La Dra. Lorrie Cranor, de la Universidad Carnegie Mellon, habló sobre lo que la industria de la seguridad hace mal de manera constante en el almuerzo ejecutivo RSAC de National Cybersecurity Alliance, celebrado en San Francisco en marzo de 2026.  

En una conversación amplia con el experto en ciberseguridad John Elliott, instructor de la iniciativa de la NCA Cybersecure My Business, explicó cómo muchos sistemas hoy en día les piden a los seres humanos hacer cosas que el cerebro humano literalmente no puede hacer.  

Cuando le dejamos los problemas de seguridad al usuario, dijo, "No se lo dejamos al usuario de una manera en que realmente pueda hacerlo", y mencionó cómo, durante muchos años, esperamos que la gente recordara docenas de contraseñas largas, únicas y complejas.  

Cranor, quien es la directora del CyLab Security & Privacy Institute de Carnegie Mellon, lleva mucho tiempo insistiendo en esto. Elliott, quien dijo que estaba "deslumbrado" por Cranor, mencionó el libro de 2005 Security and Usability: Designing Secure Systems That People Can Use. Elliott dijo que el libro cambió por completo su forma de ver la ciberseguridad hace 20 años.  

En la conversación, Cranor mencionó varias formas en que la industria pone a la gente común en desventaja y qué se puede hacer al respecto. 

1. Piensa en hacer que la seguridad sea fácil 

Demasiado a menudo, Cranor cree que les pasamos a los usuarios tareas de seguridad que son difíciles o confusas. Puso como ejemplo las advertencias de certificados del navegador: hace 10 años era muy normal verlas incluso en situaciones benignas. Como resultado, la gente simplemente "las descartaba todas", dijo. También hacían eso durante el raro momento de un ataque real de intermediario. Como ejemplo positivo de cambio, señaló que ahora esto suele automatizarse y ya no depende del usuario.  

Hoy, ella se centra mucho en cómo abordamos las contraseñas. Mencionó que los administradores de contraseñas son una solución fácil y escalable: "Sí fallan, pero no fallan muy a menudo" en comparación con reutilizar contraseñas.  

Dijo que el objetivo a largo plazo es eliminar por completo las contraseñas y que las personas usen dispositivos para autenticarse (con llaves de acceso, por ejemplo): "Deberíamos salir de una situación en la que necesitamos tener docenas o cientos de contraseñas para recordar." 

2. La concientización sigue siendo importante 

Cranor sigue viendo mucho valor en las campañas de concientización, en particular sobre la inteligencia artificial (no la mencionó, pero un ejemplo es la campaña de la NCA Timados por la IA, Mantente alerta). 

"Estamos entrando ahora en una época en la que la IA generativa puede generar correos de phishing mucho más convincentes, así como video y audio deepfake", señaló Elliott.  

"El primer paso es hacer que la gente sepa que esto está ocurriendo y que la IA es extremadamente avanzada", respondió Cranor, pero mencionó que quiere que la industria vaya más allá de un simple mensaje de "ten cuidado". 

"Si solo paso todo el día teniendo cuidado, no voy a hacer nada", dijo, y mencionó que le gustaba la idea de palabras clave para las familias.  

3. La ciberseguridad puede ser divertida 

Aunque algunas de sus afirmaciones fueron alarmantes y el cambio ha sido lento a lo largo de las décadas, todavía ve oportunidades para hacer que la ciberseguridad sea divertida. Sorprendió al público con un vestido estampado con contraseñas malas (como “jennifer”) que hizo ella misma; ¡incluso hizo un vestido de gala personalizado con contraseñas malas! También escribió un libro para niños de 4 a 6 años para enseñarles los conceptos básicos de privacidad. 

Cuando le preguntaron cuál es la mayor forma en que la industria malinterpreta la seguridad, dijo que “no realiza pruebas de seguridad con usuarios cuando prueba sus productos con usuarios ... la seguridad se ve como una pequeña parte secundaria”. 

"Los humanos cometen errores, pero cometen errores haciendo cosas que en primer lugar no deberían tener que hacer", opinó.  

Para Cranor, su esperanza es que los sistemas se vuelvan más seguros para que los usuarios tengan que hacer lo menos posible.