SEGURIDAD CIBERNÉTICA: LIMITACIONES Y CAPACIDADES HUMANAS GENERALES

1. Con las contraseñas, las personas intentan elegir las que son más fáciles de recordar, por ejemplo, aquellas que tienen un significado para ellas, como nombres o fechas memorables.

2. Cuando los usuarios tienen que elegir imágenes como credenciales, prefieren colores y formas fuertes sobre los más difusos.

3. Cuando se trata de fotografías de seres humanos, elegirán fotografías de personas «más atractivas» y de personas de su propio origen étnico.

4. Cuando la credencial es una ubicación particular dentro de una imagen, las personas prefieren características que se destacan.

5. Con los sistemas basados en la ubicación, las personas eligen ubicaciones memorables, por ejemplo, al elegir ubicaciones para un PIN de 4 dígitos en una cuadrícula de 5 números, buscan ubicaciones conectadas, ancladas en un borde o esquina de la cuadrícula.

6. El orden de los elementos de una credencial es predecible, porque existe una fuerte preferencia cultural, por ejemplo, las personas que hablan idiomas que se leen de izquierda a derecha elegirán ese orden.

7. Con las contraseñas de deslizamiento del dedo en los teléfonos Android, la gente elige entre un número muy limitado de formas.

La atención  se centrará en sus actividades principales, y muchos mecanismos de seguridad exigen más tiempo y atención de lo que los usuarios pueden permitirse. Esto significa que los cambios en los indicadores de seguridad pasiva a menudo no se notan, en particular si están en los bordes de la pantalla. Si los indicadores de seguridad deben ser atendidos, deben colocarse frente a la persona y requerir una respuesta. STM es lo que se utiliza, por ejemplo, para contraseñas de un solo uso, como códigos numéricos mostrados por tokens o mostrados en otro dispositivo.

Un criterio de seguridad importante para la autenticación basada en el conocimiento es que una credencial debería ser difícil de adivinar. Con las contraseñas, las personas intentan elegir las que son más fáciles de recordar, por ejemplo, aquellas que tienen un significado para ellas, como nombres o fechas memorables. Cuando los usuarios tienen que elegir imágenes como credenciales, prefieren colores y formas fuertes sobre los más difusos. Con las contraseñas de deslizamiento del dedo en los teléfonos Android, la gente elige entre un número muy limitado de formas.

Estos sesgos humanos reducen la diversidad en una base de datos de contraseñas y aumentan la probabilidad de que un atacante adivine una contraseña. Para contrarrestar esto, las políticas de seguridad han excluido opciones demasiado obvias. Por ejemplo, un verificador de contraseñas que rechaza más de 5 contraseñas seguidas por ser demasiado débiles pondrá a los usuarios bajo un estrés considerable y lo más probable es que vuelvan a utilizar una contraseña. Del mismo modo, los medidores de seguridad de las contraseñas se utilizan a menudo para orientar e influir en las elecciones de contraseñas del usuario.

Se analizó el impacto de varios diseños de medidores de contraseñas en la elección de contraseñas de los usuarios, y destacó el aumento de la carga de trabajo para los usuarios y la frustración que enfrentan cuando se enfrentan a medidores de contraseñas más estrictos. Un trabajo reciente de Golla y Dürmuth investigó la precisión de 45 medidores de seguridad de contraseñas, incluidos varios implementados en la práctica, así como propuestas académicas. Por lo tanto, incluso si ignoramos la carga de trabajo adicional de los usuarios, estos enfoques no siempre tienen el nivel de precisión requerido para implementar de manera efectiva las políticas de contraseñas. Estas consideraciones deben tenerse en cuenta al implementar soluciones para hacer cumplir las políticas de seguridad.

A veces, surge la pregunta de si existe capacitación para ayudar a los usuarios a lidiar con la recuperación de credenciales de seguridad. El escritor Joshua Foer detalla en su bestseller Moonwalking with Einstein que requiere una importante inversión de tiempo inicial pero también capacitación continua, más el tiempo requerido para recordar e ingresar las contraseñas. Pero, grupos de usuarios específicos tendrán necesidades adicionales que deberían informar la selección o configuración de los mecanismos o procesos de seguridad. También es necesario tener en cuenta las condiciones físicas y mentales de los usuarios.

No todos los usuarios pueden operar el equipo con las manos, leer en las pantallas o escuchar audio. Ciertos efectos de audio o video pueden dañar a los usuarios con afecciones como autismo o epilepsia.

OBJETIVOS Y TAREAS

Para lograr los objetivos, las personas completan una serie de tareas. Si una tarea tiene varios pasos o unidades, se puede descomponer en subtareas.

Estas tareas se denominan tareas primarias o de producción en la terminología de factores humanos, y diseñar las herramientas tecnológicas para que las personas puedan completar estas tareas de manera eficaz y eficiente es el aspecto más fundamental de la usabilidad. La tarea debe completarse de manera efectiva. Los procesos comerciales pueden establecer un límite superior en el tiempo que pueden tomar las tareas o los recursos de los que pueden recurrir, como el acceso a la información o los servicios por los que la organización tiene que pagar. La ejecución de las tareas que las personas realizan con frecuencia se vuelve «automática», mientras que las tareas nuevas o realizadas con poca frecuencia se completan de manera consciente, paso a paso.

Para las tareas que se realizan con frecuencia, el diseño debe optimizar la velocidad y reducir el esfuerzo físico. Para tareas poco frecuentes, el diseño debe intentar reducir el esfuerzo mental guiando a los usuarios y minimizando cuánto tienen que recordar. Las personas se concentran en la tarea de producción y las tareas de habilitación a menudo se experimentan como una interrupción o distracción no deseada. La mayoría de las soluciones alternativas a los mecanismos de seguridad, como escribir contraseñas o compartirlas, se producen porque las personas intentan garantizar la finalización eficaz de las tareas de producción.

Por ejemplo, las personas a menudo guardan sus propias copias de documentos que deberían estar en un repositorio de acceso controlado, o copias en texto claro de documentos que deberían estar encriptados, porque temen no poder acceder a ellos cuando los necesiten. Por lo tanto, para evitar que se omitan las tareas de seguridad, debemos diseñarlas para que se ajusten a las tareas principales. Automatizar la seguridad, por ejemplo, utilizando la autenticación implícita para reconocer a los usuarios autorizados, en lugar de exigirles que ingresen contraseñas muchas veces. Si la acción humana explícita es necesaria en una tarea de seguridad, debemos minimizar la carga de trabajo y la interrupción de la tarea principal.

Diseñar sistemas que sean seguros de forma predeterminada3 para que no impongan la carga de las configuraciones de seguridad y la administración a los usuarios. La carga de trabajo mental se vuelve rápidamente excesiva, especialmente si las tareas adyacentes requieren la misma capacidad mental, como la memoria. Por lo tanto, para diseñar una tarea de seguridad que se adapte bien, necesitamos conocer las tareas de producción y considerar la carga de trabajo mental y física.

