Si quieres cambiar los hábitos de seguridad de tus empleados no apeles a su voluntad, cambia su entornoGonzalo Álvarez Marañón 19 febrero, 2019 Estás en una cafetería, necesitas conectar tu smartphone a una WiFi, miras tu pantalla y ves estas opciones, supón que conoces o puedes pedir la contraseña en caso de que se te exigiera una. ¿Qué WiFi elegirías? Dependiendo de tu nivel de concienciación en seguridad, irías a por la primera: mi38, que parece tener la mejor cobertura, o a por v29o, que no está mal de cobertura, pero es segura y pide contraseña. Imagina que estás en la misma cafetería, pero en la pantalla de tu smartphone aparece esta nueva pantalla de listado de redes WiFi disponibles. ¿Cuál elegirías ahora? Tengas o no conciencia elevada en materia de seguridad, apostaría a que seleccionas 3gk6. ¿Qué ha cambiado? Son las mismas redes WiFi, pero presentadas de forma diferente. Sin que seas ni siquiera consciente, esta presentación habrá influido en tu decisión. ¡Bienvenido al poder de los «empujoncitos»! Esos pequeños «empujoncitos» que influyen en tus decisiones sin que te des cuenta de que están ahí En 2008 Richard Thaler y Cass Sunstein publicaron Un pequeño empujón: El impulso que necesitas para tomar mejores decisiones sobre salud, dinero y felicidad, un libro que ayudó a popularizar la «teoría del empujón» (nudge) y el concepto de «arquitectura de la elección«. En este libro los autores proponen que diseñando cuidadosamente las opciones que se muestran al público y de qué manera se presentan o enmarcan se influirá sutilmente en la decisión tomada, sin restringir la libertad de elección. Según los autores, un empujoncito (nudge) es: «cualquier aspecto de la arquitectura de elección que altera el comportamiento de las personas de una manera predecible sin prohibir ninguna opción o cambiar significativamente sus incentivos económicos.» En este libro se mencionan docenas de casos de éxito de «empujoncitos» y de arquitecturas de la elección: pegatinas con forma de mosca en urinarios que consiguen que los hombres apunten bien y manchen menos; frutas y verduras colocadas al principio del lineal de un self-service que consiguen que los usuarios coman más de estos productos que si están al final; paneles en la carretera que por el mero hecho de mostrar la velocidad de los vehículos que se aproximan consiguen una reducción de su velocidad; formularios mostrando como predeterminada la opción de ser donante de órganos al morir que consiguen diferencias abismales en el número de donantes entre unos países y otros; y un larguísimo etcétera. La lectura del libro es muy entretenida e ilustrativa. Como ya vimos en artículos pasados de esta serie, nuestra racionalidad está limitada y nuestras decisiones están sometidas sistemáticamente a sesgos y heurísticas que producen resultados indeseados en ciertas situaciones complejas. Los «empujoncitos» se apoyan en el marco teórico del sistema dual de los dos sistemas cognitivos: Sistema I y Sistema II. Lo que caracteriza a estos «empujoncitos» es el hecho de que explotan nuestra irracionalidad. Con los años, el concepto de empujoncito se ha ido refinando y han aparecido nuevas definiciones. Una particularmente útil es la del experto en ciencia de la conducta P. G. Hansen: «un empujoncito es una función de (1) cualquier intento de influir en el juicio, la elección o el comportamiento de las personas de una manera predecible, que es (2) posible debido a límites cognitivos, sesgos, rutinas y hábitos en la toma de decisiones individuales y sociales que representan barreras para que las personas se desempeñen racionalmente en sus propios intereses autodeclarados y que (3) funcione haciendo uso de esos límites, sesgos, rutinas y hábitos como parte integral de tales intentos». Esta definición sugiere las siguientes características de los «empujoncitos»: Producen resultados predecibles: influyen en una dirección predecible.Combaten la irracionalidad: intervienen cuando las personas no actúan racionalmente en su propio interés debido a sus límites cognitivos, sesgos, rutinas y hábitos.Explotan la irracionalidad: explotan los límites cognitivos, las heurísticas, las rutinas y los hábitos de las personas para influir en un comportamiento mejor. Volvamos al ejemplo del principio del artículo sobre las WiFi. Atendiendo a la definición de Hansen, observamos cómo la segunda forma de presentar la lista de redes afecta de la siguiente manera: Produce resultados predecibles: más usuarios viran hacia las elecciones más seguras.Combate la irracionalidad: combate el impulso irreflexivo de conexión, que puede verse satisfecho por la primera WiFi con buena potencia que aparece listada, sin importar si está abierta o cerrada.Explota esa misma irracionalidad: juzgamos como más seguro lo que está en color verde que en rojo, favorecemos las primeras opciones de una lista frente a las últimas, hacemos