​Las vulnerabilidades humanas son las principales causantes de los incidentes de ciberseguridad y phishing

Archivado en: Tecnología · ciberseguridad y phishing · FEN Universidad de Chile.
| martes, 19 de abril de 2022, 07:31

A1


Nueve de cada diez incidentes de ciberseguridad se originan por el error humano. Este tipo de eventos puede prevenirse, transformando la cultura en la organización, o sea los valores y las creencias que tienen los colaboradores del lugar en el que se desempeñan.

“Se debe reconocer que los colaboradores tienen sesgos y eso impacta en los temas de phishing, por lo que las organizaciones tienen que internalizarlo. Hay que entender que el ser humano es el objetivo del los ataques de los cibercriminales”, señaló José Antonio Lagos, profesor del diplomado en Ciberseguridad que imparte la unidad de Educación Ejecutiva (UEjecutivos) del Departamento de Control de Gestión y Sistemas de Información de la FEN Universidad de Chile.

En el encuentro, denominado Phishing: 5 vulnerabilidades del factor humano y sesgos cognitivos, que realizó dicha unidad el pasado 12 de abril y en el que Lagos participó como expositor, este señaló que “el reporte del tercer trimestre del Anti phishing Working Group informó que en julio del 2021 se produjo la cantidad de phishing más grande en la historia de estos reportes, totalizando más de 260 mil eventos mensuales. También, el costo de las brechas de los datos se ha incrementado, pasando de USD 3.86 a 4.24 millones, cuyo monto es el más alto reportado, según IBM”.

Para quienes desconocen en qué consiste el phishing, este es un ataque que tiene por objetivo robar el dinero o la identidad de una persona, por medio del ingreso de información personal, como el número de la tarjeta de crédito, información bancaria o contraseñas, en sitios web que fingen ser legítimos.

Tras el acelerado proceso de transformación digital que están experimentando las organizaciones, el cual implica generar nuevos modelos de negocios y, por ende, integrar nueva tecnología, el concepto de ciberseguridad es primordial. Así lo señala un estudio de IBM, en el que un 92% considera que la seguridad informática es una tecnología clave para alcanzar los objetivos del negocio, señaló Lagos.

Para las organizaciones, su importancia radica en que nueve de cada diez incidentes de ciberseguridad se originan por el error humano. “Los ciberdelicuentes se aprovechan de las vulnerabilidades humanas al conocer cómo funcionan los sesgos cognitivos, un fenómeno psicológico de la mente, que es principalmente inconsciente”, indica Lagos.

Estos sesgos se le conocen como efecto de arrastre, que es una tendencia a copiar la conducta de los demás, cuyo riesgo se asocia a lo que haga el grupo; compensación de riesgos, que es cuando una medida tecnológica preventiva reduce la percepción de riesgo; efecto Dunning-Kruger, que es cuando las personas piensan que no serán víctima de incidentes de seguridad; ilusión de control; creer que se puede controlar o influir en una situación, cuando no se puede; aversión a la pérdida; sesgo de optimismo; y sesgo de confirmación, cuando se confirman las propias creencias.

En esa línea, añadió que los ciberdelincuentes al realizar técnicas de ingeniería social como el phishing, pretexting, vishing y smashing, entre otros, utilizan principios psicológicos básicos, como el concepto de la autoridad, reciprocidad, colaboración y consistencia, confianza, validación social, pérdida, curiosidad y ego. Sin embargo, existen dos que son los más importantes: el sentido de urgencia y el llamado a la acción. Un ejemplo de ello, es cuando solicitan pinchar un enlace hasta antes de determinada hora del día, para que el cometido se cumpla.

“Las personas toman, en un día como promedio, más de 35 mil decisiones, de las cuales 91 son conscientes. El resto las toma el cerebro con atajos mentales o sesgos cognitivos, entre los que se cuentan por ejemplo, hacer clic en un enlace malicioso”, subrayó.


Cultura de ciberseguridad

El comportamiento de los colaboradores, así como sus personalidades más y menos riesgosas dentro de una organización, pueden hacer que prospere un ataque de phishing acompañado de ramsonware en la empresa. Por lo mismo, resulta clave que las organizaciones comprendan y reconozcan que los sesgos cognitivos influyen de manera determinada en el día a día, explicó Lagos.

Este tipo de eventos puede prevenirse, transformando la cultura en la organización, o sea los valores y las creencias que tienen los colaboradores del lugar en el que se desempeñan.

En primer lugar, con el fin de partir desde una línea de base, se debe medir la cultura en ciberseguridad, teniendo claro cuáles son los comportamientos que se quieren modificar y la mentalidad y los nuevos valores que se busca instaurar. “Cuando en las organizaciones no existe un clima adecuado, las personas tienden a ser víctimas de phishing”, acotó Lagos.

De hecho, mencionó que aquellas organizaciones que, además de implementar planes de capacitación sobre phishing entre sus colaboradores, incorporan ejercicios simulados o ethical phishing, entre un año y otro, han reducido hasta en un 16,4% la suplantación de identidad. Sin embargo, destacó que solo la implementación de enfoques tradicionales para la capacitación en concientización sobre seguridad es un método ineficaz.

“Las organizaciones progresistas están invirtiendo en programas holísticos de comportamiento y cultura de seguridad, en lugar de campañas obsoletas de concientización sobre seguridad centradas en el cumplimiento. Estos programas se enfocan en fomentar nuevas formas de pensar e incorporar nuevos comportamientos con la intención de provocar formas más seguras de trabajar en toda la organización”, sostuvo.

europapress