¿Cuál es el impacto de no completar la tarea de seguridad?

Tienen una conciencia incorporada de cuánto tiempo y esfuerzo están dedicando a tareas no productivas y una idea de cuánta actividad no productiva es razonable. Una vez que se conoce, se puede calcular la carga de trabajo de las tareas de seguridad e identificar las prioridades – qué comportamientos de seguridad realmente importan para los riesgos clave que enfrenta un grupo particular de empleados – y tareas de seguridad optimizadas.

CONTEXTO DE INTERACCIÓN

Tanto el entorno físico como el entorno social en el que las personas tienen que realizar tareas de seguridad afectan el rendimiento y la seguridad. El riesgo de ser escuchado ahora se aborda en muchos paquetes de capacitación corporativos, pero todavía se utilizan varios mecanismos de seguridad que son vulnerables a ser escuchados, por ejemplo, preguntas de seguridad como la fecha de nacimiento, el apellido de soltera de la madre. El uso de credenciales parciales únicamente y la entrada a través del teclado aumenta la seguridad, pero también acentúa la carga de trabajo física y mental al mismo tiempo. En general, el uso de una contraseña única como parte de la solución a2FA podría ofrecer protección y una mejor usabilidad.

La usabilidad de los mecanismos de seguridad puede verse afectada por las siguientes características físicas

Los sensores de huellas digitales pueden dejar de funcionar cuando hace frío y los humanos son más lentos para señalar y seleccionar. También es posible que necesiten usar ropa protectora, como guantes, que dificultan o dificultan las operaciones físicas de las pantallas táctiles. Del mismo modo, un ambiente demasiado caluroso puede provocar incomodidad y el sudor puede interferir con los sensores. Esta es una preocupación particular para los sensores de huellas dactilares y las pantallas táctiles.

Los lípidos que quedan se combinan con las partículas y la grasa oscura resultante puede obstruir los sensores o dejar un patrón claramente visible en la pantalla táctil. Si el comportamiento de seguridad esperado está en conflicto con las normas de comportamiento del día a día, podemos esperar problemas. Por ejemplo, si una organización valora la satisfacción del cliente y se les dice a los empleados que sean amigables con los clientes en todo momento, una política de seguridad que requiera que el personal trate cualquier consulta del cliente como un intento potencial de extraer información no encajará. Comprender las razones que sustentan el incumplimiento de las políticas de seguridad puede arrojar luz sobre estos conflictos entre los requisitos de seguridad y la tarea principal.

Es necesario considerar otros aspectos para comprender cómo se configuran las creencias, normas y estrategias de afrontamiento en materia de seguridad. Por ejemplo, los usuarios a menudo obtienen su conocimiento de sus redes sociales más amplias y estas también son una fuente de apoyo y ayuda cuando enfrentan desafíos de usabilidad.

CAPACIDADES Y LIMITACIONES DEL DISPOSITIVO

Ya hemos comentado que las características físicas de un dispositivo pueden dificultar la interacción con los mecanismos de seguridad en determinadas circunstancias. Algunas características del dispositivo pueden hacer que los mecanismos de seguridad se vuelvan difíciles de usar en cualquier circunstancia. Introducir contraseñas largas y complejas en teclados de software en un teléfono móvil lleva mucho más tiempo y es más propenso a errores que en un teclado normal. Y aunque con el uso frecuente de un teclado, la mayoría de las personas pueden llegar a ser bastante hábiles para ingresar una contraseña compleja, el rendimiento no mejora cuando los humanos alcanzan una limitación básica. Lo que es particularmente preocupante desde el punto de vista de la seguridad es que (sin colusión) una población de usuarios comienza a converger en una pequeña cantidad de contraseñas que son más fáciles de ingresar con la mínima cantidad de alternancias, lo que hace que adivinar una contraseña válida sea más fácil para los usuarios atacantes.

Si bien2FA tiene beneficios de seguridad y reduce la necesidad de contraseñas seguras, no todas las soluciones de2FA se pueden utilizar de forma predeterminada. Muchos usuarios encuentran difíciles los 2FAtokens ampliamente utilizados como Digipass.

Aprecian el hecho de que cabe en su billetera, pero en última instancia, es «demasiado complicado». Además, más de la mitad de los usuarios de banca en línea tienen cuentas con más de un proveedor de servicios financieros. El hecho de que incluso aquellos que usan2FA lo implementen de manera diferente (qué token se usa cuando debe usarse y cómo se hace referencia a los diferentes elementos de autenticación (frase de contraseña, código de acceso, frase clave) genera confusión para los usuarios. De manera similar, diferentes implementaciones de Chip y PIN crean variaciones ligeramente diferentes en la tarea que atrapan a los usuarios, lo que lleva a errores humanos.

Con la aparición de un número cada vez mayor de dispositivos nuevos, desde relojes inteligentes hasta dispositivos domésticos, e incluso tamaños de pantalla más pequeños e interacciones implícitas entre usuarios y dispositivos a través de una variedad de sensores y actuadores, considerar la ergonomía de las interacciones de seguridad es cada vez más importante.

PARTES INTERESADAS DE LA CIBERSEGURIDAD

De la investigación sobre el comportamiento humano en seguridad cibernética durante la última década, ha surgido un tema muy claro: la importancia de comprometerse en la búsqueda de formas de hacer que la seguridad funcione para los empleados. La comunicación y el liderazgo son importantes en este sentido. Aquí, nos enfocamos en los empleados más que en el liderazgo y aspectos organizacionales, como el liderazgo estratégico de ciberseguridad a nivel de directorio.

Lizzie Coles-Kemp y sus colegas han desarrollado un enfoque que lleva la participación de los empleados a mejorar la seguridad un paso más allá. Utilizan técnicas proyectivas (por ejemplo, dibujos y collages) para construir representaciones de la actividad diaria y fundamentar la discusión sobre seguridad en ellas. Los estudios de casos muestran cómo esto ayuda a identificar las causas fundamentales del comportamiento inseguro que la organización considera indeseable, en muchos casos una seguridad mal diseñada, pero también fallas más fundamentales de la organización para apoyar el negocio y sus tareas individuales.

Los compromisos de seguridad creativos) alientan a los participantes (empleados en el contexto de la empresa o consumidores o ciudadanos en un compromiso más amplio) a reflexionar sobre:

• su entorno,
• las emociones que sienten,
• las limitaciones que experimentan,
• las presiones a las que están sometidos,
• las acciones y tareas que realizan al generar y compartir información.

