Ciberseguridad, población vulnerable y accesibilidad

    El mundo de la tecnología tiene muchos aspectos que nos resultan “muy oídos” pero francamente desconocidos. Y cuando son "conocidos", muchas veces los son con perspectiva errónea. Es el caso de la Ciberseguridad. Primero, porque todo lo que leemos o escuchamos sobre ello parece que le afecta a las empresas, Administraciones Públicas o entidades financieras o comerciales, por ejemplo. Pero no a las personas (usuarios). Y sí, también nos afecta, y mucho, a nosotros como individuos usuarios de productos y servicios Tic. Y sí, también estamos en constante riesgo.

    Dicho de otra forma, los problemas de seguridad (la “ciberseguridad”) no sólo afectan a las empresas, o los ordenadores y aparatos de “otros”. Nos pueden llegar a todos. Y todos debemos ser conscientes de ellos. Hay múltiples y diversos riesgos de cibersegurridad que pueden afectar a cualquier usuario: robos de pasword y credenciales, ingenieria social mediante técnicas de manipulación para hacer que el usuario revele información, pishing (estafas para conseguir datos privados del usuario), fuga de información por pérdida de dispositivos o redes inalámbricas públicas, ramsonware (cifradode datos por un malware para pedir un rescate), keyloggers (captura del teclado mediante un malware para obtener contraseñas o datos financeros), exploit (comandos para acceder a un ordenador o sistema movil y obteenr información), y por supuesto infinidad de virus, troyanos o código espía.

     Existen colectivos de usuarios especialmente vulnerables en el uso de las Tics. Para estos colectivos, la accesibilidad y usabilidad de productos y servicios es trascendental. ¿Quiénes podríamos considerar en la población con mayor riesgo?. Sin duda, personas mayores, personas con discapacidad sensorial, cognitiva y altas limitaciones de moovilidad, la infancia e incluso la adolescencia, y las personas con bajo/escaso conocimiento de las tecnologías de nuestra sociedad de la información y comunicación.

    En estos casos, si cabe más que en ningún otro, la seguridad debe empezar por hacer llegar al usuario de forma comprensible y fácil los riesgos que conlleva el uso de determinados servicios Tic de forma no adecuada, y en formas no adecuadas. Y el cómo puede "defenderse". Y el cómo debe configurar determinados parámetros básicos de seguridad en nuestro aparato y aplicaciones.

    ¿Pero qué relación tiene la Ciberseguridad y la usabilidad y la accesibilidad?. Si la ciberseguridad “es el conjunto de procedimientos y herramientas que se implementan para proteger la información que se genera y procesa a través de ordenadores, servidores, dispositivos móviles, redes y sistemas electrónicos”; la Accesibilidad en la Ciberseguridad, en lo que es controlable por el usuario, sería dotar al producto (ordenador, Tablet, smartfone, Smart Tv,…) de diseños, interfaces, configuración comprensible y fácil, contenidos y mensajes de alerta o informativos que le permitan tener el máximo control posible sobre sus datos y su utilización, acceso fácil e intuitivo a las opciones de configuración, y cumplimiento de los criterios de accesibilidad establecidos por la legislación, en el caso de portales webs y apps.

    La ciberseguridad en el uso personal de las Tics está muy influenciada por la falta de accesibilidad y usabilidad de nuestros aparatos, interfaces, sistemas operativos y aplicaciones. Y por un gran desconocimiento acerca de los riesgos que entrañan las formas de uso, las diferentes aplicaciones, o el cómo y dónde nos conectamos.

    ¿Cómo tratar de conseguir la Accesibilidad Digital en lo relacionado con la ciberseguridad, en productos y aplicaciones?. Adaptando la Tecnología a las capacidades de los usuarios. De esta forma se facilita y promueve la autonomía y confianza de los mismos. Al tiempo que permite cumplir con los principios de Universalidad de Internet, las Webs y sus servicios.