más caso a pistas visuales (candados) que a textuales, primamos la (supuesta) velocidad frente a la seguridad, etc. Y todo ello mostrando las mismas redes sin prohibir ninguna opción ni cambiar los incentivos económicos de los usuarios. Es decir, se están aprovechando todos estos sesgos para mostrar la opción preferible en primer lugar en la lista, de color verde, con un candado además de texto y jerarquizando, además de por seguridad como primer criterio, también por la velocidad de conexión como segundo criterio. En definitiva, se analizan los sesgos y se diseña un pequeño empujón que los explote, respetando la libertad de elección. Varios trabajos de investigación reprodujeron este experimento de las redes WiFi , logrando modificar con éxito la conducta de los usuarios hacia elecciones más seguras. En todos los casos, los estudios llegaron a conclusiones similares: Los «empujoncitos» bien diseñados tienen el poder de influir en la decisión.Esta capacidad para modificar la conducta es mayor cuanto más probable sea que el usuario exhiba conductas inseguras.El poder de alterar la conducta aumenta si se combinan varios tipos de «empujoncitos», apelando al Sistema I y II. Cómo influir en el comportamiento de seguridad de tus empleados Cada día las personas de tu organización están enfrentándose a decisiones de seguridad de lo más variopintas además de la selección de una WiFi segura: Si descargo e instalo esta app, ¿será un riesgo para mi seguridad?Si introduzco este USB en el portátil, ¿será un vector de entrada para un virus?Si creo esta contraseña corta y fácil de recordar, ¿estaré invitando a que me la crackeen? Precisamente para eso están las políticas de seguridad: para guiar el comportamiento de los usuarios, forzándoles a actuar de la manera más segura posible dentro del contexto y objetivos de seguridad de la organización. Pero ¿existen otras alternativas? ¿Es posible guiar las decisiones de seguridad de la población respetando su autonomía sin restringir las opciones? En otras palabras, ¿se puede conseguir que actúen de forma segura, sin que sean conscientes de que se les está influyendo ni sientan coartada su libertad? Según el profesor experto en ciber leyes R. Calo existen tres tipos de intervención conductual: 1.Códigos: implican una manipulación del entorno que hace que el comportamiento indeseable (inseguro) sea (casi) imposible. Por ejemplo, si quieres que los usuarios de tu sistema creen contraseñas seguras, puedes rechazar cualquier contraseña propuesta que no cumpla con la política de seguridad de contraseñas: «12 o más caracteres con mezcla de alfanuméricos y especiales distinguiendo mayúsculas y minúsculas y no repetida en las últimas 12 ocasiones». El usuario no tiene otro remedio que pasar por el aro o no podrá iniciar sesión en el sistema. En general, todas las directivas de seguridad que no dejan opción entran dentro de esta categoría: bloquear los puertos USB para impedir conectar dispositivos potencialmente peligrosos; bloquear la instalación de software; restringir a una lista blanca los sitios a los que se puede conectar; limitar el tamaño de los adjuntos que se envían por email; y un larguísimo etcétera, contemplado típicamente en las políticas de seguridad de la organización. Los códigos resultan muy eficaces a la hora de modificar la conducta, pero no dejan elección ni explotan la racionalidad limitada, por lo que no pueden considerarse como «empujoncitos». De hecho, muchas de estas medidas resultan impopulares entre los usuarios y pueden conducir a la búsqueda de rodeos que traicionan completamente su propósito, como por ejemplo escribir las contraseñas complejas en una nota adhesiva pegada al monitor: se protege frente a ataques remotos y, en contrapartida, se facilitan e incluso fomentan los ataques internos. 2.»Empujoncitos»: estos sí, explotan los sesgos cognitivos y las heurísticas para influir a los usuarios hacia conductas más sabias (seguras). Por ejemplo, volviendo a las contraseñas, si quieres que los usuarios de tu sistema las creen más seguras según las directrices de tu política de seguridad mencionada anteriormente, puedes añadir un medidor de la fortaleza de la contraseña. Los usuarios sienten la necesidad de conseguir una contraseña fuerte y es más probable que sigan añadiendo caracteres y complicándola hasta que el resultado sea un flamante «contraseña robusta» en color verde. A pesar de que el sistema no prohíbe las contraseñas débiles, respetando así la autonomía de los usuarios, este sencillo empujoncito eleva drásticamente la complejidad de las contraseñas creadas. 