No tentarías con una moneda pegada al suelo al compi que no suele moverse ni para levantar un boli, pero en cambio a tu cuñado que está ahorrando para su primer millón, sí. No te tomarías la molestia de rellenar el azucarero con sal en casa de tus amigos bio, pero en la de tu suegra, tal vez.
"El psicohacking es una mezcla de arte y de ciencia que busca que una persona realice una acción que sin la influencia social no hubiera ni hecho ni revelado"
El hacking psicológico es así. Ni programas sofisticados, ni tecnología punta, y a veces, ni ordenador. La Ingeniería Social o psicohacking, término acuñado por Cristina López Tarrida, como ella misma nos cuenta, es una mezcla de arte y de ciencia que utiliza por un lado recursos psicológicos, habilidades sociales y conocimientos técnicos para hacer que una persona realice una acción o revele información que sin la influencia social no hubiera ni hecho ni revelado. El atacante consigue que las personas actúen de una forma voluntaria, quedándose además con la sensación de haber hecho lo correcto. Lo que se persigue es tener acceso a información confidencial, robar o suplantar identidades y/o escalar privilegios. Es el medio ideal para perpetrar un ataque mayor porque proporciona una puerta de acceso a la información de nuestra organización, a priori más accesible de la que proporcionaría el hacking informático.
Pero ¿podemos hacer algo contra esto? Como diría el Arte de la Guerra “Conoce a tu enemigo y conócete a ti mismo y en 100 batallas no serás derrotado”. Empezar por entender cómo funcionan los atajos de nuestro cerebro es imprescindible, pues son muchos los sesgos cognitivos que nos llevan a juicios incorrectos. Veamos algunos:
- El Sesgo del punto ciego o “eso no me va a pasar nunca a mi”, que provoca que nos confiemos demasiado.
- El sesgo de disponibilidad o “esto me suena, seguro que es verdad” que se usa con titulares de actualidad como la pandemia o el pago de impuestos como señuelo.
- El sesgo de representatividad o “el mono gris y la caja de herramientas hacen al técnico”, que facilita la entrada a extraños en áreas de información sensible.
- El sesgo de confirmación o “yo tengo razón” que confirma lo que creemos y por ello cedemos sin ejercer resistencia.
- El sesgo de anclaje o “la primera impresión es lo que cuenta” usada en ataques de phishing, por ejemplo, capaz de replicar una imagen corporativa muy conocida para usarla como pantalla, entre muchos sesgos más.
Estar conscientes de estos “boicots mentales” y estar atentos ante cualquier anzuelo que provoque ira, enfado, miedo, curiosidad, compasión, morbo o urgencia para inducirnos a la acción o a revelar información, puede reducir los incidentes en ciberseguridad, que son ocasionados por una persona dentro de la compañía.
"El hacking tiene mucho más que ver con la psicología que con la tecnología"
El hacking tiene mucho más que ver con la psicología que con la tecnología, lo que va en concordancia con el informe Cybersecurity Culture Guidelines: Behavioural Aspects of Cybersecurity, elaborado por ENISA (Agencia Europea de Seguridad de las Redes y de la Información), que revela que “es evidente que la industria debería pasar de una visión centrada en la tecnología y en el proceso a un enfoque humano, y adquirir mayor conocimiento sobre las teorías del comportamiento para tener éxito en la era digital de la ciberseguridad. Las métricas cuantitativas, (como ratios de clics en pruebas de phishing), no son útiles para identificar los aspectos humanos que hay detrás de la ciberseguridad”.
Es por eso por lo que la formación en Ciberseguridad y Protección de datos tiene que ser diferente, con más importancia del autoconocimiento que los tecnicismos. Por ejemplo, a través de microhistorias se logra mayor empatía y un mejor aprendizaje. En este contexto, para hablar de las consecuencias de un ataque de Phishing, ¿qué pensáis que es más efectivo?: ¿decirles directamente a los usuarios que son pérdidas económicas y daños reputacionales o recrearles mediante un podcast interactivo la conversación que tuvo el CEO de Ebay (en ese momento) Devin Wenig con su Directora de Comunicación Amanda Miller, cuando se dieron cuenta del ciberataque que estaban sufriendo?
Ese es el tipo de contenidos que ayudan a formar mejor en ciberseguridad: ataques cibernéticos como los vividos por la directora de una clínica de cuidados intensivos, una consultora de marketing, o un diseñador de moda; casos famosos en los que se ven involucrados gigantes mundialmente conocidos. Conociéndolos es posible llegar a distintos niveles de identificación personal que se transforma en prevención.
"El factor humano puede ser el mejor antivirus si lo haces consciente de sus propias vulnerabilidades"
El factor humano puede ser el mejor antivirus si lo haces consciente de sus propias vulnerabilidades. Recordemos que no vemos el mundo tal como es, sino tal y como somos nosotros. Como dice el filósofo Arthur Schopenhauer: "la mayoría de la gente confunde los límites de su visión con los del mundo”, y esto lo saben los hackers, y lo aprovechan para diseñar sus ciberataques.
Con la irrupción del teletrabajo, los ciberataques saltan del ordenador al móvil, y el riesgo, por extensión, a todos los dispositivos de la casa. Jamás habíamos estado tan expuestos a una “inocentada” los 365 días del año.
Autora: María Laura Mosqueda, CEO y fundadora de TechHeroX, startup EdTech que ayuda a las empresas a formarse en diferentes ámbitos, entre ellos el de la ciberseguridad
Si (
No(
