Imagen de portada por Stephen Kruso : hermoso candado… lástima que pudieron desatornillar la cerradura.

Esta es la última parte del conjunto de notas sobre seguridad y experiencia de usuario iniciados con Introducción a seguridad en Experiencia de Usuario y continuada en Seguridad en Experiencia de Usuario: Tipos de Seguridad. Este conjunto de artículos es sólo un pantallazo general, pero espero que sirva a modo introductorio.

En este caso vamos a ver ejemplos prácticos. Dado que la Experiencia de Usuario no existe en el vacío, sino que funciona en un contexto, no voy a dar buenos ejemplos, ya que son muchos, comunes, y por otro lado, pueden no aplicar a los casos específicos del lector, agregando confusión.

Lo que sigue es un ejemplo de casos comprobados de mala experiencia de usuario (aún si la seguridad es buena) o directamente mala seguridad por mala experiencia de usuario.

Sobrecarga Cognitiva

Este es un caso muy común. De hecho, el más común en seguridad en entornos digitales o de interacción físico-digital. Como ya comentaba en la segunda entrega de esta serie, en nuestra vida cotidiana tenemos que memorizar una gran cantidad de datos de acceso para nuestros dispositivos, cuentas, accesos, etc. Un usuario promedio debe memorizar al menos 5 claves de uso común y cotidiano (y tener unas 12-15 claves guardadas o recordadas por los diferentes sistemas).

El problema es que todos los tipos de sistemas de seguridad pueden ser diferentes. Y aquellos que no lo son, pueden formar parte de sistemas innecesariamente intrincados y ridículamente complicados.

Por ejemplo:

“Elija una clave de 10 dígitos, que tenga letras mayúsculas y minúsculas, y al menos un número. No puede comenzar con un número.”

Lo más probable es que el usuario elija un nombre de la familia y una fecha, seguramente relacionada con esa persona. Cualquier hacker principiante va a entrar a las redes sociales, fijarse en los nombres de la familia del usuario y relacionarlo con su fecha de nacimiento, o cualquier fecha que encuentre. O ayudado por un scanner, probar cualquier nombre y relacionarlo con fechas.

No es tan terrible en realidad, pero se pone peor:

Su clave tiene 30 días (o 60, o 90). Debe reemplazarla para seguir usando el sistema. No puede usar una clave ya usada anteriormente.

Es fácil ver que dentro del lapso de un año, el usuario probablemente no sepa qué hacer, por lo que debe continuar con claves irreconocibles o muy difíciles de recordar. De acuerdo a estudios realizados por el MIT y otras instituciones, en más del 80% de los casos, el usuario (especialmente si es de edad avanzada) va a anotar la clave en un papel que va a llevar en su billetera.

Supongo que cualquier persona leyendo esto se dará cuenta del error grosero y casi imperdonable de este tipo de procesos sin necesidad de explayarnos. Las consecuencias no sólo son claramente identificables, sino que pueden llegar a ser trágicas.

Sobreingeniería

Existe un concepto llamado “sobre-ingeniería“; básicamente, es el concepto de tratar de solucionar problemas que no existen, o generar soluciones muy complejas e intrincadas a problemas muy simples. En desarrollo de sistemas, usabilidad, marketing, etc, es el concepto opuesto a K.I.S.S. (acrónimo de “Keep it Simple, Stupid!”, que se traduce como “¡Hacelo simple, estúpido!”).

En este caso, un típico caso de sobre-ingeniería es el de los cajeros automáticos, o ATM. Quién más quién menos, todos tenemos que lidiar con ellos, pero en algunos casos sus medidas de seguridad son tan complicadas que terminan en el opuesto exacto.

Uno de los peores casos de sobre-ingeniería referido a los cajeros automáticos es el de la tarjeta de coordenadas. La misma es una tarjeta (real, formato físico) que el usuario debe usar para realizar operaciones bancarias en un cajero automático y en algunos casos también en operaciones telefónicas. Aquí pueden ver un ejemplo:

El modo de uso más común es el siguiente: el usuario ingresa con su tarjeta de crédito, débito, etc, la inserta en el cajero automático y el mismo le pide una clave al usuario. El usuario ingresa la clave y luego selecciona una acción, para lo cual el sistema indica “ingrese los números de las coordenadas A1, C5 y H9”. En caso de que el usuario ingrese los datos correctamente, el sistema permite que realice la acción deseada. De lo contrario, pedirá otra serie de números. Si el usuario equivoca 3 veces, el sistema se bloquea. Parece muy seguro, ¿no es cierto?

