El sesgo cognitivo provoca que en el 90.5% de los incidentes por ciberataques, los empleados estén involucrados




por Víctor Ruiz, fundador de SILIKN y mentor del Centro de Ciberseguridad 05000

El phishing representa el medio más común a través del cual los ciberdelincuentes pretenden ingresar a las redes. Los motivos pueden variar desde el fraude financiero hasta la distribución de malware y el espionaje.

Las estafas de phishing se hacen pasar por correos electrónicos, llamadas telefónicas o mensajes de texto de apariencia legítima, que pueden parecer que se originaron en una institución acreditada y legítima. En este sentido, los cibercriminales tienen la intención de obtener información confidencial sobre los usuarios o la organización a la que están incorporados.

En este sentido, este tipo de ataque se está volviendo cada vez más efectivo, pues, de acuerdo con un análisis de la unidad de investigación de SILIKN, los ciberdelincuentes están creando ataques personalizados de ingeniería social que explotan el sesgo cognitivo de las personas.

El sesgo cognitivo es una interpretación errónea sistemática de la información disponible que ejerce influencia en la manera de procesar los pensamientos, emitir juicios y tomar decisiones.

El sesgo es un simplifica el procesamiento de información para acelerar la toma de decisiones, por lo que es ahora explotado de manera efectiva en ataques de phishing.

Los ciberdelincuentes manipulan los pensamientos y las acciones de una persona para convencerla de que tome una acción urgente o de riesgo, como hacer clic en un enlace en el que normalmente no haría clic o ingresar información confidencial en un sitio web.

Las organizaciones suelen implementar programas de capacitación sobre ciberseguridad para entrenar a los empleados y así puedan reconocer los ciberataques y evitar que sean engañados.

No obstante, los programas tradicionales de capacitación en ciberseguridad rara vez tienen en consideración el papel que juegan los sesgos cognitivos en estas situaciones, así como tampoco suelen tener en cuenta los roles o comportamientos de las personas. Esto ha provocado que en el 90.5% de los incidentes por ciberataques, los empleados estén involucrados.

Un programa de capacitación contra ciberataques debe tener las siguientes características:

Debe ser continuo. De nada sirve hacer un entrenamiento una vez al año, cuando los cibercriminales y las ciberamenazas evolucionan rápidamente. Este tipo de entrenamientos deben llevarse a cabo — como mínimo — una vez al mes para que sean efectivos y cubran las amenazas más recientes.

Debe ser para todos. No funciona tampoco que el entrenamiento lo tomen solo las personas del departamento de sistemas o solo los directivos. Es necesario que todo el personal pueda recibir la capacitación, ya que todos representan la primera línea de defensa, incluyendo a las recepcionistas, mensajeros, choferes, etcétera.

El phishing funciona porque las personas filtran lo que ven a través de sus experiencias y preferencias, que influyen en las decisiones que toman. Los sesgos cognitivos adoptan muchas formas, pero hay cinco tipos principales utilizados en los ataques de phishing:

Confianza: Se refiere a que el individuo tiene una impresión positiva de una persona, marca o producto, es el tipo más utilizado por los ciberdelincuentes y aparece en el 33.8% de los ataques de phishing. En este tipo de ataque, un ciberdelincuente se hace pasar por una entidad de confianza para obtener acceso.

Recompensa: Se refiere a la inclinación a elegir una recompensa que dé resultados inmediatos en lugar de un equivalente a largo plazo. Se encuentra en el 25.4% de los ataques de phishing. Los spammers han utilizado durante mucho tiempo esta táctica para atraer a las víctimas con promesas de ofertas gratuitas o exclusivas.

Actualidad: Se refiere a utilizar eventos recientes como anzuelo, tales como el uso de información sobre las vacunas COVID-19, en las líneas de asunto de los correos electrónicos de phishing. Este tipo de ataque se presenta en el 17.5% de los casos.

Curiosidad: En este tipo de ataque, un directivo puede recibir información sobre el acceso exclusivo a eventos de golf o la Fórmula 1, y el deseo de saber más sobre los eventos podría hacer que el directivo sea más susceptible. Este tipo de ataque se presenta en el 14.8% de los casos.

Autoridad: Está basado en la voluntad de las personas de ceder a las opiniones de una figura de autoridad. Un atacante que usa sesgos de autoridad puede hacerse pasar por un agente de la policía, un directivo o incluso el CEO. Este tipo de ataque se presenta en el 8.5% de los casos.

Una forma de contrarrestar los efectos de los sesgos cognitivos es ayudar a los empleados a reconocer los trucos cuando se utilizan. El aprendizaje automático puede ayudar a facilitar los cambios individuales en el comportamiento de los empleados al proporcionar recordatorios constantes para aplicar este conocimiento en el momento exacto del ataque.

En lugar de decir que los humanos son el eslabón más débil cuando se trata de ciberseguridad, a través de un entrenamiento continuo e integral el objetivo es poder decir que los humanos son la parte más fuerte de la comunidad de ciberseguridad y la primera línea de defensa contra los ciberataques.

Para más información, visite: https://www.silikn.com/