Una técnica particular para compromisos creativos utilizando Lego para el modelado físico de amenazas a la seguridad de la información fue desarrollada por EU Trespass Project6. Este tipo de modelado físico cierra la brecha entre los diagramas típicos (diagramas de flujo y diagramas de Lenguaje de modelado unificado (UML), por ejemplo) con los que trabajan habitualmente los profesionales de la seguridad y las prácticas cotidianas de los consumidores que se ven afectados por el diseño de seguridad. Heath, Hall & Coles-Kemp informaron de un exitoso estudio de caso de este método para modelar la seguridad de una aplicación de banca desde casa, que identificó áreas donde era necesario proporcionar intervención humana y apoyo para que la seguridad funcione en general.

Estos estudios proporcionan ejemplos de diferentes formas de interactuar con los empleados, los consumidores y los ciudadanos en materia de seguridad. Son parte de una tendencia creciente en la investigación, alejándose del enfoque mecanicista de buscar rasgos dentro de los individuos que conduzcan al comportamiento de seguridad deseado, o tratando de cambiar el comportamiento abordar o modificar esos rasgos. El enfoque fundamental de estas orientaciones es cambiar el diseño de la seguridad para alinearlo con las tareas del usuario y de la organización para reducir la carga de trabajo y aumentar la productividad de una organización. El hecho de que también lleve a una percepción más positiva de la seguridad es un efecto secundario valioso.

DESARROLLADORES DE SOFTWARE Y SEGURIDAD UTILIZABLE

Zurko & Simon señalaron que la seguridad inutilizable afecta no solo a los empleados en general que pueden no tener una educación específica en informática o seguridad, sino también a aquellos que tienen habilidades técnicas significativas, como desarrolladores y administradores de sistemas. También enfrentan cargas de trabajo crecientes y complejidad, y cometen errores porque las bibliotecas y las interfaces de programación de aplicaciones (API) que utilizan no se pueden utilizar. Podría decirse que los errores que cometen estos usuarios técnicos generalmente tienen un impacto más significativo que los errores cometidos por los empleados en general, por ejemplo, la vulnerabilidad Heartbleed.

Varios estudios han destacado hasta qué punto las vulnerabilidades se manifiestan en los ecosistemas modernos centrados en el desarrollo de aplicaciones. Fue notable que, de los 96 desarrolladores que fueron, un gran número estaba dispuesto a proporcionar información, pero solo 13 fueron entrevistados porque sus empresas les negaron el permiso para hacerlo. De las entrevistas, se descubrió que los desarrolladores tenían poca o ninguna capacitación en seguridad y estaban bajo una presión extrema para completar la aplicación rápidamente, y esa fue la razón de los errores que llevaron a vulnerabilidades.

Acar ha estudiado el impacto de las redes sociales en línea, como StackOverflow, en la seguridad del código que producen los desarrolladores. Dos tercios de los desarrolladores que usaron Stack-Overflow o un libro de texto lograron producir una solución funcionalmente correcta dentro del tiempo asignado, mientras que solo el 40% de los que usaron documentación oficial lo hicieron. En cuanto a las tareas de seguridad, los resultados se invirtieron. Aquellos que usan documentación oficial produjeron el código más seguro y aquellos que usaron StackOverflow menos. Una respuesta de seguridad tradicional a este resultado sería «el uso de StackOverflow debería estar prohibido». Pero claramente, el precio de productividad que pagarían los desarrolladores y sus organizaciones sería elevado. Por ejemplo, un trabajo reciente ha demostrado que los desarrolladores utilizan estos foros para intercambiar información y ofrecerse apoyo mutuo para la resolución de problemas de seguridad. Eso no quiere decir que tal consejo sea siempre efectivo (como se señaló anteriormente), pero los foros brindan una comunidad de práctica en la que los desarrolladores pueden compartir sus problemas y buscar ayuda. Por lo tanto, la prohibición total de estos foros sin reemplazarlos con el soporte relevante no abordaría el quid de por qué los desarrolladores buscan ese soporte.

Los desafíos de usabilidad de las API criptográficas y su documentación han sido destacados, y herramientas propuestas para ayudar a los desarrolladores en su uso. Recientemente, también se han propuesto herramientas para mejorar la usabilidad del análisis estático, Green y Smith han sintetizado conocimientos del cuerpo de investigación existente en un conjunto de diez principios para hacer que las interfaces de programación de aplicaciones para bibliotecas de seguridad y criptografía sean más utilizables para los desarrolladores. Patnaik identifica cuatro olores de usabilidad que indican que las API criptográficas pueden no estar abordando completamente tales principios, ofreciendo información a los desarrolladores de bibliotecas sobre las áreas clave en las que enfocarse para mejorar la usabilidad de sus bibliotecas.

También debe considerarse la desconexión entre desarrolladores y usuarios. Caputo destacó que los desarrolladores no entendían el impacto de la falta de usabilidad en el desempeño y el bienestar individual, la productividad organizacional o la efectividad de la seguridad. Recomiendan que la administración debe asegurarse de que los desarrolladores experimenten los resultados de la falta de seguridad y usabilidad directamente, al tener que lidiar con las llamadas al servicio de asistencia técnica, el impacto de las pérdidas, y participar más. El trabajo reciente ha proporcionado información sobre el papel de las culturas de seguridad organizacional fuertes en la mentalidad de los desarrolladores con respecto a la seguridad y cómo los expertos mejoran sus prácticas de seguridad.

SEGURIDAD POSITIVA

¿Cuál es el objetivo de la ciberseguridad? Cuando se les pregunta, la primera respuesta de la mayoría de las personas es prevenir ciberataques o al menos reducir el riesgo de que los ataques tengan éxito o de que las pérdidas sean demasiado altas. Como Florencio señaló, los proveedores y aquellos que quieren que las organizaciones se tomen la seguridad más en serio recurren a una ‘venta de miedo, incertidumbre y duda (FUD)’, lo que genera temores de ataques y sus consecuencias, incertidumbre sobre las consecuencias y dudas sobre la capacidad de las organizaciones para defenderse, por lo tanto impulsar el mercado de la ciberseguridad y la venta de productos.

‘FUD proporciona un flujo constante de factores (p. Ej., Número bruto de muestras de malware, actividad en mercados clandestinos o el número de usuarios que entregarán su contraseña para una barra de chocolate) cuyo efecto es persuadirnos de que las cosas son malos y empeoran constantemente’.

Los profesionales de la seguridad hoy en día se quejan de que la mayoría de las personas y empresas no se toman en serio los riesgos cibernéticos. El problema es que las ventas por miedo no son una buena base para la toma de decisiones de seguridad: cuando la inversión resultante en seguridad resulta no ser efectiva, los tomadores de decisiones se vuelven escépticos sobre los beneficios de la seguridad cibernética. Esto, a su vez, alienta a la otra parte a aumentar el FUD, lo que lleva a una espiral de miedo e inversión a regañadientes en seguridad.

