Behavioral Economics: ¿Por qué seguimos con el 123456 como contraseña?
En un mundo tan hiperconectado como el actual, la ciberseguridad es vital para estar protegidos ante cualquier tipo de estafa o fraude. Uno de los principales pilares para evitar ser víctima de los ciberdelincuentes es el uso de contraseñas seguras.
A pesar de que la mayoría de los consejos para crear contraseñas robustas los hemos escuchado hasta la saciedad, muchas personas siguen usando números consecutivos en sus claves de acceso. De hecho, el ‘National Cyber Security Centre’ (NCSC) señala entre el top cinco de las contraseñas más comunes:
- 123456
- 123456789
- qwerty
- password
- 1111111
Ante esta cuestión cabe preguntarse por qué no se siguen los consejos básicos de ciberseguridad. “Aunque la tecnología puede mitigar muchas deficiencias relacionadas con las contraseñas, existen otras deficiencias relacionadas con el factor humano que no pueden cubrirse solo con tecnología”, afirma Alejandro Rodríguez, líder global de Behavioral Economics en BBVA. La tecnología actual permite controlar la longitud de las contraseñas, que se utilice variedad de caracteres alfanuméricos, combinación de mayúsculas y minúsculas, o incluso que al cambiar a nueva contraseña no se repita alguna que ya fue usada anteriormente. “Sin embargo, con tecnología no podemos prevenir otros malos hábitos relacionados con las contraseñas, como que se utilicen ciertos patrones al establecer nuevas contraseñas que las hacen débiles, como las mencionadas anteriormente, o que se repitan contraseñas entre diferentes aplicaciones”, afirma el experto.
La ciberseguridad en BBVA
Ese es precisamente el objetivo del equipo de ‘People Information Security’ de BBVA. “Nuestra misión es evitar que debido a un factor humano se comprometa la seguridad de la organización”, explica Begoña García, responsable global de ‘People Information Security’ en la entidad. Ante la multitud de ciberataques y la desigual efectividad de las acciones de concienciación y prevención de los mismos, “realizamos un estudio junto con el equipo de Behavioral Economics, con el fin de que estas acciones sean más efectivas y eviten que se produzcan esas debilidades que no cubre la tecnología”.
En primer lugar llevaron a cabo es un análisis para conocer cuáles son las principales barreras cognitivas que tienen las personas para crear contraseñas más seguras, identificándose algunas como:
- Sobreconfianza: “mi contraseña es segura”
- Incertidumbre - aversión al riesgo: “desconozco si mi contraseña es segura”
- ‘Status-quo’: “recuerdo fácilmente mis contraseñas actuales”
- Sobrecarga cognitiva: “poner contraseñas más complejas requiere esfuerzo y además no las recuerdo bien”
Ante estas barreras cognitivas que se identificaron, el equipo preparó un test a través de dos comunicaciones diferentes. “Comparamos estas dos pruebas con la comunicación original, diseñada sin tener en cuenta ningún tipo de sesgo cognitivo, y enviamos las tres comunicaciones a diferentes grupos de usuarios para medir los resultado”, explica García.
Los resultados de esta prueba resaltaron que las comunicaciones en las que se tienen en cuenta los mecanismos cognitivos lograron generar más interés, incrementando hasta un 23% el número de usuarios que se interesaron por crear contraseñas seguras, frente a la comunicación tradicional. Además, estas comunicaciones perfeccionadas duplicaron el número de usuarios que cambiaron su contraseña frente a la comunicación tradicional.
“Este tipo de test nos sirven para comprobar los beneficios de tener en cuenta los sesgos cognitivos a la hora de comunicar. Los participantes afirmaron ser más conscientes de que su contraseña podría ser menos robusta y se les facilitaba la acción para hacerlas seguras”, señala la experta. “Adicionalmente nos ayudó a extraer más aprendizajes. Quedó patente que el momento en el que nos dirigimos al usuario puede no ser el óptimo, siendo más oportuno dar este tipo de mensajes que fomenten las contraseñas seguras en el momento de generación y renovación de contraseñas”, concluye.
Se trata de un ejemplo más en el que la aplicación de Behavioral Economics en el ámbito de la ciberseguridad ayuda a mitigar el riesgo del factor humano, haciendo a las personas más conscientes del riesgo, facilitando la acción de hacer las contraseñas seguras, dando al usuario la información en el momento oportuno y, en definitiva, logrando modificar positivamente los comportamientos de las personas para hacerlos más seguros.