Los sesgos cognitivos, esos atajos mentales que solemos tomar para sacar adelante la mayor parte de las tareas del día a día, son aprovechados por los ciberdelincuentes en sus campañas de phishing o para introducir en las empresas un ransomware. En este post analizamos los principales.
En los últimos años se han multiplicado el número de ciberataques en el mundo. Y también la cantidad de empresas afectadas por los mismos. Desde el famoso Wannacry, un ransomware que en mayo de 2017 bloqueó más de 140.000 ordenadores en todo el mundo, distribuidos por grandes empresas, organismos públicos y hospitales, la amenaza planea para cualquier usuario e institución.
Los ciberdelincuentes no suelen recurrir a complejos ataques con el objetivo de entrar en el centro de datos ni en los sistemas mejor protegidos, sino que dan un rodeo para conseguir sus objetivos. En su lugar optan por campañas burdas y masivas de phishing destinadas a engañar con un simple correo electrónico a los empleados. Les sale más rentable engañar a la persona que a la máquina.
Con la pandemia de la COVID-19, los delincuentes han intensificado su actividad en este sentido. En el último año y medio, la incertidumbre de muchos usuarios y empresas en torno a las vacunas, la economía, la salud o las limitaciones de movimientos han permitido a los atacantes sacar rédito al desconcierto.
Los ciberataques se multiplican con la pandemia
Según Statista, si en los últimos años los sitios de phishing detectados en todo el mundo rondaban los 200 000, a finales de 2020 alcanzaron los 637 000, y a principios de este año todavía superaban el medio millón. Asimismo, el pasado año los ataques de ransomware superaron por poco los 300 millones en todo el mundo, un 61 % más que en etapa pre-COVID. Según una investigación de Bitsight con datos de la Universidad de Cambridge, el 54 % de los ciberataques denunciados por empresas de todo el mundo durante 2020 fue causado por ransomware.
¿Por qué insisten los delincuentes en estas estrategias basadas en el engaño? En primer lugar, porque son muy baratas. Un malware de este tipo se puede contratar en la dark web por varios cientos de dólares, o incluso se puede adquirir bajo un esquema de suscripción que incluye servidores y soporte. Y, en segundo lugar, porque son muy efectivas al ir dirigidas al eslabón más débil de las compañías, las personas.
De acuerdo con un estudio de EY (antes conocida como Ernst & Young), más del 90 % de incidentes de ciberseguridad tiene su origen en un error humano. Los delincuentes explotan más las vulnerabilidades humanas que las de los sistemas informáticos y aprovechan lo que los expertos llaman sesgos cognitivos. Atajos mentales que tomamos de forma irreflexiva y que hace que, por ejemplo, abramos un correo o pinchemos en un enlace a WhatsApp simplemente porque otros compañeros o amigos lo están haciendo y no queremos quedarnos fuera de la conversación.
Según reflejan algunos estudios e investigaciones, las personas tomamos alrededor de 35 000 decisiones de media al día, de las cuales solo 91 son conscientes. El resto las toma nuestro cerebro obedeciendo a estos sesgos cognitivos. Esta forma de actuar no es una anomalía, sino que forma parte de la naturaleza humana y de nuestra evolución como especie. Por eso, tendremos que convivir con ellos, aunque dominándolos en la medida de lo posible.
Los delincuentes en internet tienen claramente en cuenta estas flaquezas y cuando lanzan un ataque suelen haber estudiado antes cómo se comportan y trabajan los empleados y las personas a las que va dirigido. De ello depende su éxito.
¿De qué sesgos hablamos?
Un estudio de Aiwin, un proveedor de software de protección para empresas, localiza muchos de los sesgos que llevan a un empleado a comprometer tontamente la seguridad de su compañía. La mejor recomendación para empresas y plantillas es conocerlos y conocer también los peligros que entrañan. Y, más tarde, desarrollar una cultura de la ciberseguridad y adoptar unos hábitos que lleven a todos a ser más precavidos la próxima vez.
Efecto de verdad ilusoria
A nuestro cerebro le resulta más sencillo procesar información que hemos experimentado con anterioridad. Esto crea una sensación que nos puede llevar a malinterpretar una señal como un contenido verdadero. De esta forma, los ciberdelincuentes pueden realizar ataques de phishing aprovechando los principios de colaboración, reciprocidad y confianza.
Sesgo de anclaje
Supone basarse en la primera información que se recibe o en eso de que “la primera impresión es lo que cuenta”. Se utiliza en los ataques de phishing que son capaces de replicar una imagen corporativa muy conocida para usarla como señuelo.