    Ya he hablado otras veces de cómo entiendo lo que defino como Responsabilidad Social Tecnológica, que engloba el conocer las distintas necesidades de la diversidad poblacional, para el acceso y uso de las tecnologías. Significa abrir el abanico de posibilidades en el uso de tal forma que, sin perder seguridad o violar la privacidad permitan a cada persona elegir la forma adecuada a sus capacidades, para interactuar. Y el primer y básico ejercicio de ciberseguridd es configurar tus dispositivos, con los que accedes a contenidos y aplicaciones (teléfono, tablet, ordenador, alarmas, IoT...) de forma que sólo TÚ o la persona de confianza que tengamos (en caso de mayores o personas con problemas cognitivos) puedan bloquear y desbloquer el acceso a su uso. Ya nos encontramos de forma habitual con portátiles, tabletas o smartphones de los principales fabricantes que incluyen diversos sistemas de autentificación, de forma que casi podríamos decir que adaptables en función de las capacidades funcionales de “su dueño”. Sistema de autentificación y bloqueo por la vista, por la huella dactilar o gestual, que vienen a completar la tradicional password o contraseña y usuario. Y esto no es intrascendente, en absoluto; si facilita la vida a cualquier usuario, que puede elegir a su gusto, pensemos en alguien que tiene limitaciones intelectuales o cognitivos, con dificultades para recordar o interactuar. Volvemos a la paradoja de siempre: lo que a muchos simplemente les facilita o permite elegir, para otras muchas personas puede ser la clave entre poder usar o no algo, en este caso de forma más segura. Pero todo ello se debe realizar bajo una premisa innegociable: la libertad, la privacidad y el juego en igual de condiciones.

Debemos ser conscientes de que la falta de usabilidad genera recelo, inseguridad, y en muchos casos “miedo” a los usuarios.

Si queremos realmente vivir en una sociedad global de la comunicación y de la información para todos, debemos hacer sus herramientas, medios y contenidos usables para todos, y esto incluye lo relacionado con la ciberseguridad. Mientras, sólo será para sectores de la población muy delimitados. Este desprecio hacia millones de usuarios, clientes y ciudadanos con necesidades especiales una sociedad puede llegar a pagarlo muy caro. Y el primer nivel, esencial e imprescindible, de la seguridad digital, es el de la información al ciudadano. Información y formación, siempre en formatos accesibles y comprensibles, de la ciberseguridad y los riesgos que corremos; y de cómo protegernos. Es fundamental simplificar la información que llega al usuario, y hacerla entendible. La comprensión es el primer eslabón de la garantía de seguridad. La utilización de formatos accesibles y comprensibles para transmitir la información y el conocimiento debe formar parte de nuestra responsabilidad como profesionales.

    ¿Cómo crear sistemas de seguridad accesibles (y usables). Al menos, siguiendo unas pautas básicas: 1) Lenguaje comprensible 2) aplicaciones cumpliendo las pautas de accesibilidad y normativa técnica 3) sistemas multimodales de autentificación 4) avisos de alarma adaptados a la edad del usuario y su capacidad cognitiva/formación 5) brindando al usuario control sobre configuraciones 6) suministrando contexto explícito sobre los elemento de las aplicaciones y/o servicios 7) Webs y apps accesibles (norma 301546).

    Errores básiso de accesibilidad, como el uso indebido de contraste en los colores de la información mostrada, o las presentaciones de la información en la pantalla de forma compleja o confusa, pueden ser dramáticos para incurrir en riesgos de seguridad para muchos mayores, personas ciegas o baja visión, o limitaciones cognitivas.

    Es necesario hacer llegar al usuario final la información de la necesidad de mantener actualizado el software del aparato cada vez que la marca lo hace. Con versiones antiguas del software operativo, "una aplicación puede usar código maligno" con acceso indebido al dispositivo, lo que significa que un hacker puede realizar acciones sin autorización. ¿Pero como hacer llegar esta necesidad al usuario o la persona de confianza, si la necesita, de forma que no desconfíe y lo entienda?. Sobre todo, de forma comprensible, amigable, en lenguaje sencillo y no técnico, coherente con lo que tratamos de enseñar, y mensajes claros ante los posibles riesgos de no mantener actualizado nuestro sistema.

    Quien quiere atacar sabe de las debilidades o inconsciencia de muchas personas en el uso de sus aparatos y aplicaciones. Sabedores de la poca atención que muchas personas ponen cuando navegan ppor internet, cuando instalan aplicaciones o cuando las usan, tienen muchas vías para acercarse a nosotros. Conscientes de los riesgos que en ocasiones corremos al navegar, los atacantes están al acecho usando múltiples caminos. Por ello, debemos estar seguros que nuestros navegadores disponen de las adecuadas medidas de seguridad y privacidad que al menos intenten evitar estos riesgos a los usuarios. Y deben saber que, en gan medida, estos parámetros de seguridad los puede configurar él mismo, e incluso los niveles. Y aquí debe entrar el criterio imprescindible de la usabilidad. ¿Cuántos usuarios saben hacerlo? ¿Cuántos navegadores lo hacen tan sencillo que la mayoría puedan encontrar donde se hace de forma rápida?. ¿Cuánto te explican el por qué de cada acción?. ¿Cuántos te dicen que mires si la página por la que estás navegando tiene el "candado" en la barra de direcciones?. Y esto sería muy fácil de enseñar a mayores, personas con discapacidad cognitiva, o a no expertos en internet, al ser un elemento gráfico.

