Compañías como TechHeroX, Ticsmart y Softcom, en colaboración con el Instituto Nacional de Ciberseguridad (INCIBE), están trabajando en el desarrollo de un algoritmo predictivo que pueda protegernos, aprendiendo de factores psicológicos, variables contextuales y comportamientos, ante ciberataques. Un equipo multidisciplinar despliega una herramienta que sirva para combatir a los insiders.
El proyecto EVE (Emotions and Vulnerabilities Exposed and Protected) hace posible que con un test se puedan conocer los rasgos de personalidad que influyen en las reacciones ante un ciberataque. La información se incluirá en una plataforma de Neurociberseguridad, que se pondrá a disposición de las empresas para la prevención de ciberataques. María Laura Mosqueda, fundadora y CEO de TechHeroX, explica a Escudo Digital el funcionamiento del algoritmo.
PREGUNTA. ¿Qué es el algoritmo EVE?
RESPUESTA. Un algoritmo que predice la vulnerabilidad del factor humano ante un ciberataque, basándose en variables psicológicas, los procesos cognitivos que dan lugar a que el ser humano tome una decisión y los rasgos de personalidad. Si uno es consciente de sus características, puede enfrentarse de una forma u otra a un ciberataque. Pone en valor todo el sistema conductual, desde el factor de inhibición conductual (BIS) al factor de activación conductual (BAS). También tiene en cuenta las variables contextuales, porque no todos los días son iguales, y el argumento tecnológico, cuánto de bien está hecho ese ciberataque, como de familiarizado se está con el sector en el que se está realizando la ofensiva, la forma de procesar la información, si nos basamos en un modelo heurístico o probabilístico. Con todas esas variables, el algoritmo es capaz de predecir cuán vulnerables somos a un ciberataque. Se llama EVE, porque significa emociones y vulnerabilidades expuestas. EVE te protege de ti mismo, de cómo eres, para que intentes evitar los peligros. En el ámbito digital, los humanos no tenemos factores de supervivencia, no hemos generado una respuesta instintiva a las amenazas, como sí ocurre cuando oímos el rugido de un león, aunque nunca hayamos estado en la sabana. EVE es capaz de predecir si vamos a caer en un tipo de ciberataque o en otro dependiendo de todas estas variables.
P. ¿Cuáles son los vectores que se analizan?
R. Como he comentado, variables psicológicas, como el BIS, el BAS y la necesidad de cognición. Luego están las contextuales, cómo afecta el entorno; las tecnológicas; y por último el modelo de procesamiento de la información. La predicción tiene una base científica, que ha elaborado Lucía Halty, directora de la Cátedra de Innovación y Salud Mental Digital de la Universidad Pontificia Comillas.
P. Si las emociones pueden cambiar, el algoritmo se transforma en función del día y las circunstancias…
R. Efectivamente. El algoritmo no es estático, entrena según la toma de decisiones y nuestro comportamiento. Si cambia el nivel de vulnerabilidad, se alerta al usuario y a la organización de la transformación, porque lo que se pretende es un círculo que nosotros llamamos virtuoso. Este empieza con la validación del autodiagnóstico, de cómo somos, las variables psicológicas y rasgos de personalidad. A partir de ahí, se despliega un mecanismo que se basa en simulaciones de phishing para validar esa hipótesis continuamente. Esto genera un sistema de alerta, que denominamos semáforo para la organización y para el usuario, y que se contrarresta con una serie de microhistorias que explican los procesos cognitivos por los que se ha caído o no en esa simulación. Y vuelta a empezar. En este círculo virtuoso, el algoritmo está siempre entrenando y aprendiendo del comportamiento de los usuarios.
P. ¿Dicen en la presentación del proyecto que este algoritmo emocional nos puede convertir en una especie de autoantivirus actualizado permanentemente?
R. Lo que pretendemos es protegernos de nosotros mismos, porque al final somos los responsables últimos, a título individual, de lo que hacemos en el ciberespacio. Las organizaciones pueden poner una barrera tecnológica, tener el mejor software de protección, pero los hackers saben que el eslabón más débil somos los humanos. Queremos cambiar el concepto, que realmente seamos los más fuertes, precisamente porque nos conocemos y somos capaces de protegernos de nosotros mismos, porque sabemos por qué tomamos las decisiones antes un estímulo en el ámbito online. Eso es lo que buscamos con el proyecto.