Para defenderse de amenazas novedosas, las empresas necesitan algo más que una adhesión pasiva: empleados que quieran defender la organización, y que comprendan y estén de acuerdo con las responsabilidades que se les han asignado en la defensa. Para lograrlo, debemos hacer de la seguridad una propuesta que sea creíble, de modo que la gente quiera comprarla. La seguridad positiva ofrece más que proteger las cosas que nos importan de las consecuencias negativas. Nos permite participar en actividades que valoramos y tener experiencias que apreciamos. Roe sostiene que una concepción positiva de la seguridad abrirá ideas para nuevas opciones e intervenciones de políticas, y alentará a los individuos o grupos a involucrarse más en la toma de decisiones sobre seguridad y ser parte de su implementación.

Otro aspecto clave de la seguridad positiva es el lenguaje que usamos en relación con ella. Como primer paso, debemos detener la práctica de demonizar a las personas que no están dispuestas o no pueden seguir los consejos de seguridad: llamar a estas personas «El eslabón más débil» les culpa implícitamente de no poder entender o cumplir con la seguridad.

NUEVOS ENFOQUES PARA APOYAR LA CONCIENCIA DE SEGURIDAD Y EL CAMBIO DE COMPORTAMIENTO

Las simulaciones y los juegos se utilizan cada vez más, tanto para hacer más atractiva la conciencia de seguridad como para ayudar con medidas educativas más complejas y cambios de comportamiento.

Las simulaciones anti-phishing diseñadas para enseñar a los empleados a no hacer clic en enlaces sospechosos son probablemente las más utilizadas en las organizaciones en la actualidad. Su popularidad se debe al hecho de que brindan la capacidad de medir el impacto de las intervenciones y tienden a mostrar una disminución en las tasas de clics a corto plazo. El argumento es que la experiencia de haber sido víctima de una suplantación de identidad es un «momento de enseñanza» que capta la atención de los empleados y los persuade para que se abran paso a través de la educación que se ofrece. Sin embargo, Fogg, quien introdujo por primera vez el concepto de ‘momentos desencadenantes’, tiene muy claro que solo conducirán a un cambio de comportamiento si la persona tiene suficiente nivel de motivación para comprometerse con la capacitación proporcionada y la capacidad de aplicar las habilidades que se enseñan. Joinson sostiene que ciertos desencadenantes emocionales y contextuales empleados por los atacantes de ingeniería social son tan específicos y poderosos (por ejemplo, una notificación que pretende tener información sobre el tráfico o las interrupciones del transporte público poco antes del final de la jornada laboral) que no se pueden prevenir por formación.

Desde la perspectiva del factor humano, las simulaciones anti-phishing pueden ser problemáticas: 1) porque los empleados pueden percibir esto como un ataque de su propia organización, lo que reduce la confianza y 2) pueden hacer que los empleados se vuelvan tan reacios a hacer clic en los enlaces que no actúen sobre correos electrónicos genuinos que puedan ser importantes. Estos factores deben considerarse cuidadosamente en el diseño de tales simulaciones. Además, como comentamos anteriormente, el uso de mecanismos como DMARC puede reducir la cantidad de correos electrónicos sospechosos en los que los usuarios deben enfocarse, permitiendo que la educación y la capacitación estén orientadas a explicar las técnicas de manipulación e ingeniería social.

CONCIENCIA Y EDUCACIÓN EN SEGURIDAD CIBERNÉTICA

Los profesionales de la seguridad a menudo responden con medidas de sensibilización, educación y formación en materia de seguridad cuando las personas no siguen las políticas de seguridad. Pero la higiene de la seguridad debe ser lo primero: si a las personas se les sigue diciendo que el riesgo es realmente grave y deben seguir la política, pero no pueden hacerlo en la práctica, desarrollan resentimiento y una actitud negativa hacia la seguridad y la organización (lo que es contraproducente).

En la práctica, los tres términos: sensibilización, educación y formación, se utilizan a menudo de forma intercambiable, pero son elementos diferentes que se complementan entre sí:

Conciencia de seguridad. El propósito de la conciencia de seguridad es captar la atención de las personas y convencerlas de que la seguridad vale la pena. Dado que muchas organizaciones se enfrentan a la fatiga del cumplimiento y la seguridad, para citar a Cormac Herley: Más no es la respuesta: apuntar muchas comunicaciones será contraproducente. Necesitamos captar la atención de las personas y hacer que se den cuenta de que

(a) la seguridad cibernética es relevante para ellos, es decir, los riesgos son reales y podrían afectarlos, y

(b) hay pasos que pueden tomar para reducir el riesgo y que son capaces de dar esos pasos.

La elaboración de mensajes de concienciación eficaces no es una tarea fácil para los profesionales de la seguridad. Trabajar con los especialistas en comunicaciones de una organización puede, por tanto, ayudar. No solo saben cómo crear mensajes que capten la atención de las personas, sino que también saben cómo llegar a diferentes audiencias a través de los diferentes canales disponibles para ellos e integrarlos en el conjunto general de comunicaciones para evitar la fatiga del mensaje.

Educación en seguridad. Una vez que las personas estén dispuestas a aprender más sobre seguridad cibernética, podemos proveer información sobre los riesgos y lo que pueden hacer para protegerse contra ellos. La mayoría de la gente tiene actualmente modelos mentales muy incompletos y a menudo incorrectos sobre los riesgos cibernéticos. Transformarlos en otros más precisos proporciona una base sobre la cual desarrollar habilidades de seguridad cibernética. Sin embargo, es difícil determinar si la educación conduce a modelos mentales más precisos o al menos a los que los profesionales de la seguridad esperan que las personas posean. Esta divergencia debe tenerse en cuenta. Por ejemplo, Nicholson introduce la tarea Cybersurvival como un medio para comprender tal divergencia entre expertos en seguridad y empleados con el fin de informar el diseño de programas de educación en seguridad.

Entrenamiento de seguridad. La formación ayuda a las personas a adquirir habilidades, por ejemplo, cómo utilizar correctamente un mecanismo de seguridad particular, cómo reconocer y responder a un ataque de ingeniería social. Además de mostrarles a las personas cómo hacer algo, necesitamos apoyar la adquisición de habilidades permitiéndoles practicar las habilidades en un entorno en el que puedan «experimentar» con la toma de decisiones de seguridad y reflexionar sobre sus percepciones y sesgos. Algunas partes de la adquisición de habilidades pueden apoyarse en línea, pero, como todo aprendizaje, es mucho más probable que tenga éxito cuando se lleva a cabo en el contexto de una comunidad social.