    Generalmente nos movemos por todo tipo de páginas web y en muchas, muchas ocasiones no nos fijamos en la seguridad que estas nos ofrecen.

    Es fundamental que los jóvenes, más “duchos” en el mundo digital, sean conscientes y compartan su conocimiento sobre la seguridad con los mayores, con personas de nuestro entorno no expertas en el uso de las Tic, y por supuesto, con aquellas personas con discapacidad con baja formación o problemas cognitivos.

    Creemos “Cadenas de conocimiento”. Los que “podemos” y “algo sabemos”, tenemos una responsabilidad social. Si cada uno “enseñamos” a nuestro entorno vulnerable cercano, crearemos una sociedad más segura, libre y autónoma. El equilibrio entre la seguridad de los usuarios y el freno a los ciberataques se puede reforzar con tecnología, concienciación y conocimiento. Porque el mayor problema social respecto a la Ciberseguridad es el desconocimiento de la Tecnología y sus usos.

    Debemos enseñar a "investigar" la seguridad al propio usuario. Pero de forma comprensible (no todo el mundo es ingeniero de la NASA), a nuestro mayores o personas con dificultades cognitivas, o a quienes no ni mucho menos expertos en internet, su aplicaciones y usos. ¿Os acordáis del símbolo “?” y el apartado “Ayuda” de Word?. Enseñemos a utilizarlo. Animemos a investigar y tocar la configuración: nada se rompe. Aimemos a preguntar. Incitemos a infórmarse. Afirmemos que nadie es menos por demostrar su desconocimiento en algo. Dediquemos tiempo a ver “qué hace” lo que hemos comprado.

    No obstante, creo que podemos y debemos ser optimistas desde ya con el poder “bueno” de las Tecnologías. La tendencia hacia la omnicanalidad, que se traduce en un cambio constante en las herramientas y canales que utilizamos. En este panorama de permanente alteración, los sistemas deben adaptarse de manera continua en consonancia con las necesidades de las personas. Hoy contamos con herramientas suficientes para desarrollar soluciones accesibles y la tecnología será la gran aliada para romper las barreras de las personas con discapacidad y ofrecer soluciones inclusivas. Estas tecnologías están logrando incrementar las capacidades de las personas, lo que se conoce como “human augmentation”.

Accesibilidad TIC, posible y necesaria

 La accesibilidad en los sistemas TIC es cada vez más importante por dos motivos. Para empezar, las tecnologías de la información son cada vez más empleadas en todos los aspectos de nuestras vidas. Quedan lejos los días en que los ordenadores estaban confinados a las mesas de las oficinas o incluso a los centros de cálculo. En forma de teléfonos inteligentes, ordenadores, tabletas, relojes inteligentes o incluso elementos ciudadanos como los transportes, los elementos TIC nos acompañan a todas partes incluso cuando dormimos. Basta con pensar en pasar un día desconectados completamente, para que nos parezca algo muy extraño. Además empleamos las TIC  para todo: comunicarnos, trabajar, estudiar, divertirnos, encontrar una ruta, elegir un restaurante, pagar los impuestos o gestionar nuestros ahorros.

Imaginemos ahora que no podemos usar esas tecnologías de la información como estamos acostumbrados. Sabemos que es posible, que hay personas que lo hacen continuamente y con facilidad, pero nosotros no podemos por alguna razón. Nos parecería injusto y frustrante. Hemos perdido posibilidades. Esto es lo que les sucede a las personas con discapacidad cuando las TIC no son accesibles, no pueden emplearlas con una razonable facilidad. Debemos pensar en las personas con discapacidad en un sentido amplio, no sólo en aquellas con un gran nivel de discapacidad sino en todos los niveles. Por ejemplo  la discapacidad está asociada con la edad, perdemos capacidades con los años, y, no podemos olvidar que Europa es un continente envejecido y España está a la cabeza en ese sentido. Crear servicios TIC accesibles ayuda a una parte considerable de la población ahora y en el futuro.