Pues…… ¡NO! Según una investigación realizada por nuestro equipo, este sistema es muy complejo, con una enorme carga cognitiva y claramente inseguro. En este estudio, realizado sobre 48 usuarios de productos bancarios con tarjetas de coordenadas se obtuvieron los siguientes resultados:

• El 71% de los usuarios que usaron esta tarjeta por un espacio de tiempo superior a un año (esto es, 27 sobre 38) tuvieron sus cuentas bloqueadas al menos una vez por errores involuntarios. 21 usaron la tarjeta por más de dos años; de los mismos, el 95% (20) tuvieron sus cuentas bloqueadas.
• De este 71%, el 51% (14 sobre 27) tuvieron la tarjeta bloqueada más de una vez.
• 87,5% del total de usuarios (42 sobre 48)  consideran a la tarjeta de coordenadas muy compleja
• 39% de los usuarios (21 sobre 48) se quejaron de que son difíciles de ver, especialmente cuando están apurados/presionados. De este grupo, sólo 14 (66%) necesitaban anteojos para ver de cerca.
• 66% del total (32 sobre 48) expresaron algún tipo de queja contra la entidad emisora de las tarjetas
• 73% (35 sobre 48) expresaron algún tipo de temor o inquietud sobre el hecho de llevar una tarjeta de coordenadas junto con su tarjeta de crédito o débito.
• 85% (41 sobre 48) expresaron su incapacidad de comprensión acerca de cómo la tarjeta de coordenadas impediría el acceso a su cuenta, dado que se llevan juntas, por lo que un ladrón tendría ambas.
• 2 de las personas encuestadas sufrieron asaltos a mano armada. En ambos casos, los ladrones se llevaron las tarjetas de coordenadas. En ningún caso las mismas evitaron el robo de dinero.

Finalmente, en el análisis semántico cualitativo de las encuestas, destacaron las siguientes palabras: preocupación, stress, miedo (o temor), estafa, robo.

Si alguien piensa que esto es un sistema seguro, que la experiencia de usuario es buena, o que hay algo remotamente positivo en este sistema… pues bien, los datos demuestran que están equivocados.

Consideraciones

¿Por qué este sistema falla tanto y de manera tan continua si en teoría debería ser muy seguro? Puede haber muchas razones dependiendo del caso, pero en general, la razón principal parece ser el pasaje entre las dimensiones digital y analógico, y las interrupciones en el esquema del usuario. Primero, veamos lo que significa esquema en psicología:

• Un patrón organizado de pensamiento o comportamiento.
• Un conjunto estructurado o ideas preconcebidas.
• Una estructura mental que representa algún aspecto del mundo.
• Una estructura de conocimientos específicos o representación cognitiva del yo.
• Un marco mental centrado en un tema específico, que nos ayuda a organizar la información social.
• Las estructuras que organizan nuestros conocimientos y suposiciones sobre algo y son utilizados para la interpretación y procesamiento de la información.

¿Ya lo van viendo? ¡Seguro que sí!

Ahora visualicemos lo siguiente:

Aquí podemos ver una pantalla de un cajero automático. Letras y números grandes, alto contraste. Las acciones posibles tienen etiquetas claras y sólo debemos tocar en la pantalla (o en algunos casos, botón a los costados de la pantalla) para seleccionar la opción correcta.

O sea, en nuestro esquema cognitivo, vamos a saber que tendremos una interfaz clara y visible, con poca (o nula) ambigüedad , con apropiadas medidas de accesibilidad y que requerirá sólo tocar la pantalla una vez por cada opción. Este es un sistema simple, efectivo y que al día de hoy no representa grandes inconvenientes.

 

 

Pasemos a la siguiente imagen:

Aquí tenemos una interfaz analógica o física. Hay filas y columnas de números, los cuales debemos identificar correctamente. Los datos pueden ser difíciles de ver para personas con visión disminuida (nótese que elegí una imagen de alto contraste para evitar desviaciones del análisis. Asímismo, la imagen es un 50% más grande que la real)

Nuestro esquema para este caso será de alta carga cognitiva y fricción. Debemos sacar esta tarjeta de nuestro bolsillo o billetera, revisar los números mientras otra gente espera en la fila y debemos procurar no equivocarnos para evitar el bloqueo de nuestra cuenta y así quedarnos sin dinero, o realizar la acción que queremos hacer.

¿Se entiende por qué en el análisis semántico las palabras stress y miedo destacaron inmediatamente entre los encuestados?

Mezclándolo todo

O sea que tenemos un proceso de alta fricción (una actividad financiera) que se divide en dos sub-procesos: uno simple y con poca carga cognitiva, y uno complejo con alta carga cognitiva. Los esquemas son completamente diferentes, casi opuestos. Ahora… mezclemos ambos procesos:

• digital (datos de cuenta, seleccionamos opción, para esta opción nos pide datos de una tarjeta de coordenadas que afortunadamente llevamos encima)
• analógico (buscar tarjeta de coordenadas)
• volver a digital (continuar proceso, nos pide ingresar primera coordenada axial)
• analógico (tratar de ubicar la coordenada pedida)
• digital (ingresar la coordenada, nos pide otra más)
• analógico (buscar otra coordenada)
• digital (ingresar segunda coordenada, nos pide otra más)
• analógico (buscar tercer coordenada)
• digital (ingresar datos de tercer coordenada, continuar el proceso en la dimensión digital)

¿Les parece que este proceso está bien?

mientras mayor la fricción, mayor las posibilidad de equivocaciones Click To Tweet

Aclaro una cosa: ¡este flujo representa un proceso exitoso donde el usuario no cometió ni un solo error! ¿Se dan cuenta la magnitud del problema? En el mejor de los casos, es un sistema sumamente complejo y de extrema fricción. Vale otra aclaración: mientras mayor la fricción, mayor las posibilidad de equivocaciones. Ergo, este “mejor de los casos” cada vez es más difícil de lograr.