Un malentendido común es que si las personas completan los tres pasos anteriores y saben qué hacer, cambiarán su comportamiento. Pero saber qué hacer y cómo hacerlo no es suficiente. La actividad humana es 90% automática, impulsada por rutinas o hábitos almacenados en el espacio de trabajo a largo plazo. El nuevo comportamiento de seguridad debe integrarse allí, pero su lugar está ocupado por un comportamiento existente (similar a una contraseña anterior). El adagio de que «los viejos hábitos son difíciles de morir» describe con precisión el hecho de que hasta que logremos eliminar el antiguo comportamiento y el nuevo comportamiento se vuelva automático, es posible que todos nuestros esfuerzos de concienciación, educación y capacitación no produzcan los cambios de comportamiento que buscamos. Esta es una empresa desafiante. Dado que la actividad productiva debe continuar mientras cambiamos el comportamiento de seguridad, solo podemos apuntar a 1 o 2 comportamientos a la vez, y embarcarnos en cambiar los siguientes 1 o 2 solo una vez que estos se hayan incorporado realmente. Tampoco se debe combinar la conciencia y la educación en seguridad con la cultura de seguridad (cf. Área de conocimiento de gestión de riesgos y gobernanza). Estos pueden ser un elemento en el desarrollo de una cultura de seguridad, pero no son en sí mismos representantes de una cultura de seguridad eficaz.

El Libro blanco de RISCS ‘La conciencia es solo el primer paso’, presenta un modelo de apoyo que las organizaciones deben proporcionar para lograr un cambio de comportamiento de seguridad. Muestra que los tres pasos que hemos discutido hasta ahora son solo los primeros pasos, y que se requieren otros cuatro pasos para lograr un cambio de comportamiento. Para respaldar estos pasos adicionales, podemos recurrir a una nueva generación de recursos de aprendizaje que han evolucionado. Y tales pasos requieren la inversión de las organizaciones, en términos de estrategia, tiempo, planificación y recursos.

SEGURIDAD INFORMÁTICA Y ERROR HUMANO

En más de 30 años de investigación sobre incidentes y seguridad, el psicólogo James Reason descubrió que prácticamente todos los errores que comete la gente son predecibles. Ocurren como resultado de fallas latentes (organización y condiciones del lugar de trabajo local) y fallas activas (errores y violaciones por parte de humanos) en combinación para permitir que ocurra el incidente. Un incidente de seguridad ocurre porque la amenaza encuentra su camino a través de una serie de vulnerabilidades dentro de la organización. Una persona puede ser la que presionó el botón equivocado o hizo clic en el enlace y causó el incidente. Sin embargo, varios otros fracasos precedieron a esto, lo que llevó a esa persona a estar en una posición en la que tomar lo que parecía ser la elección correcta resultó ser la incorrecta.

El trabajo de Reason llevó a que se responsabilizara a las organizaciones de solucionar problemas de seguridad aguas arriba a medida que se descubren, en lugar de esperar a que ocurra un incidente. El concepto de cuasi incidente describe una situación en la que los problemas de seguridad se hacen evidentes, pero se evita un incidente en el último minuto. En la mayoría de las industrias que están sujetas a normativas de seguridad, existe la obligación de informar los cuasi incidentes e investigar cualquier falla tan pronto como se descubra, con el requisito de abordar las causas fundamentales identificadas a través de la investigación para mitigar las fallas futuras.

Aplicado a la seguridad, un empleado que no sigue un procedimiento de seguridad constituye una falla activa y debe ser investigado y reparado. Si la investigación muestra que las demandas conflictivas de la tarea de producción y la seguridad llevan al empleado a ignorar la seguridad, el conflicto es una falla latente subyacente que la organización debe abordar. A menudo, el incumplimiento de la seguridad se ignora hasta que ocurre un incidente. Pero se podrían hacer muchas mejoras a las prácticas de seguridad actuales aplicando conceptos de seguridad.

Las tareas que las personas llevan a cabo con frecuencia se vuelven automáticas, mientras que las tareas que realizan por primera vez o con poca frecuencia se llevan a cabo de manera consciente, paso a paso. El psicólogo Daniel Kahneman, premio Nobel de Economía 2002 por su trabajo sobre los sesgos humanos en la toma de decisiones, describió las dos áreas, Sistema 1 y 2, y la forma en que funcionan como Pensar rápido y Pensar lento. Una idea muy importante es que la mayoría de las actividades que realiza la gente se llevan a cabo en el modo del Sistema 1, y esto es lo que nos hace eficientes. Si las personas llevaran a cabo la mayoría de sus actividades en el modo Sistema 2, no harían mucho. Las exhortaciones a «Take Five» cada vez antes de hacer clic en un enlace no son realistas cuando las personas reciben docenas de correos electrónicos de trabajo con enlaces incrustados. Además, si sin hacer clic en ese enlace o sin proporcionar información personal, no hay forma de completar la tarea principal, la productividad se ve seriamente amenazada. Los consejos no específicos como «simplemente deténgase y piense» rara vez funcionan porque detener a las personas en seco y sin apoyarlas para que logren sus objetivos de forma segura no es útil. Además, considerando la carga de trabajo de las medidas de seguridad, los expertos en seguridad deben considerar el impacto adicional que tiene seguir sus consejos en la capacidad de las personas para completar sus tareas principales, así como el impacto en la efectividad de la comunicación general entre la organización y los empleados. El uso de informes y conformidad de autenticación de mensajes basados en el dominio, por ejemplo, debería permitir a los empleados distinguir las comunicaciones internas genuinas de los posibles intentos de phishing. El uso de DMARC para proporcionar una indicación confiable de remitentes «seguros» puede reducir la cantidad de correos electrónicos sobre los que los usuarios deben tener cuidado. Aún mejor, la provisión de tecnología de navegación ultrasegura, que ahora está disponible, significa que hacer clic en los enlaces no tiene consecuencias técnicas adversas, por lo que la educación y capacitación del usuario puede enfocarse en explicar las técnicas de manipulación e ingeniería social.

Al abordar problemas complejos, los humanos a menudo tienen que combinar procesos rápidos y lentos, y hay un modo mixto intermedio, donde la ejecución de tareas no es completamente automática: algunos de los comportamientos son automáticos, pero es necesario detenerse y determinar conscientemente qué comportamiento seleccionar. Dejando a un lado los costos de productividad, los expertos en seguridad que sugieren que las personas deberían «detenerse y pensar» suponen que «modo lento» es igual a «modo seguro». Por ejemplo, el uso del modo lento también puede llevar a pensar demasiado, a racionalizar o explicar la evidencia, a plantear preocupaciones irrelevantes, a centrarse en las metas equivocadas (por ejemplo, metas de producción) y a perder una gran cantidad de tiempo y energía. De hecho, cada uno de estos modos de operación viene con su propio tipo de error humano.

Incluso en modo consciente, las personas intentan ser eficientes, recurriendo a «lo más cercano que conocen», es decir, es más probable que elijan comportamientos que utilizan con frecuencia, o aquellos que parecen más similares a la situación que encuentran. Los atacantes aprovechan esto creando sitios web de apariencia muy similar o incorporando mensajes de seguridad en sus correos electrónicos de phishing.

La razón identifica cuatro tipos de fallas latentes que tienen más probabilidades de hacer que las personas cometan errores:

1. Los factores individuales incluyen la fatiga, pero también la inexperiencia y una actitud arriesgada.
2. Los factores humanos incluyen las limitaciones de la memoria pero también hábitos comunes y suposiciones ampliamente compartidas.
3. Los factores de las tareas incluyen la presión del tiempo, la alta carga de trabajo y múltiples tareas, pero la monotonía y el aburrimiento también inducen a errores porque las personas centran su atención en las distracciones. La incertidumbre sobre roles, responsabilidades y reglas también conduce a elecciones incorrectas.
4. Los factores del entorno de trabajo incluyen interrupciones en las tareas y equipo e información deficientes. Las personas también son particularmente propensas a errores cuando cambian las reglas y los procedimientos.

Los factores de la tarea y el entorno de trabajo son claramente responsabilidad de la organización. Debería haber revisiones periódicas de qué tan bien se siguen las políticas. De lo contrario, se deben identificar y abordar las causas subyacentes. Las causas de los cuasi incidentes, errores que ocurrieron pero que no llevaron a un incidente, deben usarse de manera similar para identificar y cambiar las causas subyacentes. También necesitamos desarrollar una mejor comprensión de cómo responden los humanos cuando se encuentran en condiciones de estrés, por ejemplo, en tiempo real cuando se enfrentan a un ataque en desarrollo.

‘Nunca emita una política de seguridad que no se pueda seguir’ General MacArthur. El famoso líder militar de la Segunda Guerra Mundial, el General Douglas MacArthur acuñó la frase ‘nunca dé una orden que no pueda ser Obedecido. ”Reconoció el impacto corrosivo de una sola orden que no se puede seguir en la realidad: socava la credibilidad de todas las órdenes y de los superiores que las emiten y siembra incertidumbre y duda. Lo mismo ocurre con las políticas de seguridad: cuando los empleados se encuentran con políticas de seguridad que son imposibles de seguir o claramente no son efectivas, proporciona una justificación para dudar de todas las políticas de seguridad. Cuando las políticas no se están siguiendo, los profesionales de seguridad deben investigar, de manera no conflictiva, por qué y si es porque son imposibles o demasiado onerosos de seguir y rediseñar la solución. Kirlappos señaló que en la mayoría de los casos, los empleados no muestran un desprecio flagrante por la seguridad, sino que tratan de gestionar el riesgo que entienden de la mejor manera que saben, lo que ellos llaman seguridad en la sombra. Es posible que sus soluciones de seguridad ‘amateur’ no sean del todo efectivas desde una perspectiva de seguridad, pero como son ‘viables’, preguntar ‘cómo podríamos hacer eso seguro’ es un buen punto de partida para encontrar una solución efectiva que se adapte a la forma en que trabajan las personas.

SEGURIDAD INFORMÁTICA Y COMO ES AFECTADA POR LAS LIMITACIONES DEL DISPOSITIVO

Las características físicas de un dispositivo pueden dificultar la interacción con los mecanismos de seguridad en determinadas circunstancias. Algunas características del dispositivo pueden hacer que los mecanismos de seguridad se vuelvan difíciles de usar en cualquier circunstancia. Introducir contraseñas largas y complejas en teclados de software en un teléfono móvil lleva mucho más tiempo y es más propenso a errores que en un teclado normal. Y aunque con el uso frecuente de un teclado, la mayoría de las personas pueden llegar a ser bastante competentes para ingresar una contraseña compleja, el rendimiento no mejora cuando los humanos alcanzan una limitación básica. Lo que es particularmente preocupante desde el punto de vista de la seguridad es que una población de usuarios comienza a converger en una pequeña cantidad de contraseñas que son más fáciles de ingresar con la mínima cantidad de alternancias, lo que facilita adivinar una contraseña válida para atacantes.

Si bien2FA (autenticación multifactor) tiene beneficios de seguridad y reduce la necesidad de contraseñas seguras, no todas las soluciones de 2FA (autenticación multifactor) se pueden utilizar de forma predeterminada. Muchos usuarios encuentran difíciles los tokens ampliamente utilizados, como Digipass. Aprecian el hecho de que cabe en su billetera, pero en última instancia es «demasiado complicado». Además, más de la mitad de los usuarios de banca en línea tienen cuentas con más de un proveedor de servicios financieros. El hecho de que incluso aquellos que usan 2FA (autenticación multifactor) lo implementen de manera diferente (qué token se usa cuando se debe usar y cómo se hace referencia a los diferentes elementos de autenticación (frase de contraseña, código de acceso, frase clave) genera confusión para los usuarios. De manera similar, diferentes implementaciones de Chip y PIN crean variaciones ligeramente diferentes en la tarea que atrapan a los usuarios, lo que lleva a errores humanos.

Con la aparición de un número cada vez mayor de nuevos dispositivos, desde relojes inteligentes hasta dispositivos domésticos, y tamaños de pantalla incluso más pequeños e interacciones implícitas entre usuarios y dispositivos a través de una variedad de sensores y actuadores, considerar la ergonomía de las interacciones de seguridad es cada vez más importante. Los riesgos que surgen de las culturas

SEGURIDAD INFORMÁTICA: CONTEXTO DE INTERACCIÓN HUMANA

Tanto el entorno físico como el entorno social en el que las personas tienen que realizar tareas de seguridad afectan el rendimiento y la seguridad. La mayoría de las personas en edad laboral interactúan ahora con la tecnología en movimiento con más frecuencia que en los entornos de trabajo tradicionales de escritorio. Este cambio en el contexto de uso afecta a una serie de mecanismos de seguridad, entre ellos el de ser escuchado cuando habla por teléfono. El riesgo de ser escuchado ahora se aborda en muchos paquetes de capacitación corporativos, pero todavía se utilizan varios mecanismos de seguridad que son vulnerables a ser escuchados, por ejemplo, preguntas de seguridad como la fecha de nacimiento, el apellido de soltera de la madre. El uso de credenciales parciales solamente y la entrada a través del teclado aumenta la seguridad, pero también acentúa la carga de trabajo mental y física al mismo tiempo. Algunos atacantes también pueden intentar obtener credenciales a través de cámaras ocultas o navegar por el hombro. En general, el uso de una contraseña única (OTP) como parte de la solución a2FA podría ofrecer protección y una mejor usabilidad.

La usabilidad de los mecanismos de seguridad puede verse afectada por las siguientes características físicas:

1. Luz: con luz brillante, las pantallas pueden ser difíciles de ver, lo que puede afectar en particular a la autenticación gráfica. Los sistemas biométricos como el iris y el reconocimiento facial dependen de la información de las cámaras. La luz brillante puede provocar deslumbramiento, lo que significa que las imágenes capturadas no son lo suficientemente buenas para procesar.

