resultan impopulares entre los usuarios y pueden conducir a la búsqueda de rodeos que traicionan completamente su propósito, como por ejemplo escribir las contraseñas complejas en una nota adhesiva pegada al monitor: se protege frente a ataques remotos y, en contrapartida, se facilitan e incluso fomentan los ataques internos.
    1. “Empujoncitos”: estos sí, explotan los sesgos cognitivos y las heurísticas para influir a los usuarios hacia conductas más sabias (seguras). Por ejemplo, volviendo a las contraseñas, si quieres que los usuarios de tu sistema las creen más seguras según las directrices de tu política de seguridad mencionada anteriormente, puedes añadir un medidor de la fortaleza de la contraseña. Los usuarios sienten la necesidad de conseguir una contraseña fuerte y es más probable que sigan añadiendo caracteres y complicándola hasta que el resultado sea un flamante “contraseña robusta” en color verde. A pesar de que el sistema no prohíbe las contraseñas débiles, respetando así la autonomía de los usuarios, este sencillo empujoncito eleva drásticamente la complejidad de las contraseñas creadas.
Complejidad contraseñas imagen
  1. Notificaciones: son intervenciones puramente informativas dirigidas a provocar la reflexión. Por ejemplo, el formulario de introducción de nuevas contraseñas puede incluir un mensaje informando de las características esperadas en las contraseñas y de la importancia de las contraseñas robustas para prevenir ataques, etc. Por desgracia, los mensajes informativos resultan muy ineficaces ya que los usuarios tienden a ignorarlos y a menudo ni siquiera les resultan inteligibles. Estas notificaciones tampoco pueden considerarse como “empujoncitos”, puesto que no explotan sesgos ni límites cognitivos. No obstante, puede incrementarse notablemente su eficacia si se combinan con un pequeño empujón: por ejemplo, incluir el mensaje y el medidor de fortaleza en la misma página de creación de contraseñas. Lo que buscan estos “empujoncitos” híbridos es apelar al Sistema I, rápido y automático, y apelar con los mensajes informativos al Sistema II, lento y reflexivo.
Por consiguiente, para asegurar el éxito de una intervención conductual será deseable que apele a ambos tipos de procesamiento.
Los “empujoncitos” más efectivos en seguridad de la información
Los “empujoncitos” híbridos resultan ser los más efectivos, combinando información que invita a la reflexión junto con algún truco cognitivo que explote sesgos o heurísticas:
  • Opciones predeterminadas: ofrece más de una opción, pero asegurándote siempre de que la opción predeterminada sea la más segura. Aunque permitas al usuario seleccionar otra opción si así lo desea, la mayoría no lo hará.
  • Información (subliminal): una página de creación de contraseñas induce contraseñas más robustas si aparecen imágenes de hackers, o simplemente de ojos, o incluso si se cambia el texto. Por ejemplo: “introduce tu contraseña” por “introduce tu secreto”.
  • Dianas: presenta un objetivo al usuario: por ejemplo, un medidor de fortaleza, un medidor de porcentaje completado, una barra de progreso, etc. Se esforzarán por completar la tarea. Esta intervención puede categorizarse también como feedback.
  • Feedback: proporciona información al usuario para que comprenda si cada acción está teniendo el resultado esperado mientras se está ejecutando una tarea. Por ejemplo, informar del grado de seguridad alcanzado durante la configuración de una aplicación o servicio, o bien informar del nivel de riesgo de una acción antes de apretar el botón “enviar”. Eso sí, el lenguaje debe adaptarse cuidadosamente al nivel de conocimientos del destinatario. Por ejemplo, en este estudio, el uso de metáforas conocidas como “cerrojos” y “ladrones” hizo que los usuarios entendieran mejor la información y tomaran mejores decisiones. En este otro estudio, los investigadores comprobaron cómo informar periódicamente a usuarios de Android sobre el uso de permisos que hacían las apps instaladas conseguía que revisaran los permisos concedidos. En esta otra investigación de ejemplo, los mismos investigadores informaban a los usuarios del uso que se hacía de su ubicación, lo que condujo a que restringieran el acceso que las apps hacían de su localización. En otro experimento, informar de cuánta gente puede ver tu post en redes sociales condujo a que muchos usuarios borraran el post para evitar el arrepentimiento.
  • Comportamiento normativo: muestra el lugar que ocupa cada usuario en relación con la media de los usuarios. A nadie le gusta quedarse atrás, todo el mundo quiere estar por encima de la media. Por ejemplo, tras la selección de una contraseña, el mensaje “el 87% de tus compañeros han creado una contraseña robusta” consigue que usuarios que crearon una débil recapaciten y creen una más segura.
  • Orden: presenta la opción más segura al principio de la lista. Tendemos a seleccionar lo primero que nos ofrecen.
  • Convenciones: usa convenciones pictográficas: el color verde indica «seguro», el color rojo indica «peligro». Un candado representa seguridad, y así sucesivamente.
  • Prominencia: destacar las opciones seguras atrae la atención sobre ellas y facilita su selección. Cuanto más visible sea la opción más segura, mayor será la probabilidad de que la seleccionen.
  • Marcos: se puede presentar el resultado de una acción como obtener una ganancia o como evitar una pérdida. La aversión a la pérdida suele resultar un impulso más poderoso.

Implicaciones éticas de los “empujoncitos”
Como puedes imaginar, este asunto de los “empujoncitos” no está exento de implicaciones éticas, ya que estás creando intervenciones para influir en la conducta explotando agujeros en los procesos cognitivos de los usuarios. En resumen, podría decirse que estás hackeando su cerebro.

Las investigadoras K. Renaud y V. Zimmermann han publicado un completo trabajo en el que exploran las ramificaciones éticas de los “empujoncitos” en su sentido más amplio en el que proponen una serie de principios generales para crear “empujoncitos” éticos. Así que antes de lanzarte a diseñar tus propios “empujoncitos” para tu organización, te recomiendo reflexionar en profundidad sobre estos cinco principios éticos:

  1. Autonomía: el usuario final debería ser libre de elegir cualquiera de las opciones ofrecidas, con independencia de la dirección hacia la que le dirija el empujoncito. En términos generales, ninguna opción será prohibida o eliminada del entorno. Si se requiere restringir las opciones por motivos de seguridad, se considera necesario añadir una explicación.
  2. Beneficio: el empujoncito solamente debería desplegarse cuando proporciona un beneficio claro y la intervención está plenamente justificada.
  3. Justicia: debería poder beneficiarse el máximo número posible de individuos, no solo el creador del empujoncito.
  4. Responsabilidad social: deben considerarse los resultados anticipados y los no anticipados del empujoncito. Deberían contemplarse siempre “empujoncitos” pro-sociales que avancen el bien común.
  5. Integridad: los “empujoncitos” deben diseñarse con un respaldo científico, en la medida de lo posible.
Usa los “empujoncitos” para el bien

Los “empujoncitos” están usándose cada vez más en ciberseguridad con el objetivo de influir en las personas para que elijan la opción que el diseñador del empujón considere mejor o más segura. Se están explorando nuevas arquitecturas de la elección como un medio para diseñar mejores entornos de toma de decisiones de seguridad, sin necesidad de recurrir a políticas restrictivas ni limitar opciones. Si bien el diseño neutral es una falacia, sé cauto y ético al diseñar “empujoncitos” en tu organización: que ayuden a los usuarios a vencer aquellos sesgos y heurísticas que ponen en peligro sus decisiones sobre privacidad y seguridad.

Empuja tu organización hacia una mayor seguridad respetando la libertad de las personas.

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *