Así abren la puerta los sesgos cognitivos a los ataques de ransomware

Alberto Payo

Periodista

Guardar

A red human figure destroys the connection between a person and people. Pressure and attempts to intervene in the opponents affairs. hit on reputation, anti-advertising. Break economic ties.
A red human figure destroys the connection between a person and people. Pressure and attempts to intervene in the opponents affairs. hit on reputation, anti-advertising. Break economic ties.

Los ataques de ransomware aumentado su frecuencia y sofisticación en los últimos dos años, coincidiendo con la pandemia. Hasta el punto que, según una innvestigación de Bitsight con datos de la Universidad de Cambridge, el 54% de los ciberataques denunciados por empresas de todo el mundo durante 2020 estuvieron relacionados con esta clase de incidentes.

Otro estudio de EY pone de manifiesto que 9 de cada 10 incidentes de ciberseguridad son debidos a algún error humano. Y aquí es donde podemos hablar de las decisiones humanas y qué las motivan.

Cada día realizamos unas 35.000 elecciones de media y, de ellas, únicamente 91 serían conscientes. Los hackers pueden aprovecharse fácilmente de nuestras vulnerabilidades a través de los llamados "sesgos cognitivos".

Los sesgos cognitivos forman parte de la naturaleza humana y de nuestra evolución como especie, por eso no podemos eliminarlos de nuestros equipos y organizaciones, aunque su conocimiento puede ser muy útil, abriéndonos una nueva dimensión en la detección y desarollo de comportamientos.

La empresa de ciberseguridad Aiwin ha presentado el 1er estudio sobre Sesgos Cognitivos y Ransomware, en el que ha identificado más de 30 sesgos concretos que explican por qué muchas veces los empleados erran pese a saber que no deben hacer ciertas cosas.

"Todas las empresas nos encontramos ante un nuevo escenario que nos obliga a formar concienzudamente a nuestros trabajadores, a ponerlos a prueba, a hacerlos conocedores de las últimas tendencias en ciberdelincuencia, y siempre a través de recursos más originales y realistas huyendo de los típicos y denostados powerpoints o charlas poco atractivas”, explica Daniel Puente Pérez, CISO en Cirsa.

Según Aiwin, estos son algunos de los sesgos más frecuentes y que pueden abrir la puerta a los ataques de ransomware:

Efecto de verdad ilusoria

A nuestro cerebro le resulta más fácil procesar información que hemos experimentado con anterioridad. Esto crea una sensación que nos puede llevar a malinterpretar una señal como un contenido verdadero. De esta forma, los ciberdelincuentes pueden realizar ataques de phishing aprovechando el principio de colaboración, reciprocidad y confianza.

Sesgo de percepción selectiva

Se da cuando la persona recibe una información y, en función de sus expectativas, escoge automáticamente un objeto de atención y desatiende la parte restante para no saturarse. Con su activación, se puede caer en prácticamente cualquier técnica de ingeniería social.

Efecto Bandwagon

Tiene lugar cuando el cerebro hace decisiones basadas en emociones y en el impulso de grupo. Por ejemplo, se activa cuando seguimos lo que hacen nuestros compañeros asumiendo que es seguro o sensato hacerlo. Si alguien envía un enlace a un chat de trabajo y más personas están reaccionando a él, el temor a perderse algo y quedarse “fuera” puede superar a su formación sobre ciberseguridad y puede hacer clic en el enlace.

Sesgo de automatización

Nuestro cerebro confía más en la información que da un sistema automatizado que la que ofrece un sistema no automatizado, como la recopilada por una persona, incluso aunque sea correcta. Así se puede caer en prácticamente todas las técnicas de ingeniería social, pero especialmente en las que aprovechan el principio de urgencia.

Sesgo de optimismo o ilusión de invulnerabilidad

El cerebro humano está programado para ser optimista en general y, a menudo, subestima la probabilidad de que se produzcan eventos adversos. En nuestra vida cotidiana puede ser beneficioso, pero en ciberseguridad se necesita justo lo contrario, es decir, estar alerta. Un ejemplo es cuando un empleado piensa “la empresa nunca va a ser vulnerada por un click que yo haga en un correo”.