2. Obviamente, el ruido interferirá con el rendimiento de los sistemas de reconocimiento de voz. Pero los altos niveles de ruido también afectan el desempeño humano en general debido a un mayor estrés y, a su vez, una mayor probabilidad de error. Los ruidos fuertes inesperados desencadenan una respuesta de sobresalto humano, que desvía la atención de la tarea.

3. La temperatura ambiente puede afectar el desempeño tanto de la tecnología como de los humanos. Los sensores de huellas digitales pueden dejar de funcionar cuando hace frío y los humanos son más lentos para señalar y seleccionar. También es posible que deban usar ropa protectora, como guantes, que dificultan o dificultan las operaciones físicas de las pantallas táctiles. Del mismo modo, un ambiente demasiado caluroso puede provocar incomodidad y el sudor puede interferir con los sensores.

4. La contaminación puede impactar el equipo operado al aire libre. Esta es una preocupación particular para los sensores de huellas dactilares y las pantallas táctiles. Los lípidos que quedan se combinan con las partículas y la grasa oscura resultante puede obstruir los sensores o dejar un patrón claramente visible en la pantalla táctil.

El contexto social en el que se encuentran las personas influye fuertemente en el comportamiento a través de valores: creencias compartidas sobre lo que es importante y que vale la pena, y normas: reglas y expectativas sobre el comportamiento real. Si el comportamiento de seguridad esperado está en conflicto con las normas de comportamiento del día a día, podemos esperar problemas. Por ejemplo, si una organización valora la satisfacción del cliente y se les dice a los empleados que sean amigables con los clientes en todo momento, una política de seguridad que requiera que el personal trate cualquier consulta del cliente como un intento potencial de extraer información no se ajustará. Comprender las razones que sustentan el incumplimiento de las políticas de seguridad puede arrojar luz sobre estos conflictos entre los requisitos de seguridad y la tarea principal. La confianza es otra norma clave. A los seres humanos no les gusta sentir desconfianza, y se ha demostrado que comunicar desconfianza a los empleados fomenta el mal comportamiento, en lugar de prevenirlo.

SEGURIDAD INFORMÁTICA: OBJETIVOS Y TAREAS

El comportamiento humano se basa esencialmente en objetivos. Las personas realizan tareas para lograr objetivos, en el trabajo: «Quiero hacer llegar esta cotización a nuestro cliente hoy», o en su vida personal: «Quiero obtener la mejor oferta de servicios públicos para nosotros». Para lograr estos objetivos, las personas completan una serie de tareas. Para preparar una cotización, esto incluiría la elaboración de los materiales requeridos y su costo, las horas-persona requeridas y su costo, las tarifas relevantes, impuestos, etc. Si una tarea tiene varios pasos o unidades, se puede descomponer en subtareas.

Estas tareas se denominan tareas primarias o de producción en la terminología de factores humanos, y diseñar las herramientas tecnológicas para que las personas puedan completar estas tareas de manera eficaz y eficiente es el aspecto más fundamental de la usabilidad. Para garantizar que las personas puedan completar las tareas de manera eficaz, los diseñadores de tecnología (y seguridad) deben conocer los requisitos de las tareas que realizan:

1. ¿Qué producto debe producirse para lograr el objetivo? La tarea debe completarse de manera efectiva, por ejemplo, si la cotización no es correcta o no se envía al cliente a tiempo, la tarea no se completa de manera efectiva.

2. ¿Existen limitaciones de tiempo y recursos? Los procesos comerciales pueden establecer un límite superior en el tiempo que pueden tomar las tareas o los recursos de los que pueden recurrir, como el acceso a la información o los servicios por los que la organización tiene que pagar.

3. ¿La tarea se realiza con frecuencia (varias veces al día) o con poca frecuencia (una vez al mes)? La ejecución de las tareas que las personas realizan con frecuencia se vuelve «automática», mientras que las tareas nuevas o que se realizan con poca frecuencia se completan de manera consciente, paso a paso. Para las tareas que se realizan con frecuencia, el diseño debe optimizar la velocidad y reducir el esfuerzo físico (que podría provocar fatiga). Para tareas poco frecuentes, el diseño debe intentar reducir el esfuerzo mental guiando a los usuarios y minimizando cuánto tienen que recordar.

La mayoría de las soluciones alternativas a los mecanismos de seguridad, como escribir contraseñas o compartirlas, se producen porque las personas intentan garantizar la finalización eficaz de las tareas de producción (para proteger la productividad empresarial). Por ejemplo, las personas a menudo guardan sus propias copias de documentos que deberían estar en un repositorio de acceso controlado, o copias en texto claro de documentos que deberían estar encriptados, porque temen no poder acceder a ellos cuando los necesitan. O cuando el esfuerzo repetido y las interrupciones resultantes de tener que ingresar una contraseña para desbloquear una pantalla son excesivos, instalan un software de movimiento del mouse para detener el bloqueo de la pantalla y tener que ingresar su contraseña. Incluso si un usuario conoce bien la contraseña, los segundos que toma se suman si es necesario hacerlo decenas de veces al día.

Por lo tanto, para evitar que se omitan las tareas de seguridad, debemos diseñarlas para que se ajusten a las tareas principales. Podemos lograr un buen ajuste de varias maneras:

• Automatizar la seguridad, por ejemplo, usando autenticación implícita para reconocer a los usuarios autorizados, en lugar de requerirles que ingresen contraseñas muchas veces.
• Si la acción humana explícita es necesaria en una tarea de seguridad, debemos minimizar la carga de trabajo y la interrupción de la tarea principal.
• Diseñar procesos que activen mecanismos de seguridad como la autenticación solo cuando sea necesario.
• Diseñar sistemas que sean seguros por defecto para que no impongan la carga de las configuraciones de seguridad y la gestión a los usuarios.

La carga de trabajo puede ser física (escribir una contraseña) o cognitiva (recordar una contraseña). En general, los seres humanos intentan ser eficientes y mantener lo más bajo posible su carga de trabajo tanto física como mental. Pero, si se les da la opción, la mayoría de las personas tomarán una carga de trabajo física adicional en lugar de una carga de trabajo mental adicional, especialmente si la tarea física es rutinaria y se puede realizar «en piloto automático». La carga de trabajo mental se vuelve rápidamente excesiva, especialmente si las tareas adyacentes requieren la misma capacidad mental, como la memoria.

Por lo tanto, para diseñar una tarea de seguridad que se ajuste bien, necesitamos conocer las tareas de producción y considerar la carga de trabajo mental y física. Antes de seleccionar una medida de seguridad, los especialistas en seguridad deben realizar una auditoría de carga de trabajo:

1. ¿Cuál es la carga de trabajo asociada con la tarea primaria y secundaria (seguridad)?

2. ¿Existen limitaciones de desempeño en la tarea principal (por ejemplo, el tiempo en el que debe completarse)?

