La homeostasis del riesgo o cómo agregar medidas de seguridad puede volverte más inseguro

lunes, 24 de septiembre de 2018

Un niño está jugando con su patinete. De repente, comienza a saltar desde una rampa, con peligro evidente. No lleva ni casco ni otras protecciones. Rápidamente, hace su aparición la madre: "¡Niño! ¡Ponte ahora mismo las protecciones!". El niño obedece. Se pertrecha adecuadamente bajo la mirada atenta de su madre y recibe la aprobación materna para saltar desde la rampa. Ahora sí. Ahora está "seguro". Al presenciar esta escena verídica en el parque me surgió una duda: ¿Cuándo estaba más seguro el niño? ¿Patinando sin hacer cabriolas ni llevar protecciones o bien haciendo cabriolas con todas las protecciones puestas?

Esta anécdota refleja una tendencia psicológica muy humana: una vez se introduce una medida de seguridad concreta, al sentirse más seguras, las personas parecen reajustar su conducta tornándola más peligrosa. Es decir, las personas no están más “seguras”, sino que simplemente ajustan sus acciones incrementando su exposición al riesgo.

Volviendo al niño del patinete. Si se siente más seguro con todas las protecciones, se atreverá a maniobras más arriesgadas que cuando no las llevaba. Puede afirmarse que en este caso aumentar la protección hace que aumente la conducta de riesgo. La cuestión es: globalmente, ¿el niño está ahora más o menos seguro?


La teoría de la homeostasis del riesgo como reguladora de la conducta

La teoría de la homeostasis del riesgo como reguladora de la conductaimgTodos hemos visto un termostato en operación. Se fija una temperatura, por ejemplo 25 grados. El termómetro del termostato monitoriza la temperatura de la habitación. Si cae por debajo del set point definido, entonces activa la calefacción. Pero la temperatura de la habitación seguirá cayendo durante un rato mientras la calefacción va calentando el aire. Pongamos que cae hasta los 23 grados. El aire progresivamente se calentará hasta llegar a los 25 grados preestablecidos. El termostato detiene entonces la calefacción. Pero, debido a la inercia térmica, la temperatura seguirá subiendo durante unos minutos y podría alcanzar los 27 grados, momento en el que comenzará a caer lentamente, hasta rebasar los 25 grados. Y vuelta a empezar.

Curiosamente, la habitación nunca está a 25 grados. En realidad, la temperatura está oscilando continuamente entre los 23 y los 27 grados. Los 25 grados son solo la temperatura promedio. La amplitud y periodo de estas oscilaciones dependerán de factores como la sensibilidad del termómetro, la potencia calorífica de la calefacción, la inercia térmica de los materiales de la calefacción, la dimensión de la habitación, la temperatura exterior, etc.

¿Y qué tiene que ver un termostato con el riesgo? En 1982, el investigador Gerald Wilde propuso su Teoría de la Homeostasis del Riesgo (THR), equiparando con un termostato nuestra manera psicológica de afrontar el riesgo. Según Wilde, los humanos tenemos nuestro propio termostato del riesgo y cada individuo lo tiene establecido a un nivel determinado, más alto o más bajo. Intuitivamente, todos conocemos personas que adoran el riesgo y otras que huyen de él. La explicación es que sus "riesgostatos" están programados a niveles diferentes. Si las circunstancias a nuestro alrededor cambian aumentando o disminuyendo la seguridad percibida, entonces adaptamos nuestro comportamiento, haciéndolo más o menos arriesgado, hasta recobrar nuestro nivel personal de tolerancia al riesgo. En otras palabras, cuanto más seguros nos sentimos, de manera más arriesgada nos comportamos. Si esta teoría es cierta, entonces, las contramedidas de seguridad pueden surtir el efecto contrario al deseado al fomentar conductas más arriesgadas o descuidadas.