3.Notificaciones: son intervenciones puramente informativas dirigidas a provocar la reflexión. Por ejemplo, el formulario de introducción de nuevas contraseñas puede incluir un mensaje informando de las características esperadas en las contraseñas y de la importancia de las contraseñas robustas para prevenir ataques, etc. Por desgracia, los mensajes informativos resultan muy ineficaces ya que los usuarios tienden a ignorarlos y a menudo ni siquiera les resultan inteligibles. Estas notificaciones tampoco pueden considerarse como «empujoncitos», puesto que no explotan sesgos ni límites cognitivos. No obstante, puede incrementarse notablemente su eficacia si se combinan con un pequeño empujón: por ejemplo, incluir el mensaje y el medidor de fortaleza en la misma página de creación de contraseñas. Lo que buscan estos «empujoncitos» híbridos es apelar al Sistema I, rápido y automático, y apelar con los mensajes informativos al Sistema II, lento y reflexivo. Por consiguiente, para asegurar el éxito de una intervención conductual será deseable que apele a ambos tipos de procesamiento. Los «empujoncitos» más efectivos en seguridad de la información Los «empujoncitos» híbridos resultan ser los más efectivos, combinando información que invita a la reflexión junto con algún truco cognitivo que explote sesgos o heurísticas: Opciones predeterminadas: ofrece más de una opción, pero asegurándote siempre de que la opción predeterminada sea la más segura. Aunque permitas al usuario seleccionar otra opción si así lo desea, la mayoría no lo hará.Información (subliminal):una página de creación de contraseñas induce contraseñas más robustas si aparecen imágenes de hackers, o simplemente de ojos, o incluso si se cambia el texto. Por ejemplo: “introduce tu contraseña” por «introduce tu secreto».Dianas: presenta un objetivo al usuario: por ejemplo, un medidor de fortaleza, un medidor de porcentaje completado, una barra de progreso, etc. Se esforzarán por completar la tarea. Esta intervención puede categorizarse también como feedback.Feedback: proporciona información al usuario para que comprenda si cada acción está teniendo el resultado esperado mientras se está ejecutando una tarea. Por ejemplo, informar del grado de seguridad alcanzado durante la configuración de una aplicación o servicio, o bien informar del nivel de riesgo de una acción antes de apretar el botón «enviar». Eso sí, el lenguaje debe adaptarse cuidadosamente al nivel de conocimientos del destinatario. Por ejemplo, en este estudio, el uso de metáforas conocidas como «cerrojos» y «ladrones» hizo que los usuarios entendieran mejor la información y tomaran mejores decisiones. En este otro estudio, los investigadores comprobaron cómo informar periódicamente a usuarios de Android sobre el uso de permisos que hacían las apps instaladas conseguía que revisaran los permisos concedidos. En esta otra investigación de ejemplo, los mismos investigadores informaban a los usuarios del uso que se hacía de su ubicación, lo que condujo a que restringieran el acceso que las apps hacían de su localización. En otro experimento, informar de cuánta gente puede ver tu post en redes sociales condujo a que muchos usuarios borraran el post para evitar el arrepentimiento.Comportamiento normativo: muestra el lugar que ocupa cada usuario en relación con la media de los usuarios. A nadie le gusta quedarse atrás, todo el mundo quiere estar por encima de la media. Por ejemplo, tras la selección de una contraseña, el mensaje «el 87% de tus compañeros han creado una contraseña robusta» consigue que usuarios que crearon una débil recapaciten y creen una más segura.Orden: presenta la opción más segura al principio de la lista. Tendemos a seleccionar lo primero que nos ofrecen.Convenciones: usa convenciones pictográficas: el color verde indica «seguro», el color rojo indica «peligro». Un candado representa seguridad, y así sucesivamente.Prominencia: destacar las opciones seguras atrae la atención sobre ellas y facilita su selección. Cuanto más visible sea la opción más segura, mayor será la probabilidad de que la seleccionen.Marcos: se puede presentar el resultado de una acción como obtener una ganancia o como evitar una pérdida. La aversión a la pérdida suele resultar un impulso más poderoso. Implicaciones éticas de los «empujoncitos» Como puedes imaginar, este asunto de los «empujoncitos» no está exento de implicaciones éticas, ya que estás creando intervenciones para influir en la conducta explotando agujeros en los procesos cognitivos de los usuarios. En resumen, podría decirse que estás hackeando su cerebro. Las investigadoras K. Renaud y V. Zimmermann han publicado un completo trabajo en el que exploran las ramificaciones éticas de los «empujoncitos» en su sentido más amplio en el que proponen una serie de principios generales para crear «empujoncitos» éticos. Así que antes de lanzarte a diseñar tus propios «empujoncitos» para tu organización, te recomiendo reflexionar en profundidad sobre estos cinco principios éticos: Autonomía: el usuario final debería ser libre de elegir cualquiera de las opciones ofrecidas, con independencia de la dirección hacia la que le dirija el empujoncito. En términos