El 54% de los ciberataques denunciados en 2020 en todo el mundo fueron causados por acciones de ransomware, de malware o mensaje malicioso que nos llega al dispositivo y que, después de comprometer un equip,o secuestra la información y exige el pago de un rescate para recuperar los datos y evitar otros daños colaterales.
El 90% de este tipo de ataques se producen por un clic de un usuario en un enlace que contiene el código malicioso. De acuerdo con un estudio de EY, más del 90% de incidentes de ciberseguridad tiene su origen en un error humano, fundamentalmente debido a la sencillez con la que ciberdelincuentes se aprovechan de las vulnerabilidades humanas al conocer cómo funcionan los sesgos cognitivos, un fenómeno psicológico de la mente, principalmente inconsciente.
Según reflejan algunos estudios e investigaciones, las personas tomamos alrededor de 35.000 decisiones de media al día de las cuales solo 91 son conscientes. El resto las toma nuestro cerebro tomando atajos mentales o sesgos cognitivos, entre los que se encuentran hacer o no clic en un enlace malicioso en un correo que recibimos.
Los sesgos cognitivos forman parte de la naturaleza humana, por ello no podemos eliminarlos de nuestros equipos y organizaciones, pero sí podemos intentar controlarlos. Como señala Antonio Fernandes, Hacker y Divulgador en ciberseguridad, “cuándo un grupo criminal escoge un objetivo, ha existido detrás una investigación de ciberinteligencia de la compañía, un perfilado de sus empleados y un estudio de cómo trabajan para, entre otras cosas, definir cómo puedan aumentar las posibilidades de éxito”.
Los sesgos que condicionan nuestro cerebro y abren la puerta al ransomware
Conocer cómo funciona nuestro cerebro y cuáles son sus principales vulnerabilidades a través de los sesgos abre una nueva dimensión en la detección y desarrollo de comportamientos. En este sentido, el primer Estudio sobre Sesgos Cognitivos y Ransomware de Aiwin ha encontrado más de 30 sesgos cognitivos concretos que demuestran que “pensar antes de hacer clic”, como parte de la cultura de ciberseguridad de una empresa, no es tan sencillo como recordárselo una y otra vez al empleado.
Estos son algunos de ellos:
Efecto de verdad ilusoria: A nuestro cerebro le resulta más sencillo procesar información que hemos experimentado con anterioridad. Esto crea una sensación que nos puede llevar a malinterpretar una señal como un contenido verdadero. De esta forma, los ciberdelincuentes pueden realizar ataques de phishing aprovechando el principio de colaboración, reciprocidad y confianza.
Sesgo de percepción selectiva. Se da cuando la persona recibe una información y, en función de sus expectativas, selecciona automáticamente un objeto de atención y desatiende la parte restante para no saturarse. Con su activación, se puede caer en prácticamente cualquier técnica de ingeniería social.
Efecto Bandwagon. Se produce cuando el cerebro toma decisiones basadas en emociones y en el impulso de grupo. Por ejemplo, se activa cuando seguimos lo que hacen nuestros compañeros asumiendo que es seguro o sensato hacerlo. Si alguien envía un enlace a un chat de trabajo y más personas están reaccionando a él, el temor a perderse algo y quedarse “fuera” puede superar arrastrarnos a hacer clic en el enlace.
Sesgo de automatización. Surge cuando nuestro cerebro confía más en la información que da un sistema automatizado que la que ofrece un sistema no automatizado, como la recopilada por una persona, incluso aunque sea correcta. Con ello se puede caer en prácticamente todas las técnicas de ingeniería social, pero especialmente en las que aprovechan el principio de urgencia.
Sesgo de optimismo o ilusión de invulnerabilidad. El cerebro humano está programado para ser optimista en general y, a menudo, subestima la probabilidad de que se produzcan eventos adversos. Un ejemplo de los efectos de este sesgo es cuando un empleado piensa “la empresa nunca va a ser vulnerada por un clic que yo haga en un correo”.
Conscientes de la necesidad de que las organizaciones aborden asuntos como los sesgos cognitivos, desde Aiwin han desarrollado Aiwin Firewall, una plataforma que automatiza la generación de culturas en ciberseguridad.
