A comienzos de los años 2000, la palabra ransomware empezó a colarse en nuestro vocabulario. Allá por 2012 su uso se extendió a nivel internacional y, en la actualidad, cada día pone en jaque a millones de organismos de todo el mundo. La pandemia ha provocado un crecimiento sin precedentes y, por consiguiente, la aparición […]
Dirigentes Digital
| 15 oct 2021
A comienzos de los años 2000, la palabra ransomware empezó a colarse en nuestro vocabulario. Allá por 2012 su uso se extendió a nivel internacional y, en la actualidad, cada día pone en jaque a millones de organismos de todo el mundo. La pandemia ha provocado un crecimiento sin precedentes y, por consiguiente, la aparición de nuevas tendencias cada vez más disruptivas. Unido a esta idea, el escenario global que deja a su paso también está experimentando un progresivo aumento de la extorsión con el uso de diferentes técnicas que presionan a sus víctimas para que paguen el rescate tras los ataques. Entre ellas destacan el cifrado y robo de datos, la denegación de servicio y el acoso.
A día de hoy, esta ciberamenaza ya es uno de los incidentes que más afectan a las empresas, con independencia de su tamaño o del sector en el que operen. Y, en ellos, las personas juegan un papel determinante a la hora de influir de forma directa en que estos se originen y prosperen. De acuerdo con los datos de un estudio de EY, facilitados por la plataforma Aiwin Firewall, más del 90% de los fallos de ciberseguridad tienen su origen en un error humano debido, principalmente, a la facilidad con la que los atacantes “aprovechan las vulnerabilidades al conocer cómo funcionan los sesgos cognitivos, un fenómeno psicológico de la mente, principalmente inconsciente”.
Tal y como señalan desde la compañía, las personas toman alrededor de 35.000 decisiones diarias, de las que solo 91 son conscientes. El resto las ordena el cerebro a través de sesgos cognitivos, entre los que se encuentra el hecho de hacer o no clic en el enlace de un correo electrónico que puede abrir la puerta a un ciberataque. En este sentido, dichos sesgos forman parte de la naturaleza humana y ayudan a resolver problemas cotidianos, influyendo en la percepción de la realidad, las decisiones y los comportamientos de los individuos, comentan desde Aiwin. En este sentido, no se pueden eliminar, aunque advierten de que sí se pueden dominar, así como tener en cuenta para que los trabajadores pueden llegar a ser conscientes de su existencia y contribuyan a su dominio y, por ende, a su protección frente a las amenazas.
En este contexto, el primer estudio sobre Sesgos Cognitivos y Ransomware de Aiwin pone sobre la mesa cerca de 30 elementos concretos que acercan la comprensión del cerebro humano en dos sentidos. El primero ayuda a entender sus vulnerabilidades para detectarlas y evitar que los delincuentes se aproveches de ellas. A este respecto, también contribuye a desarrollar comportamientos que frenen los riesgos de este tipo de ataques, permitiendo reforzar la cultura de la organización con acciones que identifiquen situaciones “donde es probable que estos sesgos tengan un impacto significativo”. Por su parte, el segundo trata de demostrar a los dirigentes que, “pensar antes de hacer clic, como parte de la cultura de ciberseguridad de una empresa, no es tan sencillo como recordárselo una y otra vez al empleado”.
En atención a lo cual, en DIRIGENTES hemos seleccionado los principales sesgos cognitivos citados en el informe que pueden activarse en la mente de los usuarios, influyendo de manera automática en sus decisiones inconscientes:
A las personas les resulta más sencillo procesar información que han experimentado anteriormente, malinterpretando señales y creyendo que un contenido es verdadero. Puede activar ataques de phishing o smishing aprovechando el principio de colaboración, consistencia, reciprocidad y confianza.
Hay decisiones que se toman en base a la forma en la que la información está presentada en lugar de habiendo examinado los hechos. Por ejemplo, al recibir un correo de un jefe con la palabra ‘urgente’ escrita en el asunto del mensaje, el respeto a la autoridad reemplaza al pensamiento analítico.
Reconoce que el cerebro se puede dejar llevar por emociones y por el impulso de un grupo, asumiendo que lo que hacen sus compañeros es seguro. Puede activar el phishing o smishing al beneficiarse de los principios de colaboración, consistencia, reciprocidad y validación social.
Hace referencia a la tendencia que tiene la gente de complacer a los cargos de autoridad. Se puede activar ante phishing de suplantación de identidad de un responsable al aprovechar el principio de autoridad.
Ocurre cuando alguien recibe una información y, en función de sus expectativas, selecciona un objeto de atención y desatiende el resto para evitar saturarse.
La falta de información, conocimiento o ambigüedad puede afectar a la toma de decisiones, tendiendo a que las personas se inclinen hacia opciones familiares.
En ocasiones, el cerebro subestima las posibilidades de que se produzcan eventos adversos, lo que también se conoce como ilusión de invulnerabilidad. Un ejemplo en ciberseguridad se produce cuando un empleado cree que la empresa nunca será vulnerada por un clic que este haga en un correo.
Las personas continúan en el punto de mira de los ciberdelincuentes
