Cuando se le pide que cree una contraseña, ya sea para una nueva cuenta en línea o para restablecer la información de inicio de sesión de una cuenta existente, es probable que elija una contraseña que sepa que puede recordar. Mucha gente usa contraseñas extremadamente básicas, o uno más oscuro que reutilizan en muchos sitios. Nuestra investigación ha encontrado que otros, incluso aquellos que usan contraseñas diferentes para cada sitio, tienen un método para diseñarlas, por ejemplo basándolos todos en una frase familiar y haciendo ajustes específicos del sitio.

En todos esos casos, la gente está creando contraseñas débiles que se adivinan fácilmente, especialmente cuando se enfrentan a un software automatizado de descifrado de contraseñas que puede probar miles de posibilidades por segundo. Una razón de esta debilidad bien podría ser la conexión emocional de sus usuarios con su rutina de creación de contraseñas preexistente.

Los esfuerzos de seguridad cibernética a menudo alientan a las personas a elegir contraseñas más seguras, pero rara vez reconozca la idea de que la gente tenga este sentimiento de apego. Se enfocan en la mejora medible de la seguridad sin darse cuenta de que están tratando de persuadir a las personas para que cambien a un método menos personal.

Tendencias inseguras

Las contraseñas son clave para la ciberseguridad para personas y empresas. Una sola contraseña incorrecta puede otorgar a un pirata informático acceso a una red completa de computadoras y servidores de almacenamiento de datos.

Como resultado, muchos sistemas informáticos obligan a los usuarios a crear nuevas contraseñas con regularidad, por ejemplo, cada 30 o 45 días, y requieren que todas las contraseñas contengan letras mayúsculas, números y caracteres de puntuación a pesar de que los expertos federales desaconsejan estas dos prácticas. Exigir regularmente a las personas que elijan nuevas contraseñas que son difíciles de recordar conduce a efectos secundarios desafortunados. Las personas podrían reutilizar una contraseña segura en varios sitios, o podrían escribir la nueva contraseña, que es segura solo si confía en las otras personas que tienen acceso al lugar donde almacena el registro.

Capacitar a las personas para crear contraseñas seguras no ha supuesto una gran diferencia en la seguridad general de las contraseñas en Internet. Es posible que las personas no comprendan los riesgos relacionados con las contraseñas débiles, aunque algunos expertos culpan a los defectos de carácter, estupidez o simplemente indiferencia.

El efecto de la dotación

Nuestra investigación ha identificado otra explicación de por qué las personas eligen contraseñas débiles:las personas sienten que poseen, y están emocionalmente apegados a la forma en que suelen crear contraseñas. En economía del comportamiento, este tipo de respuesta se llama efecto de dotación, en el que las personas sobrevaloran tanto sus posesiones existentes que no quieren cambiarlas por otros artículos, incluso si el nuevo artículo es mejor o más valioso.

El efecto de dotación generalmente se aplica a los bienes físicos y puede ayudar a explicar por qué su abuela no quiere comprar una nueva lavadora para reemplazar la que tiene hace décadas. Nuestra investigación sugiere que el mismo proceso psicológico influye en la forma en que las personas contemplan sus rutinas de creación de contraseñas.

En nuestro estudio, preguntamos a 419 participantes cómo crearon sus contraseñas. Muchos usaron algo que ya sabían como el nombre de una mascota o su propio cumpleaños. Otros habían desarrollado un sistema personal. Pueden tener una contraseña de root y luego personalizarla para cada sitio diferente, use un patrón en el teclado o invente una oración tonta.

Cuando indagamos más profundamente, Descubrimos que las personas tenían un sentido de propiedad y un orgullo personal acerca de su rutina de creación de contraseñas. Uno dijo:"Creo que mi camino es un buen sistema". Además, Descubrimos que sobrevaloraron su propio método y se sintieron amenazados por las sugerencias de que era defectuoso.

Proporcionamos un escenario en el que "Terry" se burla de la rutina de creación de contraseñas de "Pat", y luego preguntó a la gente cómo pensaban que reaccionaría Pat. Las respuestas más populares fueron:ponerse a la defensiva, evitando la conversación o apartándose de ella. Todo esto sugiere que una crítica de la rutina de una contraseña personal se percibió como un ataque o una amenaza.

Estas respuestas que encontramos encajaban perfectamente con el efecto de dotación, incluso descubrir que los participantes trabajaron bajo la ilusión de que sus contraseñas brindaban más protección de la que realmente brindaban.

Más que un hábito

El apego que sienten las personas a su método de elección de contraseñas es más que un hábito. Psicológicamente hablando, un hábito es un comportamiento provocado por un evento o un elemento en el entorno, como cepillarse los dientes antes de acostarse, lavarse las manos antes de las comidas o apagar las luces al salir de una habitación. Suelen ser casi automáticos y no requieren una decisión deliberada o mucha reflexión. Algo que es un hábito parece ocurrir naturalmente, sin que ninguna decisión deliberada provoque su activación.

Elegir una contraseña es diferente. Siempre requiere una cognición deliberada y esforzada. Eso es lo que pone en juego el efecto de dotación. Los programas de capacitación en ciberseguridad deben incluir información no solo sobre cómo elegir contraseñas más seguras, pero también debe reconocer que los usuarios pueden sentir una sensación de pérdida por el cambio.

La gente no elegirá contraseñas más seguras solo porque se lo pidan. Si sienten que sus métodos existentes están siendo tratados con desdén, podrían percibir eso como un ataque personal, y es menos probable que adopten prácticas más seguras.

En lugar de, Los expertos en seguridad deben encontrar formas de minimizar la sensación de pérdida de los usuarios, y tal vez incluso alentarlos a encontrar una nueva conexión emocional con un método de elección más seguro.

Este artículo se ha vuelto a publicar de The Conversation con una licencia de Creative Commons. Lea el artículo original.