Es importante señalar que estamos hablando de conseguir que todos los servicios TIC sean accesibles para todas las personas, no se trata tanto de desarrollar soluciones TIC específicas para personas con discapacidad. Los servicios TIC a nuestra disposición siguen creciendo en cantidad y novedad, la única forma en que se puede gestionar esta expansión desde el punto de vista de la accesibilidad es que los nuevos servicios ya nazcan accesibles, o con capacidad de ser accesibles mediante algún elemento adicional. Dejar para más tarde el desarrollar servicios accesibles nunca conseguirá mantener el ritmo de expansión actual. Es preciso pensar en ciudades inteligentes accesibles, vehículos autónomos accesibles o electrodomésticos inteligentes accesibles, por mencionar algunas posibilidades de soluciones TIC que veremos pronto.

En la creación de un servicio TIC de éxito cada vez se tiene más en cuenta la experiencia de usuario (UX). Se han desarrollado una gran cantidad de metodologías para que esa experiencia de usuario sea óptima. Este conocimiento, experiencia y herramientas se pueden aplicar en conseguir sistemas accesibles cuando se emplean con un concepto adicional: la diversidad de las capacidades de los futuros usuarios. Así, un profesional en el área de la experiencia de usuario se convierte en un profesional de la accesibilidad cuando empieza a preguntarse cómo se empleará su sistema por una persona con capacidades diferentes, cuando se hace preguntas como: ¿puede emplear esto de forma cómoda una persona con baja visión?, ¿con baja audición?, ¿con una sola mano?, ¿daltónica?, ¿que necesite algo más de tiempo para entender o comprender una idea?

La accesibilidad es también cada vez más importante porque resulta cada vez más sencillo conseguirla. Las facilidades para crear sistemas accesibles son cada vez mayores. La accesibilidad de un sistema TIC depende por un lado de la propia accesibilidad del dispositivo físico que empleemos, y el mercado nos ofrece miles de alternativas posibles, y gracias a la ley de Moore, disponemos de mayor potencia al mismo coste. Por otro lado, los sistemas operativos de los fabricantes más populares como Microsoft, Apple o Google incluyen cada vez más herramientas y opciones destinadas a la accesibilidad más potentes. Basta pensar en el sistema que permite emplear un teléfono inteligente por personas con muy escasa visión tanto en los dispositivos IOS (VoiceOver) o Android (TalkBack), o las opciones de accesibilidad de Windows 11 que son muy superiores a las del ya muy lejano Windows 7. Existe también cada vez mayor soporte por parte de estos mismos fabricantes para que los desarrolladores sepan cómo crear soluciones accesibles, basta comprobarlo en las páginas web que les ofrecen información de referencia como las de Android, IOS o la de W3C.

 Si toda esta tecnología y conocimiento no es suficiente, existen también las llamadas ayudas técnicas conocidas como productos de apoyo, soluciones tanto físicas como lógicas, orientadas a necesidades muy específicas de una persona. El desarrollo de las soluciones TIC accesibles debe respetar al máximo los estándares para permitir su integración con estas ayudas técnicas, sin importar cual seleccione una persona. No es razonable desarrollar algo que cubra todas las posibles capacidades de los usuarios, pero sí que pueda integrarse con estas ayudas técnicas muy específicas. En España, se puede consultar el catálogo y base de datos, por poner algún ejemplo, del CEAPAT.

Tenemos por tanto las herramientas físicas y lógicas necesarias y el soporte y la información para hacer sistemas accesibles, ahora queda aplicar todo ese potencial y crear un sistema de verdad accesible, utilizable con facilidad por cualquier persona con independencia de sus capacidades.  Aquí la responsabilidad es de los promotores de las diferentes soluciones y los integradores que las construyen, prueban y despliegan. La aproximación correcta y eficiente es considerar la accesibilidad como un requisito más del sistema a desarrollar, como su seguridad o capacidad de crecimiento y escalado. Esto hará que se tenga en cuenta en las diferentes etapas de desarrollo y se tomen las decisiones adecuadas y no haya que realizar costosas rectificaciones por no haberlo tenido en cuenta desde el principio. Por ejemplo, si para nuestro proyecto la accesibilidad es un requisito y vamos a emplear un sistema de gestión de contenido, seleccionaremos aquellos que nos faciliten en mayor medida los desarrollos de sistemas accesibles. A la hora de establecer el diseño de la interfaz de usuario, escogeremos colores que tengan suficiente contraste, o tipografías que tengan una legibilidad asegurada. Si la accesibilidad se intenta añadir cuando el proyecto está ya avanzado, es posible que las decisiones sobre arquitectura o diseño ya estén tomadas, y cambiar estas cuestiones básicas será realmente costoso, mucho más que si se hubiera hecho al principio.

