Sergio Giménez, CEO, Aiwin

La acelerada digitalización y la descentralización del trabajo de los últimos años han marcado un antes y un después en el mundo de la ciberseguridad.

El aumento de las amenazas y la proliferación de ataques cada vez más sofisticados, que aprovechan los avances tecnológicos, así como las tendencias y las preocupaciones sociales, ha puesto de manifiesto que las organizaciones que no estén preparadas desde un punto de vista tanto técnico como humano, tendrán más dificultades para afrontar los retos actuales y futuros.

Recientes estudios reflejan que mejorar la ciberseguridad es hoy una de las tres principales preocupaciones de las empresas, y buena parte de la inversión en TIC va a ir destinada a ello. La pregunta clave es qué aspectos se van a reforzar, porque hoy sabemos que poner el foco únicamente en medidas técnicas ya no es suficiente para mantener la seguridad.

Los ciberdelincuentes también “hackean” nuestra mente

Desde hace años, el porcentaje de incidentes atribuibles al comportamiento humano oscila entre el 80% y el 95%, una cifra aún elevada a pesar de los grandes avances en los sistemas de protección. Entonces, ¿por qué no se produce mejora en este sentido?

En primer lugar, porque la ciberdelincuencia siempre va un paso por delante. Nuestros esfuerzos por trasladar al empleado que piense antes de hacer clic como una de las principales medidas para prevenir y evitar un ciberataque, parece no resultar suficiente cuando hoy los ciberataques también provienen de la manipulación de una imagen o audio para engañarnos (deep fakes), o de la inclusión de la trampa tras un código QR donde no podemos ver la URL destino.

Y en segundo lugar, porque aún nos encontramos con enfoques tradicionales de concienciación al empleado que siguen más centrados en definir términos y palabros técnicos (como Smishing o Qrishing).

Por ello, parte de la minimización de ese porcentaje de incidentes como consecuencia del factor humano, pasa por entender que lo más importante no es que nuestros empleados sepan cómo se llama cada ataque, si no que conozcan los riesgos que existen en las decisiones que toman a diario. Hacerles conscientes de cuál es su papel en la seguridad de la empresa es hoy decisivo, ya que la construcción de ciberataques de ingeniería social se realiza desde disparadores motivacionales y el procesamiento heurístico de nuestro cerebro, indistintamente del canal, el mensaje y el activo objetivo.

Sesgos cognitivos: uno de los principales vectores de ataque de la ingeniería social

Como consecuencia de las continuas mejoras en los sistemas de seguridad y protección a nivel técnico, el enfoque de la ciberdelincuencia en la ingeniería social aumenta y mucho, ya que resulta más sencillo aprovecharse de las vulnerabilidades humanas, sobre todo  conociendo cómo funcionan los sesgos cognitivos.

Según diversos estudios, las personas tomamos alrededor de 35.000 decisiones al día, de las cuales solo 91 son conscientes, el resto las toma nuestro cerebro con atajos mentales o sesgos cognitivos. Por eso, hacer o no clic en un enlace malicioso en muchas ocasiones es debido a un reflejo y no a un conocimiento, y eso lo saben los ciberdelincuentes.

Y es que aunque los sesgos cognitivos nos han ayudado a sobrevivir como especie casi 200.000 años, a día de hoy son uno de los principales vectores de ataque de la ingeniería social. Saber cómo reaccionamos ante determinados estímulos es una ventaja, y así lo explotan con diferentes técnicas y a través de diversos canales.

Conocer la existencia de los sesgos cognitivos, su funcionamiento y cómo puede la ciberdelincuencia aprovecharse de ellos, nos permitirá reforzar la cultura de ciberseguridad de la organización con acciones concretas que nos ayuden a identificar situaciones, e incluso colectivos, donde es más probable que estos sesgos tengan un impacto significativo.

Porque aunque no podemos eliminar los sesgos inconscientes de las personas que forman nuestros equipos y organizaciones, sí podemos concienciar sobre cómo funciona nuestro cerebro y cuáles son sus principales vulnerabilidades que abren la puerta cada día a la ciberdelincuencia.

Por ello, uno de nuestros principales objetivos debe ser crear y escalar una cultura de ciberseguridad de una forma práctica y entretenida que, teniendo en cuenta cómo pueden influir los sesgos cognitivos, nos ayude a conseguir que nuestros empleados desarrollen los comportamientos y hábitos clave para mantener la seguridad en la organización.