P. Este autodiagnóstico descubre nuestras vulnerabilidades, ¿pero también nuestras fortalezas?
R. En la personalidad nada es bueno o malo, está ahí, simplemente hay que conocerlo. Si, por ejemplo, detectamos que tenemos un factor de inhibición conductual muy alto, ¿esto qué significa? El BIS es el freno, es lo que me lleva a no actuar impulsivamente, a ser cauteloso. Esto puede ser un factor de protección ante un ciberataque, es decir, te protege de tomar decisiones precipitadas. Pero si la forma del ciberataque está planteada como un castigo, y yo tengo un BIS alto, las personas con un BIS alto son particularmente sensibles a señales de advertencia o a la posibilidad de resultados negativos. Esta sensibilidad puede llevar a tomar acciones rápidas para evitar a toda costa cualquier consecuencia negativa, por ejemplo, a hacer click para evitar un supuesto bloqueo de tu cuenta bancaria. El cerebro en ese momento no diferencia entre amenazas reales o falsas.
Intentamos explicar a las personas qué significa tener un BIS alto, medio o bajo. Que el BAS, sistema de activación conductual te hace ser impulsivo, eres capaz de hacer clic muy rápidamente a cierto estímulo: por ejemplo, Te llega una oferta particularmente atractiva a tu bandeja de entrada. El mensaje perfecto para que tu BAS se active, como eres muy impulsivo vas a caer en el ciberataque, no vas a buscar contrastarlo, no vas a tener calma, y esto lo conocen los hackers. Ellos saben cómo manipularnos psicológicamente, cómo manipular nuestros recuerdos, cómo hacer que tomemos decisiones de una forma apresurada.
P. Con este proyecto la ciberseguridad pasa de ser algo comunitario a ser algo personalizado…
R. Buscamos generar un proyecto de neurociberseguridad. Todo parte de nosotros mismos, de nuestro cerebro, de nuestras emociones, y lo que buscamos es que la gente se conozca. Si tú te conoces, puedes ayudar a los demás también a conocerse.
P. En medicina o en psicología el autodiagnóstico tiene un matiz negativo por la subjetividad. ¿Cómo lo moduláis para que este autodiagnóstico sea objetivo?
R. Nos basamos en modelos científicos que llevan mucho tiempo validados, es un análisis aséptico de cómo es cada uno, sus rasgos de personalidad y las implicaciones en el mundo de la supervivencia digital. Explicamos muy bien los resultados a los usuarios por medios audiovisuales y con un lenguaje atractivo y cercano, lo que significa cada cosa y les ponemos ejemplos para evitar pueden compararse o interpretar un valor o una valencia como mala o buena.
P. Es un trabajo compartido…
R. Queremos que cada entidad aporte su nivel de expertise en la materia. En TechHeroX llevamos años trabajando en el desarrollo de experiencias formativas y de concienciación en ciberseguridad. Nos dimos cuenta de que había que dar un paso más para anticiparnos a los ataques desde el punto de vista de los procesos cognitivos. Este es un proyecto que no podíamos hacer solos. El INCIBE, en el marco de la CPP2 (Compra Pública de Innovación), del Plan de Recuperación, Transformación y Resiliencia, con la financiación de los Fondos Next Generation-EU, marcó el reto 1: Lucha contra los insiders, conscientes y los inconscientes, porque se puede poner en riesgo a una organización o entidad pública sin quererlo. También participa Softcom, que es una empresa especializada en análisis forense de ciberseguridad y expertos en peritaje judicial tecnológico; la Universidad Autónoma de Madrid (UAM), con Eugenia Hernández, directora de la UNINT (Unidad de Análisis de Inteligencia), que es especialista en perfilado; la Universidad de Comillas con Lucía Halty llevando toda la parte del modelo teórico del algoritmo junto con la UAM; TicSmart, empresa especializada en desarrollo de software y en usabilidad…
P. Y multidisciplinar.
R. Sorprende bastante a los psicólogos que no se haya explotado la parte emocional y de procesos cognitivos dentro del mundo de la ciberseguridad, porque realmente existe una conexión directa. La ciberseguridad es un reto muy grande para la sociedad, como para solo abordarlo desde el punto de vista tecnológico. Tiene que tratarse desde todas las aristas, antropológicamente estamos hablando de supervivencia digital. Tienen que participar también los expertos en branding y storytelling, para hacer el mensaje atractivo y entendible a la ciudadanía, los psicólogos, etc.
P. ¿Cuándo va a estar operativo?
R. A mediados o finales del año que viene (2025) se podrá llevar al mercado. Ahora estamos en el desarrollo de la etapa 2.
P. ¿Algo más que añadir?
R. Para poder entrenar a los algoritmos son muy importantes los datos. Necesitamos ayuda de la ciudadanía, que hagan el test, porque además de conocerse van a ayudar a otros a protegerse.