Sesgo de encuadre
Se produce cuando se toma una decisión debido a la forma en que se presenta la información, en vez de examinar los hechos. Si recibimos un correo electrónico del director con un asunto que pone «urgente», el respeto a la autoridad y el temor a no hacer lo que se le está pidiendo reemplaza al pensamiento analítico y a la revisión de la fiabilidad.
Sesgo de confirmación
Las personas tienden a buscar información que confirme sus ideas preexistentes. Este tipo de sesgo puede evitar que se analicen situaciones de manera objetiva. Y, por tanto, que no se reconozca una amenaza potencial y se pueda detener antes de que tenga un impacto, simplemente por no querer aceptar que esas ideas preconcebidas son incorrectas.
Sesgo de percepción selectiva
Se da cuando la persona recibe una información y, en función de sus expectativas, selecciona automáticamente un objeto de atención y desatiende la parte restante para no saturarse. Con su activación, se puede caer en prácticamente cualquier técnica de ingeniería social.
Efecto ‘bandwagon’
Tiene lugar cuando el cerebro ejecuta decisiones basadas en emociones y en el impulso de grupo. Por ejemplo, se activa cuando seguimos lo que hacen nuestros compañeros, asumiendo que es lo más seguro o sensato. Si alguien nos envía un enlace a un chat de trabajo y más personas están reaccionando a él, el temor a perdernos algo y quedarnos superará cualquier sospecha o reparo y al final haremos clic.
Efecto avestruz
La tendencia natural de una persona es evitar situaciones que se perciben como negativas. Ignorar las recomendaciones de seguridad y las buenas prácticas porque supone un coste y un esfuerzo es un ejemplo claro de este sesgo y puede ser tremendamente perjudicial.
Fatiga de decisión
Este atajo mental nos lleva a tomar las decisiones más fáciles cuando tenemos que tomar muchas decisiones en tareas repetitivas.
Sesgo de automatización
Se da cuando nuestro cerebro confía más en la información que da un sistema automatizado que la que ofrece un sistema no automatizado, como la recopilada por una persona, incluso aunque sea correcta. Con ello se puede caer en prácticamente todas las técnicas de ingeniería social, pero especialmente en las que aprovechan el principio de urgencia.
Obediencia a la autoridad
Es la tendencia que tenemos de complacer a personas en posiciones de autoridad. La evidencia psicológica indica que la gente suele respetar y seguir a las personas que perciben que tienen autoridad legítima. Esto lleva a caer en el error de abrir esos correos que se hacen pasar por comunicaciones del jefe.
Sesgo de optimismo o ilusión de invulnerabilidad
El cerebro humano está programado para ser optimista en general y, a menudo, subestima la probabilidad de que se produzcan eventos adversos. En nuestra vida cotidiana puede ser beneficioso, pero en ciberseguridad se necesita justo lo contrario. Es decir, conviene estar siempre alerta. Un buen ejemplo de los efectos de este sesgo es cuando un empleado piensa “la empresa nunca va a ser vulnerada por un clic que yo haga en un correo”.
Sesgo de la responsabilidad externa
El ser humano tiende a sentirse reforzado y en calma cuando considera que no es responsable de sus actos. La conciencia de los individuos se inclina a depositar las decisiones en agentes externos. En el caso de la ciberseguridad, podemos pensar que no nos incumbe, dando por hecho que cualquier incidente que se produzca dependerá de cómo respondan las medidas técnicas que la empresa tenga implementadas o será responsabilidad de los equipos especializados en la materia.
Compensación del riesgo
Cuando una medida tecnológica preventiva reduce la percepción de riesgo de la empresa y, como consecuencia, empeoran o se abandonan otros comportamientos preventivos básicos.
Efecto Dunning-Kruger
Sesgo cognitivo que nos lleva a considerar que nuestra capacidad es mayor de lo que realmente es. La mayoría de la gente piensa que no será víctima de incidentes de seguridad, lo cual se aleja mucho de la realidad.
Error de atribución de fuente
En ocasiones confundimos de dónde proviene la información a la que accedemos cotidianamente. Así, lo que leímos en un periódico podemos recordarlo como si nos lo hubiera dicho un amigo o viceversa. Los ciberdelincuentes pueden utilizar sus trucos para engañarnos y confundirnos.
Por Juan I. Cabrera
Imágenes | Freepik.es/Rawpixel.com, Unsplash/@bermixstudio Pexels.com/AnnaShvets
