¿Por qué no cambiamos las contraseñas?


A unos días de comenzar el 2020, el mundo de la ciberseguridad ha cambiado mucho en los últimos 10 años. Han aparecido y se han desarrollado miles de amenazas de distintos tipos a las que, empresas y usuarios, tratan de hacer frente cada día como parte de la cotidianidad cibernética.

Los usuarios de hoy en día, cada vez más, son conscientes de que la ciberseguridad es un elemento que les acompañará para siempre para evitar que les roben información, les inutilicen determinado sistemas o les dejen sin dinero en el banco.

Como quien camina por “territorio comanche”, el usuario actual convive con antivirus, firewalls, lectores biométricos, pins y, como no, con innumerables contraseñas para hacer frente a los diferentes peligros que le acechan en la red.

De todas ellas, la contraseña es la herramienta de seguridad más conocida y, en cierta forma también más controvertida con la que nos movemos. A ella precisamente es a la que vamos a dedicarle algún tiempo ya que, aunque hoy en día seamos “animales cibernéticos”, nunca vamos a dejar de ser homo sapiens con un smartphone en la mano.


Por mucha velocidad a la que viaje la tecnología, siempre estará manejada por personas, por seres humanos que son lo que son.


Algunos estudios nos dicen que, en el tiempo en que usted leerá estas líneas, se habrán robado cientos de registros de datos, llegando a ser millones en un solo día.

Estos robos se basan, principalmente, en la vulnerabilidad de las contraseñas que utilizamos pues, aunque somos cada vez más conscientes de los peligros de la red, nuestro comportamiento en materia de contraseñas no ha cambiado en los últimos años.

Si hiciéramos una encuesta a ver cuántas personas han cambiado sus contraseñas en el último año, si usan contraseñas fuertes, repetidas o si las protegen de forma adecuada, nos daríamos cuenta de la magnitud de este problema.

Esto nos lleva a tratar de explicar lo que podríamos denominar la Psicología de las contraseñas o más bien, por qué nos resulta tan incómodo andar cambiando contraseñas cada cierto tiempo o utilizar contraseñas complejas en vez de colocar la fecha de nacimiento de mi hijo o el nombre del perrito.

chage-password-01

Sistema de memoria limitado

El primer elemento psicológico al que podemos hacer referencia es a nuestro sistema de memoria.

Tenemos un sistema de memoria limitado, es decir, no tenemos una capacidad ilimitada para acceder a toda nuestra información, lo que nos diferencia de una computadora. Además, nuestra memoria no es como el acceso a un archivo o como una videograbadora que recoge fielmente la realidad que estamos grabando, más bien es como un sistema creativo que construye, o mejor dicho reconstruye, una huella de recuerdo.

Por tanto, cuando le pedimos a un usuario que genere una contraseña con 8 dígitos y que use además números y símbolos, le estamos pidiendo algo que va a poner a prueba su capacidad memorística en el futuro.

Una forma de vencer esta limitación memorística es darle un sentido a la información que queremos recordar por lo que, a la hora de reconstruir nuestro recuerdo, esta información tenga una especial relevancia que le permita estar más accesible.  Es por esto por lo que el nombre de nuestro perro es más fácil de recordar que la contraseña 379_@lpjhYu48.

Cuando nos obligan a usar una contraseña como esta, nos vemos empujados a manejar un sistema de gestión de contraseñas o, en el peor de los casos, a escribirla en un post it o documento con el nombre “contraseña”.

Hay que tener en cuenta, además, que a las personas nos genera un gran estrés no recordar algo.


Algunos estudios nos indican que el miedo a no recordar nuestra contraseña y por tanto perder el acceso a nuestro banco, mail o álbum de fotos, es lo que propicia no querer cambiar de contraseña.

 

chage-password-02

Ley del mínimo esfuerzo

Por otro lado, el ser humano funciona o toma decisiones en base a la Ley Coste-Beneficio, también conocida como Ley del mínimo esfuerzo, según la cual hacemos aquello que nos proporcione el mayor beneficio posible al menor coste/esfuerzo. Con esta ley tomamos decisiones como dónde ir a la compra, fumar o dejar de hacerlo o cambiar la contraseña cada seis meses.

Como hemos visto antes, cambiar la contraseña supone un esfuerzo para nosotros y si no somos capaces de ver un beneficio superior a este coste, lo más normal es que sigamos dejando la misma contraseña.

Está claro que el beneficio existe, o más bien puede existir, lo que condiciona obtenerlo o no a la posibilidad de que alguien nos pueda hackear la cuenta. Como este beneficio es una posibilidad futura, pero el esfuerzo de cambiar la contraseña es un coste que debo asumir ahora, la mayoría de usuarios no suelen hacerlo o lo hacen solo después de que realmente les hayan hackeado la cuenta.

Esto se relaciona también con la forma en que funciona nuestro cerebro que es en base a predicciones de sucesos, lo que nos recuerda a la historia del “pavo inductivista” de Bertran Russell.

Esta historia nos es útil para advertir sobre los peligros de obtener conclusiones basadas únicamente en observaciones, por muchas observaciones de las que podamos disponer y se explica a través de un pavo que, durante 364 días del año comprueba como cada día le dan de comer a las 9 de la mañana.