3. ¿Existen limitaciones de recursos (capacidad mental o física, o externas, como acceso limitado a servicios pagos)?

4. ¿Cuál es el impacto de no completar la tarea de seguridad?

Medición de la carga de trabajo ¿Cómo podemos medir la carga de trabajo asociada con una tarea de seguridad? Un proxy simple es el tiempo: ¿cuánto tiempo se tarda en completar la tarea de seguridad? Tener esto en cuenta antes de implementar una nueva política o medida de seguridad sería una mejora del status quo, por lo que el impacto de una política o medida solo se considera una vez que está causando problemas. Una vez que sepamos cuánto tiempo lleva, debemos determinar si interrumpe la actividad primaria y dónde. La evaluación de si el impacto en la tarea principal es aceptable se puede llevar a cabo de manera informal, por ejemplo, con personal experimentado y gerentes de línea que conocen bien la tarea de producción. Una evaluación más formal se puede llevar a cabo analíticamente usando el método de Objetivos, Operadores, Métodos (GOMS) o empíricamente usando el Índice de Carga de Tareas NASAT (TLX).

SEGURIDAD INFORMÁTICA: LIMITACIONES Y CAPACIDADES HUMANAS GENERALES

Existen capacidades y limitaciones generales, físicas y mentales, que se aplican a la mayoría de los seres humanos. Dar a los humanos una tarea que excede sus capacidades significa que los preparamos para fallar. Cuando la demanda a la que se enfrentan está en el límite, la mayoría de los seres humanos hacen un esfuerzo por satisfacerla. Pero esto tendrá un costo significativo, que en última instancia puede resultar insostenible.

Con los dispositivos informáticos generales de hoy, la capacidad física que las tareas de seguridad pueden superar es probablemente la capacidad de detectar señales: muchos sistemas de seguridad proporcionan mensajes de estado, recordatorios o advertencias. Los humanos solo pueden enfocar su atención principalmente en una tarea a la vez. Esa atención se centrará en sus actividades principales, y muchos mecanismos de seguridad exigen más tiempo y atención del que los usuarios pueden permitirse. Esto significa que los cambios en los indicadores de seguridad pasiva a menudo no se notan, en particular si están en los bordes de la pantalla. Pedir a los usuarios que verifiquen estos indicadores los está preparando para fallar; incluso si intentan hacerlo conscientemente, su atención se centrará en la tarea principal. Si los indicadores de seguridad deben ser atendidos, deben colocarse frente a la persona y requerir una respuesta. Esto funcionará, pero solo para indicadores poco frecuentes y confiables.

Una capacidad mental clave es la memoria. Hay varios tipos de memoria. La primera distinción es entre memoria a corto plazo (STM) y memoria a largo plazo (LTM). Cuando se intenta memorizar un elemento, es necesario dar varias vueltas al bucle Stm antes de que se transfiera al LTM. STM es lo que se utiliza, por ejemplo, para contraseñas de un solo uso, como códigos numéricos mostrados por tokens o mostrados en otro dispositivo.

Si un usuario podrá recordar lo que está almacenado en LTM depende de qué tan integrado esté: los elementos que se recuperan con frecuencia están bien integrados, los que no lo están se desvanecerán con el tiempo. Eso significa que podemos esperar problemas con elementos que se usan con poca frecuencia y que requieren una recuperación sin ayuda (la recuperación asistida, por ejemplo, el reconocimiento de las propias imágenes en un conjunto de imágenes, es más fácil). LTM se divide en dos áreas distintas: el conocimiento general se almacena en la memoria semántica (LTM- SM), mientras que los elementos relacionados con la propia historia personal se almacenan en la Memoria Episódica (LTM-EM): memoria autobiográfica. Los elementos almacenados en LTM-SM se desvanecen más rápido que los de LTM-EM porque, en el último caso, uno almacena no solo el artículo, sino también las imágenes y emociones relacionadas con él.

Un criterio de seguridad importante para la autenticación basada en el conocimiento es que una credencial debería ser difícil de adivinar. Sin embargo, debido a las características físicas y mentales del ser humano, la selección de las credenciales suele estar sesgada hacia las familiares o aquellas que se pueden distinguir más fácilmente de otras.

1. Con las contraseñas, las personas intentan elegir las que son más fáciles de recordar, por ejemplo, aquellas que tienen un significado para ellas, como nombres o fechas memorables.

2. Cuando los usuarios tienen que elegir imágenes como credenciales, prefieren colores y formas fuertes sobre los más difusos.

3. Cuando se trata de fotografías de seres humanos, elegirán fotografías de personas «más atractivas» y de personas de su propio origen étnico.

4. Cuando la credencial es una ubicación particular dentro de una imagen, las personas prefieren características que se destacan.

5. Con los sistemas basados en la ubicación, las personas eligen ubicaciones memorables, por ejemplo, al elegir ubicaciones para un PIN de 4 dígitos en una cuadrícula de 5*5 números, buscan ubicaciones conectadas, ancladas en un borde o esquina de la cuadrícula.

6. El orden de los elementos de una credencial es predecible, porque existe una fuerte preferencia cultural, por ejemplo, las personas que hablan idiomas que se leen de izquierda a derecha elegirán ese orden.

7. Con las contraseñas de deslizamiento del dedo en los teléfonos Android, la gente elige entre un número muy limitado de formas.

Estos sesgos humanos reducen la diversidad (número de contraseñas diferentes) en una base de datos de contraseñas y aumentan la probabilidad de que un atacante adivine una contraseña. Para contrarrestar esto, las políticas de seguridad han excluido opciones demasiado obvias. Si bien no permite opciones muy obvias como «contraseña» como contraseña y «0000» como PIN es prudente, tener demasiadas restricciones aumenta la carga de trabajo asociada con la tarea de creación de contraseña.

Hasta ahora, hemos analizado las capacidades y limitaciones que se aplican a la mayoría de las personas. Pero, grupos de usuarios específicos tendrán necesidades adicionales que deberían informar la selección o configuración de los mecanismos o procesos de seguridad. Por ejemplo, los niños y los ciudadanos mayores pueden tener capacidades y limitaciones (por ejemplo, habilidades motoras) que difieren de las de los adultos en edad laboral. Las personas con dedos más grandes luchan por golpear objetivos pequeños con precisión, como las teclas pequeñas de un teclado virtual. Es necesario tener en cuenta los valores y las normas culturales. También deben tenerse en cuenta las condiciones físicas y mentales de los usuarios. No todos los usuarios pueden operar el equipo con las manos, leer en las pantallas o escuchar audio. Las condiciones como el daltonismo afectan a un número considerable de personas, por lo que es necesario comprobar las imágenes utilizadas para la autenticación gráfica. Ciertos efectos de audio o video pueden dañar a los usuarios con afecciones como autismo o epilepsia.