Por qué el agotamiento humano es una amenaza de ciberseguridad mucho mayor que un código informático complejo

El cambio de las vulnerabilidades técnicas a la ingeniería social ha reordenado fundamentalmente el panorama de las amenazas digitales. Durante años, la industria mundial de la ciberseguridad se ha centrado en gran medida en construir cortafuegos más altos y en implementar programas antivirus sofisticados. Sin embargo, los datos del Informe sobre el Costo de una Brecha de Datos de IBM revelan constantemente que las credenciales robadas o comprometidas, junto con los esquemas de suplantación de identidad (phishing), siguen siendo los vectores de ataque iniciales más comunes. En Estados Unidos, la Agencia de Seguridad de Infraestructura y Ciberseguridad ha advertido en repetidas ocasiones que los atacantes de secuestro de datos (ransomware) están eludiendo en gran medida las defensas avanzadas para atacar los eslabones más débiles y humanos. Vimos esto claramente en 2018, cuando la ciudad de Atlanta quedó paralizada. Los hackers no utilizaron un arma digital increíblemente compleja; usaron una variante conocida de ransomware llamada SamSam para aprovechar contraseñas débiles y servidores de cara al exterior. El ataque paralizó los servicios municipales, obligando a los empleados de la ciudad a escribir informes a mano y sumiendo en el caos al sistema judicial local, lo que finalmente costó a los contribuyentes millones de dólares en reparaciones.

La causa subyacente de esta vulnerabilidad radica en una peligrosa desconexión entre las herramientas que utilizan las sociedades y las personas encargadas de mantenerlas. En todo el mundo, la infraestructura crítica es administrada cada vez más por gobiernos locales, redes de salud regionales y distritos escolares públicos. Estas organizaciones están profundamente integradas en la vida cotidiana, pero operan con presupuestos muy ajustados y sistemas obsoletos. Mientras que los bancos internacionales y los conglomerados tecnológicos multinacionales pueden permitirse ejércitos de analistas de seguridad para monitorear el tráfico de la red las 24 horas del día, una planta de tratamiento de agua del condado o un hospital regional simplemente no pueden. Además, existe el elemento innegable de la fatiga humana. A los empleados de estos sectores públicos se les pide habitualmente que hagan más con menos, procesando cientos de correos electrónicos y solicitudes digitales a diario. Cuando los ciberdelincuentes aprovechan la inteligencia artificial para crear correos electrónicos de phishing impecablemente escritos y altamente personalizados que imitan el tono de un supervisor o proveedor de confianza, un trabajador cansado al final de un largo turno es naturalmente susceptible. Es un fallo del entorno, no de la inteligencia individual.

Las consecuencias de esta vulnerabilidad estructural van mucho más allá de pantallas de computadora bloqueadas y criptomonedas extorsionadas. Cuando las redes cívicas y de salud fallan, las repercusiones son tangibles, físicas y profundamente alarmantes. En 2022, el gobierno de Costa Rica declaró el estado de emergencia nacional después de que una implacable ola de ataques de ransomware paralizara su Ministerio de Hacienda, detuviera el comercio internacional en las fronteras y perturbara gravemente el sistema de salud nacional. Los ciudadanos no pudieron recibir diagnósticos médicos a tiempo, y las empresas exportadoras sufrieron pérdidas catastróficas mientras sus productos se pudrían en los almacenes. De manera similar, en Estados Unidos, los ataques de ransomware a las redes de salud han obligado habitualmente a los hospitales a desviar ambulancias de las salas de emergencia y a retrasar cirugías que salvan vidas. Cuando los historiales de los pacientes son repentinamente encriptados y se vuelven inaccesibles, los médicos se ven obligados a operar a ciegas, lo que compromete fundamentalmente la seguridad del paciente. El ámbito digital ha traspasado por completo al mundo físico, lo que significa que un ciberataque a un hospital local ya no es solo una violación de datos, sino una amenaza directa a la salud pública y a la vida humana.

Revertir esta peligrosa tendencia requiere un cambio profundo en la forma en que las sociedades abordan la defensa digital. Los gobiernos y las instituciones deben dejar de tratar la ciberseguridad simplemente como un gasto de tecnología de la información y comenzar a verla como un pilar fundamental de la seguridad pública. Esto comienza con un cambio de paradigma hacia lo que los expertos de la industria llaman una arquitectura de "confianza cero", un modelo que asume que las amenazas ya existen dentro de la red y requiere una verificación continua para cualquier usuario que intente acceder a datos confidenciales. Sin embargo, los marcos tecnológicos por sí solos son insuficientes. La defensa más eficaz debe centrarse en la resiliencia humana. Los municipios y los proveedores de atención médica necesitan una financiación sólida y continua de los gobiernos federales o nacionales, destinada específicamente a la capacitación en ciberseguridad y a la modernización de los sistemas. En lugar de someter a los empleados a videos de cumplimiento tediosos una vez al año, las organizaciones deben cultivar una cultura de seguridad en la que los trabajadores se sientan respaldados para verificar solicitudes sospechosas sin temor a ser reprendidos por retrasar las operaciones. Además, la cooperación internacional es esencial para rastrear y desmantelar las redes financieras que permiten a las mafias del ransomware lavar sus fondos extorsionados con total impunidad.

Durante demasiado tiempo, la conversación pública sobre la defensa digital ha estado oscurecida por la jerga técnica y por un enfoque equivocado en la élite tecnológica. Hemos construido fortalezas digitales equipadas con las mejores alarmas, solo para dejar la puerta principal abierta de par en par porque olvidamos apoyar a las personas que tienen las llaves. A medida que la vida cotidiana se vuelve completamente inseparable de las redes que administran nuestra agua, nuestra salud y nuestras economías, los riesgos son simplemente demasiado altos como para ignorar el factor humano en la defensa digital. Un futuro seguro no se garantizará simplemente escribiendo un mejor software. Se asegurará al reconocer que nuestra infraestructura digital es tan resistente como las instituciones humanas y los empleados agotados encargados de mantenerla. El verdadero campo de batalla de la ciberseguridad moderna no se encuentra en un servidor distante, sino en las rutinas diarias de las personas que mantienen el funcionamiento de la sociedad.