Piensa en las siguientes situaciones hipotéticas:
  • Si un programador de aplicaciones web sabe que las páginas cuyo código desarrolla serán protegidas por un WAF, ¿se volverá más despreocupado, confiado en que si comete un error de programación será compensado por el WAF?
  • Si una empresa implanta sofisticados sistemas de seguridad física y control de acceso en sus instalaciones para impedir que personal no autorizado acceda a los despachos y praderas, ¿vigilarán menos los empleados la autorización de las personas que han entrado al edificio? 
  • Si una empresa introduce una directiva que exige cifrar todo el correo electrónico para evitar violaciones de la confidencialidad en comunicaciones con terceros, ¿incluirán los empleados más información confidencial en sus mensajes de correo, persuadidos de la inviolabilidad de sus mensajes?
  • Si un usuario informático instala un sistema antivirus de última generación, supuestamente "infalible", ¿ejecutará alegremente cualquier archivo recibido por email, accederá a más páginas web dudosas o dejará su equipo conectado a Internet durante más tiempo?
Oscilanos alrededor de nuestro nivel de riesgo tolerado
La Teoría de la Homeostasis del Riesgo (THR) mantiene que en cualquier actividad, la gente acepta cierto nivel de riesgo estimado subjetivamente, para su salud, seguridad y otros bienes que valora, a cambio de los beneficios que recibe de la actividad: transporte, trabajo, comer, beber, uso de drogas, actividades recreativas, romance, deportes… lo que sea. Para Wilde, el nivel de riesgo tolerado depende de cuatro factores:
  1. El beneficio esperado del comportamiento arriesgado
  2. El coste esperado del comportamiento arriesgado
  3. El beneficio esperado del comportamiento seguro
  4. El coste esperado del comportamiento seguro
¿Por qué una persona querría descargarse un software de pago desde una red P2P sin pasar por caja, a sabiendas de que corre un riesgo al instalar un software procedente de una fuente no confiable en lugar del fabricante oficial? En la imaginación de esta persona, el beneficio de su conducta arriesgada, disfrutar del software, es idéntico tanto si paga como si no, ya que factor 1 = factor 3. Por otro lado, si no paga, el factor 2 = 0, mientras que el factor 4 >> 0. De acuerdo con la THR, siempre que la suma de los factores 1 y 4 supere con creces a la suma de los factores 2 y 3, aumentará el nivel de riesgo que un individuo está dispuesto a aceptar, como en el caso de las descargas ilegales.

Wayne Kearney y Hennie Kruger hacen un buen trabajo interpretando está teoría en el contexto de la seguridad de la información. La siguiente figura recoge los principios del modelo en clave de TI:
En función de sus experiencias pasadas, de su formación en seguridad, de su nivel de concienciación, de condicionantes sociales y culturales, un usuario percibe ciertos costes y beneficios asociados a su conducta (caja 1). Este análisis, más o menos consciente, le conduce a determinar un nivel de riesgo preferido o aceptado (caja 3). Ya vimos que para Wilde este nivel de riesgo tolerado dependía de cuatro factores motivadores. El usuario concluye que, si el beneficio esperado del comportamiento arriesgado (factor 1) y los costes esperados del comportamiento conservador (factor 4) son altos, el nivel objetivo de riesgo será también alto. Por el contrario, el nivel de riesgo aceptado será bajo si los costes esperados del comportamiento arriesgado (factor 2) y los beneficios esperados del comportamiento conservador (factor 3) son altos. Cualquier incidente de seguridad causará un cambio en el nivel percibido de riesgo (caja 4). Si se implantan nuevas medidas de seguridad o si aparecen nuevas amenazas, el nivel de riesgo percibido aumentará o disminuirá en consonancia. En el caso de una nueva amenaza, los usuarios tienden a cambiar su conducta de seguridad eligiendo alternativas más seguras (caja 6), lo que provocará un cambio en el estado (tasa) de brechas de seguridad (caja 7). A medida que pasa el tiempo y el usuario acumula información sobre la nueva amenaza, puede considerar que la amenaza no es tan seria o podría descubrir que la amenaza está bajo control gracias a nuevas medidas de seguridad o simplemente podría terminar por acostumbrarse a la nueva amenaza. El nivel de riesgo percibido podría caer entonces por debajo del nivel objetivo, por lo que el usuario podría empezar a comportarse con menor cautela, lo que conllevaría un aumento en el número de brechas de seguridad. El modelo de la homeostasis del riesgo es, como un termostato, un bucle de realimentación negativa en la que las variables están en permanente reajuste. 

Por supuesto, se trata de una teoría, capaz de explicar muchas conductas de seguridad, tanto individuales como colectivas, pero no tiene todas las respuestas para la motivación humana en relación con el riesgo. De hecho, muchos investigadores la consideran una mera hipótesis y la critican duramente, negando que los seres humanos poseamos un "termostato del riesgo" o que este termostato juegue un papel tan relevante en la toma de decisiones de seguridad. Por otro lado, los seres humanos somos excepcionalmente malos juzgando el riesgo, por lo que resulta difícil diseñar experimentos fiables para probar la teoría. Además, los seres humanos no somos puramente racionales, por lo que no actuamos movidos exclusivamente por la evaluación exhaustiva de la utilidad de nuestras acciones, sino que se entremezclan otros factores emocionales que contradicen la búsqueda de la maximización de la utilidad.