Es importante mantener la accesibilidad como requisito a lo largo de toda la vida del sistema TIC. Es frecuente realizar cambios tanto evolutivos como correctivos y si la accesibilidad no es tenida en cuenta y comprobada en las nuevas versiones, estos cambios pueden comprometerla. La accesibilidad aparece como resultado de un diseño y una construcción consciente, no surge ni se mantiene de forma fortuita.

Una característica cada vez más frecuente en los sistemas TIC destinados a ser empleados por personas es que cada vez son más ricos en contenido, es frecuente que utilicen elementos multimedia y permitan el acceso a documentación. Para que este tipo de sistemas consigan ser accesibles todo este contenido debe ser también accesible: las imágenes utilizadas deben tener asociadas su texto alternativo descriptivo, los videos emplear la audiodescripción y el subtitulado y los documentos deben ser creados de forma que también sean accesibles. Conseguir todo esto corresponde a las personas que se ocupan de la gestión del contenido de los propios sistemas a lo largo de su vida útil. En el desarrollo del sistema se deben haber considerado la existencia de herramientas para crear ese contenido accesible, pero si no son empleadas por los gestores de contenido, tendremos un sistema TIC con problemas de accesibilidad.

En resumen, podemos hablar de que en un servicio TIC aparece la cadena de accesibilidad, la accesibilidad completa depende de la accesibilidad de los dispositivos físicos, de sus sistemas operativos, de la aplicación específica desarrollada y la accesibilidad del contenido. Si alguno de estos componentes no es accesible, la accesibilidad global se verá mermada.

¿Y qué ocurre con la legislación?. ¿Podemos apoyarnos en ella?. 

Pues sólo parcialmente, y desde luego, en la incompleta que existe, tiene que ser más rápida y eficaz en su cumplimiento.

Dejando aparte la legislación de cada país, incluso del nuestro, que nos llevaría a crear casi una biblioteca, merece la pena mencionar a nivel europeo dos Directivas.

En diciembre de 2016 se aprueba y publica la Directiva (UE) 2016/2102 del Parlamento Europeo y del Consejo sobre la accesibilidad de los sitios web y aplicaciones para dispositivos móviles de los organismos del sector público, que establece la obligatoriedad de que las páginas web de las Administraciones Públicas europeas de cualquier nivel sean accesibles. La Directiva también establece que cada país informará a Bruselas de la situación de accesibilidad de sus páginas web y “apps” públicas, por lo que es de esperar que en un futuro cercano se pueda conocer la situación de cada país. Pero quizá lo más importante, es que obliga a establecer sistemas de formación sobre accesibilidad a todos los funcionarios públicos implicados. La Directiva europea establece que la norma técnica de referencia a emplear es la EN 301549 V.1.1.2.

Como se lee en el preámbulo de la Directiva, uno de los fines perseguidos es conseguir que se desarrolle en la EU un sector especializado en accesibilidad TIC, con todo lo asociado: profesionales de diferentes perfiles, herramientas, actividades de formación y certificación y similares.

En segundo lugar, tenemos la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo sobre los requisitos de accesibilidad de los productos y servicios.  

La Directiva establece que deberán cumplir los requisitos de accesibilidad, a partir del 28 e junio de 2025, los productos y servicios: a) equipos informáticos de uso general de consumo y sistemas operativos para dichos equipos informáticos; b) los terminales de autoservicio: cajeros automáticos, máquinas expendedoras de billetes, máquinas de facturación, terminales de servicio interactivos c ) equipos terminales de consumo con capacidad informática interactiva, utilizados para la prestación de servicios de comunicaciones electrónicas, y de comunicación audiovisual d) lectores electrónicos e) servicios de comunicaciones electrónicas f) los elementos de los servicios de transporte aéreo de viajeros, de transporte de viajeros por autobús, por ferrocarril y por vías navegables: webs, apps, billetes electrónicos y servicios de expedición, la información, los terminales de servicio interactivos g) servicios bancarios para consumidores h) libros electrónicos i) servicios de comercio electrónico.

Los agentes económicos de los sectores público y privado sujetos a obligaciones en el marco de la Directiva: fabricantes de productos, importadores de productos, distribuidores de productos, y prestadores de servicios.

Fuera queda todo el universo IoT, los electrodomésticos inteligentes, la realidad virtual, los coches inteligentes, los metaversos… como siempre, la evolución Tic va años por delante. Pero algo es algo.

Es importante trasladar este conocimiento al sector empresarial para resaltar lo evidente, que incluir la accesibilidad en el desarrollo de todos sus servicios TIC se debe ver como una oportunidad de negocio y contribuir a una sociedad mejor a través de la transformación digital accesible.