En un artículo anterior, ya hemos visto una pequeña introducción a Seguridad en Experiencia de Usuario. Como pudimos ver, hay muchas variables que afectan esta experiencia. Y como bien sabemos, las variables que conforman el conjunto de acciones posibles en un proceso de interacción, van a ser las que definan el resultado mismo del proceso, haciéndolo mejor, peor o directamente inviable. Estas variables pueden ser medidas por distintos métodos, tanto cualitativos como cuantitativos.

Queda claro que necesitamos seguridad en nuestras interacciones, muchas de nuestras actividades cotidianas dependen de ello. Algunas veces la seguridad de un determinado proceso no nos es evidente, sino que la damos por hecho. Otras veces, las medidas de seguridad son más evidentes, incluso cuando a priori no parezca necesario.

Debido a esta necesidad, y como preámbulo del tema de este artículo, exploremos algunos de los tipos de seguridad posibles.

Seguridad Imperativa

El estacionamiento de una casa tiene un cartel que Prohibe Estacionar. El dueño de la casa no tiene autoridad real. Sin embargo, la orden se respeta

Este tipo de seguridad es la que emana de una autoridad reconocida, por lo que no necesita una identificación, aún cuando esa autoridad no esté presente para hacer esta seguridad efectiva. Por ejemplo: un cartel de No Estacionar implica un proceso en que el sistema confía en que esa advertencia será suficiente, mientras que el usuario determina que hay razones válidas para que dicho cartel exista, y por lo tanto sigue las instrucciones.

Este tipo de seguridad se basa en leyes y acuerdos sociales, y aún cuando es la que requiere menor supervisión en lo cotidiano y menor interacción de los usuarios con el proceso de seguridad propiamente dicho, es la más efectiva y de la cual van a depender todo los otros tipos de seguridad.

Nota: los imperativos categóricos e hipotéticos son centrales en la deontología formulada por Immanuel Kant en su obra Fundamentación de la metafísica de las costumbres.

Seguridad Psicológica e Implícita

Esa seguridad puede ser simplemente psicológica e implícita, en un ida y vuelta en que el dador y el receptor demuestran una confiabilidad mutua. Cuando publico un sitio web, confío en que el usuario no va a tratar de hacer un daño al usar mi sitio, y confío que la visita del usuario a mi sitio va a ser positiva. Igualmente, el usuario va a confiar en que yo no voy a tratar de hacerle un daño y que vale la pena visitar mi sitio web.

Otro caso muy común son las/los trendsetters (modeladores de tendencias, como por ejemplo Youtubers, Instagramers, personalidades de Facebook, etc). El usuario va a confiar en lo que estas personas digan, ya sea por admiración, emulación o simplemente porque otras/os integrantes de su grupo de pertenencia también lo hacen.

Seguridad Explícita

Sin embargo, y por distintas razones, es más común que necesitemos métodos explícitos de seguridad. O sea: el usuario, el sistema o ambos necesitan un proceso de seguridad determinado para poder realizar sus tareas de la manera más efectiva y… segura (valga la redundancia).

Estos métodos, como ya vimos en Seguridad en Experiencia de Usuario, pueden tomar diferentes formas y usar distintas aproximaciones. Sin embargo, lo que los une es el reconocimiento por parte del usuario de la existencia de los mismos, y de la necesidad de interactuar con el sistema. Estos hilos conductores tienen profundas implicancias en la experiencia de nuestros usuarios, con especial énfasis en los factores psicológicos. Un ejemplo concreto: para un usuario de tarjetas de crédito, acceder a su resumen de cuenta sin necesidad de contraseña seguramente va a ser muy rápido y cómodo. ¡Pero difícilmente el usuario va a estar satisfecho con nuestro (inexistente) proceso de seguridad!

Para ser más claros: cualquier proceso de seguridad explícito va a requerir de un determinado grado de “molestia” al usuario. La determinación del balance entre molestia y usabilidad es lo que va a marcar la diferencia para nuestros usuarios. Una de estas molestias es la invasión de la privacidad del usuario, y la absoluta falta de control del usuario por sobre sus datos, lo que hace, los sitios que visita, etc. Como profesionales de UX, sabemos que esos datos son centrales para crear experiencias apropiadas para nuestros usuarios y nuestros clientes, y nos costaría mucho resignar tan gigantesca fuente de información. No obstante, la invasión de la privacidad no deja de ser una realidad, y un (espantoso) signo de los tiempos.

Falsa Seguridad

Debido a la razón mencionada arriba, algunas empresas usan lo que podemos llamar Falsa Seguridad: o sea, bajo la apariencia de un proceso de seguridad, la realidad es que sólo se busca identificar al usuario para venderle productos.

Es conocido el caso de empresas como Google y Facebook (que jamás lo negaron), pero cada día se suman más empresas, que tratan de disfrazar sus intenciones reales bajo la apariencia de seguridad. El problema es que a veces los usuarios saben que es un engaño, por lo cual esta trampa se vuelve en contra.

Ejemplo concreto: La Nación.

Un ejemplo reciente (vale decir, dentro de las 24 horas de escribir este artículo): el diario La Nación decidió comenzar a brindar acceso sólo a usuarios registrados. Antes, era necesario registrarse sólo para hacer comentarios, ahora para leer las notas. Al mismo tiempo, cambiaron la pantalla de acceso, prometiendo a los usuarios que esto era por su beneficio y nada más.

Sin embargo, las supuestas “ventajas” de este registro eran sólo que se podía comentar (como antes) y, fundamentalmente, una serie de ítems relacionados con publicidad. Finalmente, se eliminó la posibilidad de conectar con el nombre de usuario existente para obligar a los usuarios a conectarse sólo por medio de cuentas de medios sociales (hay razones de mucho peso y $$$ para esto).

Casi inmediatamente los usuarios empezaron a quejarse en todos los comentarios, por lo que el diario reaccionó también inmediatamente, haciendo lo siguiente: se sigue requiriendo el registro, pero se eliminaron todas las “promesas” de que esto era por el bien del usuario, y se agregaron unas líneas en letra chica especificando muy claramente que este proceso es a fines publicitarios.

– Deseo recibir mensajes de S.A. LA NACION, sus vinculadas y anunciantes y puedo cambiar mis preferencias de suscripción en Mi cuenta.

Aunque no podemos saber realmente qué pasó, es muy interesante ver que el “experimento” duró menos de 24 horas… en un día feriado (el 25 de mayo es feriado en Argentina), por lo que podemos suponer que el problema causado fue muy grave. Lo encomiable es la rapidez con que se actuó para solucionar el problema.**

Aquí se puede ver el ANTES y el DESPUÉS:

Hacer click para ver imagen en tamaño completo

Resumiendo

Como podemos ver, el concepto de seguridad es de gran complejidad, y es muy difícil balancear usabilidad y seguridad sin un conocimiento adecuado de sus implicancias y sin un adecuado testeo posterior. Pero siempre debemos tener en cuenta que, sin importar el proceso realizado, ni las razones del mismo, el grado de fricción y carga cognitiva para el usuario va a ser importante para nuestro diseño de un sistema efectivo.

Es por esta razón que estas medidas de seguridad son llamadas en inglés como Login Wall, Stop Wall o Pay Wall (muro de inicio de sesión, muro de detención o muro de pago respectivamente): es necesario que el usuario comprenda que hay una interrupción de un proceso “libre”, una barrera que el usuario deberá franquear para continuar con su experiencia.

Y es aquí mismo donde empieza el problema; muchas veces se deja este tema en manos de programadores sin conocimiento de experiencia de usuario que usan un razonamiento que a primera vista tiene cierta lógica: mientras más trabas y problemas pongamos a los usuarios, más seguro va a ser el sistema. Lamentablemente, este razonamiento no es correcto, tal como demuestran los datos de la realidad (los cuales vamos a ver en un próximo artículo).

** Al momento de publicar esta nota, La Nación hace modificaciones a este login wall casi en forma diaria, por lo que más que un accionar concreto en función de una respuesta al usuario, es más probable que estén haciendo Tests A/B

Fabio Devin

Administrador UXpañol.com
Diseñador Gráfico y UX Evangelist
Experto en Experiencia de Usuario, habiendo trabajado para distintas empresas Fortune 500, gobiernos, personalidades, etc