Lo que se está olvidando en estos casos es que un usuario tiene que interactuar con el sistema, y su motivación es muy simple (por ejemplo, retirar dinero de un cajero automático). Es una actividad banal, mundana y que se “da por hecho” sin mayores complicaciones.

Por el contrario, alguien que quiere vulnerar el sistema tiene motivaciones muy fuertes, conocimientos muy por encima del usuario promedio, y herramientas para ayudarse (incluso automáticas, o sistemas electrónicos que no requieren ningún esfuerzo de su parte). Por lo tanto, hacer el sistema más complicado va a afectar al usuario en una mayor medida que a un ladrón o a un hacker. Peor aún: en casos como el de los cajeros automáticos, aumenta la posibilidad de asaltos violentos para que el cliente diga los datos necesarios a la fuerza.

hacer el sistema más complicado va a afectar al usuario en una mayor medida que a un ladrón o a un hacker Click To Tweet

Hacia una seguridad amigable

Entonces podemos ver que hay una clara relación entre Experiencia de Usuario, su psicología y la seguridad de los sistemas. Mientras más complicada sea la seguridad, peor va a ser la usabilidad y el sistema va convirtiéndose en más inseguro. El usuario de estos sistemas no vive el concepto de seguridad como algo que lo protege, sino como una molestia, lo que lleva a un relajamiento de la seguridad por parte del usuario.

Pero la pregunta es… ¿cómo solucionar este problema? La respuesta, claro está, es el balance adecuado entre seguridad y usabilidad. El uso de sistemas biométricos es una de las respuestas posibles. Pero como ya se ha mencionado en Introducción a seguridad en Experiencia de Usuario, estos sistemas son costosos.

Por lo tanto, si no tenemos la posibilidad de sistemas biométricos, lo más común es el uso de claves de distintos tipos. Es aquí donde debemos extremar nuestros recaudos para lograr un balance adecuado, y la forma más simple es procurar que el usuario pueda definir sus claves de manera tal que sean de simple recordación para el usuario (¡no para el sistema, es una máquina!), amigables, simples pero difíciles de vulnerar. Por ejemplo:

YT2HHQSL9A

o

YNU9DAD89EC

 

¿Difícil? Veamos: Yo Tengo 2 Hermosas Hijas Que Se Llevan 9 Años y Yo Nací Un 9 De Abril Del 89 En Córdoba , respectivamente

Con una simple regla mnemotécnica he logrado claves sumamente difíciles de vulnerar. Si lo analizo con herramientas online obtengo lo siguiente para ambos casos :

Strength: Reasonable – This password is fairly secure cryptographically and skilled hackers may need some good computing power to crack it. (Depends greatly on implementation!)

que se traduce como:

Fuerza: Razonable – Esta contraseña es bastante segura criptográficamente y los hackers expertos pueden necesitar un buen poder de computación para vulnerarlo. (¡ Va a depender en gran medida de la implementación!)

Queremos más complejidad? Tomemos nuestro ejemplo:

YNU9DAD89EC

y luego usemos mayúsculas y minúsculas intercaladas

YnU9dAd89Ec

Con este pequeño truco, subí la entropía de mi clave anterior a 50.9 bits. Hagámoslo más complejo:

YnU9dAd*89Ec/

Simplemente instruyo al usuario a usar caracteres especiales para reemplazar un faltante, y agregar otro carácter al final (y/o principio) de la clave. Con sólo hacer eso (reemplazo el 19 de 1989 con * y agrego / al final) subí la entropía de mi clave anterior a 64.8 bits, que es lo que se requiere para claves de alta sensibilidad, como operaciones financieras. Y lo mejor de todo: ¡el usuario va a poder recordarla usando lenguaje natural y seremos capaces de asistirlo si olvida la clave!

En resumen: si yo educo a mis usuarios en uso de sistemas similares, puedo lograr que creen claves muy complejas y seguras, y a la vez muy fáciles de recordar.

 

Bonus

Olvidé la cereza de la torta, esta genialidad de XKCD (lo siento, sólo para los que saben inglés). Es más o menos lo que dice esta nota, sólo que en clave humorística. El corolario es:

A través de 20 años de esfuerzos, hemos entrenado exitosamente a todos para usar claves difíciles de recordar para los humanos, pero muy fáciles de deducir para una computadora

 

Update

Luke W agregó esta imagen mostrando sistemas increíblemente complejos de acceder a información. La tarjeta de coordenadas de nuestro ejemplo palidece ante las siguientes pesadillas (dar clic para tamaño real):