Esto le permite estar muy seguro de concluir que come todos los días a esa hora y que, evidentemente, lo seguirá haciendo así en el futuro. El día 365 en la vida de este pavo es el día de acción de gracia y, en vez de una suculenta comida, a las 9 de la mañana se encuentra con un cuchillo en su cuello.

Estadísticamente el pavo tenía razón, lo mismo que la mayoría de usuarios que no han sufrido ningún hackeo en su vida piensan que es difícil o improbable que lo sufran mañana, lo que no los lleva a preocuparse en exceso por sus contraseñas.

En definitiva, cambiar contraseñas y usarlas potentes supone un coste frente a un beneficio que no es muy posible que obtenga porque es poco probable que sufra el ataque de un hacker, pero además, hacerlo así me puede suponer un peligro extra de que olvide la contraseña y pueda perder el acceso a mi mail, mi cuenta bancaria o álbumes de fotos.

Y es aquí, donde le volvemos a dar una vuelta de tuerca más a nuestra psicología, pues las personas somos más sensibles a la pérdida que a la ganancia. Imagine que va por la calle y encuentra un billete de 50€. Es muy seguro que se pondrá muy contento, pero esa alegría, si la pudiéramos medir, sería proporcionalmente inferior a la tristeza y rabia que le supondría perder 50€ suyos en la calle. El miedo a perder algo, nuestro acceso al mail o a las fotos de nuestras últimas vacaciones es mayor a la alegría de saber que nuestra contraseña del sistema es impenetrable.

Por eso, cuando nos aparece el típico campo para incluir una contraseña, generalmente lo consideramos un obstáculo que debemos salvar, lo que hace que usemos contraseñas como 123456 o qwerty. Algo rápido para pasar de pantalla y seguir a lo nuestro.

No obstante, hemos dicho que cada vez somos más conscientes de los riesgos de internet y que sabemos que es necesario llevar a cabo comportamientos ciberseguros, por lo que tendríamos que ser sensibles también a esa posible amenaza o a sentir que, tarde o temprano, nuestra contraseña será hackeada. Y esto es cierto, pero también tiene explicación desde la Psicología.

chage-password-03

Indefensión aprendida

Para explicarlo usaremos otro animal, esta vez un ratón de laboratorio. Imagínese a un psicólogo que coloca un ratón en una jaula con el suelo electrificado. El ratón recibe una pequeña descarga eléctrica que puede parar si acciona una palanca que se encuentra en el interior de la jaula.

Rápidamente, el ratón asocia su conducta de accionar la palanca con la suspensión de la descarga eléctrica, por lo que puede moverse a su antojo por toda la jaula sin necesidad de sufrir las molestas descargas.

El ratón aprende que sus acciones tienen consecuencias, en este caso positivas, por lo que puede influir en su entorno y resolver sus problemas.

Ahora, imagine que el psicólogo quiere ponérselo más difícil al ratón y manipula las condiciones del experimento para que, aunque el ratón accione la palanca, las descargas eléctricas no cesen. Ese día, el ratón vuelve a ser introducido en la jaula y al poco tiempo comienzan las descargas, ante las que el ratón rápidamente se dirige al lugar donde está la palanca para accionarla.

Lo hace una y otra vez sin ver que esto surta el efecto de otros días.

El ratón se pone nervioso y comienza a moverse por la jaula tratando de ver si hay otras palancas u otros elementos que puedan suprimir las descargas. De vez en cuando vuelve a accionar la palanca, pero sin resultados. En un momento determinado, el ratón se dirige a una esquina de la jaula y se queda quieto mientras sigue recibiendo descargas. No hace nada, solo se queda quieto.

El ratón ha entrado en lo que se denomina “indefensión aprendida”, que quiere decir que, haga lo que haga, no puede influir sobre aquello que le genera daño. Esta indefensión aprendida es un modelo explicativo de patologías como la depresión, pero también puede explicarnos en parte por qué las personas no cambian sus contraseñas a pesar del miedo que puedan tener por que sus cuentas sean hackeadas.

Algunos estudios realizados por empresas de gestión de contraseñas como LastPass indican que, un gran porcentaje de los usuarios -cercanos al 90%- consideran que el asunto de las contraseñas es un tema serio, pero este mismo número de usuarios considera también que da igual lo que hagas, pues por muy buenas que sean las contraseñas sus cuentas siempre estarán en peligro.

Es decir, como el ratón en la jaula, el usuario ha aprendido una especie de indefensión, por la que piensa que no hay nada que hacer ante un hacker decidido que quiera robar su información.

Es precisamente en este punto, en el empoderamiento del usuario, donde debemos trabajar para que éste sienta que tiene el control sobre la palanca de la jaula, control y responsabilidad para llevar a cabo comportamientos seguros en el ciberespacio.

Publicado por Luisa Esguerra

Luisa Engerra joins the buguroo's office in Bogotá after a successful sales management career in companies such as Oracle and Symantec. She will target the LATAM market in order to generate new net business for buguroo solutions.


¿Te ha gustado? Comparte en tus comunidades sociales

 

¿Qué piensas sobre este tema?

Deja tus comentarios

 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo