¿Por qué los usuarios ignoran todas las recomendaciones de seguridad?

El magnífico paper "So long, And no thanks for the externalities: The Rational Rejection of Security Advice by Users" de Cormac Herley de Microsoft, lo expone claramente.

En el se examinan 3 áreas en las que la comunidad de Seguridad ha puesto grandes esfuerzos en materia de educación a los usuarios, pero sin grandes resultados:

• Las reglas de una buena contraseña
• La identificación de sitios phishing
• Los avisos de certificados SSL

Las recomendaciones en cada uno de esos tres puntos son complejas y cada vez mayores. Los beneficios de seguirlas dudosos. Esto genera la siguiente ironía:

Muchas recomendaciones de Seguridad no sólo hacen más daño que el beneficio que generan (por lo cual se suelen ignorar) sino que hacen más daño que los ataques que puedan prevenir.

No son los usuarios quienes necesitan una mejor educación en los riesgos de Seguridad, sino, la comunidad de Seguridad.

Coste de un fraude financiero online

Mientras la "concienciación de los usuarios" es una de las mejores medidas para luchar contra el fraude online, el coste-beneficio de que lleven a cabo las recomendaciones dadas, no es favorable. Los costes y beneficios deben ser aquellos que importan al usuario, no aquellos que nosotros pensamos deben importarle.

Estudios con métricas anteriores y posteriores a campañas de concienciación podrían mostrar datos objetivos del beneficio real de seguir recomendaciones de seguridad. 

En definitiva, dicho paper, da respuestas a todo aquel que se pregunta que falla en la concienciación de seguridad a los usuarios, y que líneas seguir para no caer en errores conocidos.

HoneyTech -empresa de concienciación- rebatiendo el paper