generales, ninguna opción será prohibida o eliminada del entorno. Si se requiere restringir las opciones por motivos de seguridad, se considera necesario añadir una explicación.Beneficio: el empujoncito solamente debería desplegarse cuando proporciona un beneficio claro y la intervención está plenamente justificada.Justicia: debería poder beneficiarse el máximo número posible de individuos, no solo el creador del empujoncito.Responsabilidad social: deben considerarse los resultados anticipados y los no anticipados del empujoncito. Deberían contemplarse siempre «empujoncitos» pro-sociales que avancen el bien común.Integridad: los «empujoncitos» deben diseñarse con un respaldo científico, en la medida de lo posible. Usa los «empujoncitos» para el bien Los «empujoncitos» están usándose cada vez más en ciberseguridad con el objetivo de influir en las personas para que elijan la opción que el diseñador del empujón considere mejor o más segura. Se están explorando nuevas arquitecturas de la elección como un medio para diseñar mejores entornos de toma de decisiones de seguridad, sin necesidad de recurrir a políticas restrictivas ni limitar opciones. Si bien el diseño neutral es una falacia, sé cauto y ético al diseñar «empujoncitos» en tu organización: que ayuden a los usuarios a vencer aquellos sesgos y heurísticas que ponen en peligro sus decisiones sobre privacidad y seguridad. Empuja tu organización hacia una mayor seguridad respetando la libertad de las personas. ElevenPaths crea un addon para que Firefox sea compatible con Certificate Transparency (porque Firefox sigue sin hacerlo)Cómo bloquear la nueva ola del malware Emotet escondida en formato XML (y cómo funciona)
Gonzalo Álvarez Marañón El gran reto de la computación segura en la nube: usando datos cifrados sin descifrarlos (II) La nube plantea grandes retos de seguridad. El más importante tal vez sea garantizar la privacidad de los datos. Es de cultura general que cifrando los datos antes de...
Gonzalo Álvarez Marañón El gran reto de la computación segura en la nube: usando datos cifrados sin descifrarlos (I) Tomás dirige una asesoría fiscal y lleva la contabilidad de docenas de clientes. Almacena toda la información de sus clientes en la nube, de esta manera, se olvida de...
Gonzalo Álvarez Marañón Tus sentimientos influyen en tu percepción del riesgo y del beneficio más de lo que crees «La seguridad es tanto un sentimiento como una realidad.» —Bruce Schneier Daniel Gardner abre su libro The Science of Fear con la estremecedora historia de los atentados del 11S en EEUU: «Y así,...
Gonzalo Álvarez Marañón Por qué entregas tarde tus proyectos y qué puedes hacer para remediarlo «Cualquier persona que cause daño al pronosticar debe ser tratada como un tonto o como un mentiroso. Algunos pronosticadores causan más daño a la sociedad que los criminales.» —Nassim Taleb,...
Gonzalo Álvarez Marañón Cómo predecir el futuro y reducir la incertidumbre gracias a la inferencia bayesiana (II) En la primera parte de este artículo explicamos cómo funciona la inferencia bayesiana. En palabras de Norman Fenton, autor de Risk Assessment and Decision Analysis with Bayesian Networks: «El teorema...
Gonzalo Álvarez Marañón Cómo predecir el futuro y reducir la incertidumbre gracias a la inferencia bayesiana (I) En este post te enseñamos a predecir el futuro utilizando la inferencia bayesiana con un interesante ejemplo. ¡No te lo pierdas!
Gonzalo Álvarez Marañón La falacia de la tasa base o por qué los antivirus, filtros antispam y sondas de detección funcionan peor de lo que prometen La tasa de detección de los antivirus puede no ser tan alta como parece...Descubre más sobre la falacia de la tasa base en este post.
Gonzalo Álvarez Marañón En busca del phishing perfecto capaz de engañarte incluso a ti Lanzas al aire una moneda (sin trucar) seis veces seguidas: ¿cuál de las tres secuencias siguientes crees que es más probable, representando «cara» con un 1 y «cruz» con...
Gonzalo Álvarez Marañón Si quieres cambiar los hábitos de seguridad de tus empleados no apeles a su voluntad, cambia su entorno Estás en una cafetería, necesitas conectar tu smartphone a una WiFi, miras tu pantalla y ves estas opciones, supón que conoces o puedes pedir la contraseña en caso de...
Gonzalo Álvarez Marañón No confundas la frecuencia de un incidente con la facilidad con que lo recuerdas Imagina que ha habido un par de robos con violencia en dos parques de tu ciudad y que durante días están acaparando todos los medios de comunicación. Esta tarde...
Brutal Gonzalo, un artículo interesantísimo, mi más sincera enhorabuena.Andrés Naranjo @TheXXLMAN Responder
Buenísimo artículo. Lo tenéis en inglés? No lo he encontrado en el apartado en inglés. Gracias Responder
Muchas gracias Nathalie. El artículo está disponible en inglés aquí: https://business.blogthinkbig.com/if-you-want-to-change-your-employees_13/ Responder
