Rafael López, rector de Evidentia University of Behavioral & Forensics Sciences
Rafael López Rector Evidentia University of Behavioral & Forensics Sciences

Ciberseguridad conductual y la delgada línea entre lo lógico y lo físico

Ataque de ingeniería social

En el complejo y cambiante panorama de la seguridad, la integración de los conocimientos psicológicos en las estrategias de ciberseguridad y de seguridad física es cada vez más importante. En concreto, la aplicación de la psicología no solo mejora nuestra comprensión de las amenazas a la seguridad, sino que también perfecciona nuestros enfoques para defendernos de ellas. La premisa central de la aplicación de la psicología al campo de la seguridad reside en reconocer que, en el corazón de muchas violaciones de seguridad, ya sean digitales o físicas, se encuentra el comportamiento humano: nuestras tendencias, sesgos y patrones sociales desempeñan un papel fundamental en la eficacia de los sistemas de seguridad.

El ámbito de la ciberseguridad conductual (behavioral cybersecurity por su terminología en inglés) emerge como un área crítica de interés dentro de este enfoque interdisciplinar. Este campo postula que, analizando y anticipando los patrones de comportamiento que conducen a vulnerabilidades (como la propensión a elegir la comodidad sobre la seguridad en la gestión de contraseñas), los profesionales de la seguridad pueden diseñar mecanismos de defensa más robustos que atiendan a las complejidades de la naturaleza humana.

Al mismo tiempo, la ingeniería social representa una aplicación directa de la manipulación psicológica en el ámbito de la seguridad. Explotando las tendencias humanas innatas a confiar, a buscar la validación social y a responder a la autoridad, los atacantes orquestan esquemas sofisticados que eluden las medidas técnicas de seguridad. Estas tácticas, que van desde el phishing hasta el pretexting (una especie de storytelling con fines delictivos), revelan la necesidad crítica de una comprensión profunda de la psicología humana a la hora de elaborar protocolos de seguridad eficaces.

Más allá de esto, el impacto de las tácticas psicológicas se extiende fuera del ámbito digital, influyendo también en la seguridad física. Los intrusos emplean a menudo técnicas de ingeniería social para manipular a las personas para que concedan acceso a instalaciones seguras o zonas sensibles, explotando la amabilidad humana, la reticencia a cuestionar la autoridad o el simple descuido de los protocolos de seguridad en las interacciones cotidianas. Estos incidentes subrayan la interconexión de las medidas de seguridad cibernética y física, y el papel esencial que desempeñan las estrategias psicológicas en la salvaguarda de ambas.

En un mundo en el que las líneas entre lo digital y lo físico se difuminan, la ciberseguridad conductual, la ingeniería social y sus implicaciones para la seguridad física serán un aspecto de obligado análisis por parte de los departamentos de seguridad.

Ciberseguridad conductual

La ciberseguridad conductual sugiere que las vulnerabilidades digitales a las que nos enfrentamos a menudo se derivan de comportamientos humanos predecibles y sesgos cognitivos (Hadnagy, 2018).

La importancia de la ciberseguridad conductual se ve subrayada por el reconocimiento de que el error humano es un factor significativo en las brechas de seguridad. Por ejemplo, la tendencia a priorizar la comodidad sobre la seguridad conduce a comportamientos como la reutilización de contraseñas en múltiples plataformas o la selección de contraseñas sencillas y fáciles de recordar (y de quebrantar). Estos hábitos crean vulnerabilidades sistémicas que pueden ser explotadas por los ciberatacantes (Acquisti, Brandimarte y Loewenstein, 2015). Además, sesgos cognitivos como el sesgo de optimismo (por el que los individuos creen que corren menos riesgo de experimentar acontecimientos negativos en comparación con otros) pueden llevar a subestimar las amenazas a la ciberseguridad y a sobreestimar las medidas de ciberseguridad personales (Kahneman, 2011).

En la ciberseguridad conceptual, el error humano es un factor significativo en las brechas de seguridad

Otro concepto importante será la validación social, un fenómeno psicológico en el que las personas imitan las acciones de los demás en un intento de reflejar el comportamiento correcto en una situación determinada. Los atacantes suelen utilizar la prueba social en los ataques de phishing elaborando mensajes que parecen proceder de fuentes legítimas, aprovechándose así de los procesos de toma de decisiones heurísticos de la víctima (Cialdini, 2006).

Para hacer frente a estas vulnerabilidades, la ciberseguridad conductual se centra en el desarrollo de protocolos de seguridad y programas educativos basados en conocimientos psicológicos. Esto incluye el diseño de interfaces de usuario que fomenten un comportamiento seguro, la creación de una formación en ciberseguridad más eficaz que tenga en cuenta la psicología humana y el empleo de la gamificación para mejorar el compromiso y la retención del aprendizaje (Dhamija, Tygar y Hearst, 2006). Todo ello realizado desde el entendimiento del comportamiento humano real. Un humano que no lee las advertencias, un humano que piensa que no le ocurrirá a él, un humano estresado que no tiene tiempo de cambiar contraseñas, un humano, en definitiva, muy humano.

Ingeniería social

La ingeniería social explota el eslabón más débil de cualquier sistema de seguridad: el elemento humano. A diferencia de los ciberataques basados en explotación de vulnerabilidades técnicas, los ataques de ingeniería social manipulan a los individuos para que comprometan voluntariamente la seguridad mediante el engaño, la persuasión y la manipulación psicológica (Mitnick & Simon, 2002).

La ingeniería social aprovecha los instintos humanos básicos (como la confianza, la autoridad y el deseo de ser útil) para engañar a las personas para que infrinjan los procedimientos normales de seguridad. Una táctica común es el conocido phishing, en el que los atacantes envían correos electrónicos fraudulentos imitando a organizaciones legítimas para engañar a los destinatarios para que revelen información confidencial o descarguen malware (Hadnagy, 2018). El éxito del phishing depende en gran medida de la explotación de sesgos cognitivos, como el principio de escasez, según el cual es más probable que los individuos actúen si creen que pueden perder una oportunidad limitada (Cialdini, 2006).

Otra táctica, el pretexting, consiste en crear un escenario inventado (el pretexto) para captar a una víctima objetivo de forma que aumente la probabilidad de revelar información o conceder acceso a recursos restringidos. Este método suele basarse en la construcción de una historia creíble que requiere una investigación exhaustiva de los antecedentes y un profundo conocimiento del contexto personal u organizativo del objetivo (Gragg, 2003).

¡Sigue leyendo!

Aquí te hemos mostrado tan solo una parte de este contenido.

¿Quieres leer el artículo completo?

Leer Completo
Contenido seleccionado de la revista digital
Aplicar filtros
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Presenta tu candidatura para la 37ª edición de los Trofeos Internacionales de la Seguridad