Cómo fomentar comportamientos seguros a pesar de instalar contramedidas de seguridad

Resumiendo lo explicado hasta ahora, las dos premisas fundamentales de la THR son:
  • Las personas tenemos un termostato individual del riesgo establecido a un nivel determinado.
  • Evaluamos la situación y ajustamos nuestro comportamiento para mantener este nivel.
Si esta teoría es cierta, ¿cómo podemos evitar la paradoja de que a mayor número de medidas de seguridad, mayor riesgo?

El experto en seguridad vial James Hedlund, propone cuatro factores a tener en cuenta para disuadir a los individuos de aumentar el riesgo de su conducta ante la adición de medidas de seguridad.
  1. Visibilidad: La medida de seguridad debe pasar desapercibida. Si no sé que está ahí, no contrarrestaré con mi comportamiento más arriesgado una medida de seguridad recién implantada. Cuanto más transparente o imperceptible sea la medida, menos afectará al comportamiento. SSL suele funcionar muy bien a nivel de usuario porque la mayoría ni sabe que existe ni que lo están utilizando. Para ellos, es una medida invisible.
  2. Efecto: La medida de seguridad no debe afectar al individuo. Cuanto más intrusiva sea una medida, más interés tendrá el individuo en desactivarla. Si el WAF tiene falsos positivos que impiden acceder a un comprador a un producto y comprarlo, el WAF será desactivado. Si el filtro antispam bloquea los mensajes de un cliente clave, el filtro será desactivado. Si el reconocimiento facial falla en momentos críticos, se volverá a la contraseña. Cuanto menos afecte la medida de seguridad al individuo, menos tratará de compensarla alterando su comportamiento.
  3. Motivación: La medida de seguridad no debe dar motivos para el cambio. Si no encuentro razón alguna para cambiar mi comportamiento, no compensaré la medida de seguridad. Cuanto menos afecte la medida a la percepción subjetiva del riesgo y menos altere la forma habitual de trabajar, menos motivación existirá para alterar la conducta.
  4. Control: La medida de seguridad debe escapar al control del individuo. Si mi comportamiento está muy controlado, no compensaré la medida de seguridad. Si tengo la libertad de desactivar el antivirus porque me da la sensación de que hace que mi compilador vaya más lento, entonces lo desactivaré. Cuanto menos margen de maniobra dejen las medidas de seguridad al usuario, menos cambiarán su comportamiento.
Un ejemplo de cómo se han aplicado con éxito estos principios en la búsqueda de la seguridad del consumidor es en el caso del agua potable en las grandes ciudades. Abrimos el grifo y damos por hecho que es segura. No instalamos ni filtros ni nada adicional, no la analizamos en busca de venenos, no aprendemos sobre química antes de beberla, no nos aparecen ventanas con avisos indescifrables. No hay que tomar ninguna decisión. Simplemente, confiamos en todas las medidas de seguridad que han sido tomadas para que llegue clara y limpia a nuestro hogar. Los usuarios sueñan con acceder a la información como al agua potable.

La homeostasis del riesgo en la seguridad de la información
La teoría de la homeostasis del riesgo nos advierte de que cuanto más visibles son las medidas de seguridad, más pueden incitar a que la gente acepte riesgos mayores. Esta teoría, abrazada por unos y rechazada por otros, posee profundas implicaciones en la manera como debemos buscar aumentar la seguridad de nuestros usuarios. Nos invita a reflexionar a la hora de establecer estrategias de educación, formación y concienciación en seguridad de la información, a la hora de diseñar interfaces de seguridad y de implantar directivas de seguridad. La tecnología por sí misma no puede ofrecer soluciones completas a los retos de seguridad de la información. Nunca está de más introducir en el cóctel de la seguridad el comportamiento del usuario. Entender su motivación y su forma de pensar puede suponer la diferencia entre el éxito o el fracaso de una medida de seguridad. ¿Y tú qué opinas? ¿Instalar medidas de seguridad te hace ser más temerario? ¿Podremos algún día ofrecer acceso a la información tan seguro y transparente como el agua potable?

Gonzalo Álvarez de Marañón
Equipo de Innovación y Laboratorio de ElevenPaths

No hay comentarios:

Publicar un comentario