La clave es mentalizar al equipo contra el ¡®phising¡¯

El cerebro es, con toda probabilidad, el ¨®rgano vital m¨¢s complejo de todos los que componen el cuerpo humano, y su desarrollo est¨¢ ligado inexorablemente a la evoluci¨®n desde los antiguos hom¨ªnidos hasta el actual Homo sapiens. Hace unos 195.000 a?os que la especie humana empez¨® a utilizar la parte m¨¢s racional de su cerebro para pensar, razonar y tomar decisiones complejas. Antes de ese momento, sin embargo, eran las emociones las que guiaban las acciones de nuestros antepasados.

Pese a los avances como especie, hoy todav¨ªa tomamos muchas decisiones a partir de nuestro sistema emocional, que se caracteriza por ser r¨¢pido, inconsciente y propenso al error. ¡°Esa conducta autom¨¢tica nos ha servido para sobrevivir durante millones de a?os y llegar hasta aqu¨ª. En cambio, cuando estamos ante el ordenador nos sentimos seguros y bajamos la guardia. No somos conscientes de que estamos expuestos al riesgo¡±, alert¨® Rafael L¨®pez, presidente y rector de Evidentia University of Behavioral and Forensic Sciences. Los ciberdelincuentes lo saben y aprovechan esas circunstancias para actuar, porque conocen perfectamente los mecanismos que deben activar para completar con ¨¦xito el delito.

Esa es la base de la denominada ingenier¨ªa social, t¨¢ctica que emplean los malhechores digitales para ganarse la confianza del usuario y conseguir as¨ª que haga algo bajo su manipulaci¨®n y enga?o, como ejecutar un programa malicioso, comprar en webs fraudulentas o facilitar sus claves privadas. De esa manera, la v¨ªctima act¨²a completamente ajena a lo que ocurre y, por s¨ª misma, cae en la trampa.

Durante su ponencia Persuasi¨®n invisible: sesgos y prevenci¨®n de los ciberataques, este experto explic¨® c¨®mo los delincuentes utilizan se?uelos con los que atraer a sus presas, como una oferta muy atractiva adaptada incluso a sus gustos personales, o productos y servicios que llaman la atenci¨®n del usuario e invitan a contratarlos o adquirirlos. Tras esa apariencia de normalidad se oculta la estafa. Acceder y elegir a las v¨ªctimas adem¨¢s es relativamente f¨¢cil, porque muchos internautas publican informaci¨®n privada y personal en sus redes sociales sin ning¨²n tipo de reparo. ¡°Es muy f¨¢cil enga?ar y m¨¢s sencillo a¨²n caer en ese se?uelo. Si solo se env¨ªa a una persona, es muy probable que el delincuente no logre su objetivo. Pero si el env¨ªo es masivo y llega a miles de usuarios, seguro que alguien pica¡±, se?al¨® L¨®pez.

El concepto de ingenier¨ªa social, en cualquier caso, no es nuevo. En la primera mitad del siglo XX, el austriaco Edward Bernays asent¨® muchas de las ideas que el marketing moderno sigue empleando para influir en los consumidores. Suya fue la idea, por ejemplo, de que fumar era un paso adelante en la lucha por los derechos de las mujeres. O de que los hombres empezasen a llevar relojes de pulsera, algo que hasta entonces se consideraba poco masculino. Bernays demostr¨® que, si se tocan determinadas teclas, es posible que ciertos mensajes calen en la opini¨®n p¨²blica. Esta base es la que utilizan los cibercriminales para atraer a sus v¨ªctimas y llevar a cabo su manipulaci¨®n psicol¨®gica.

Predisposici¨®n al enga?o

L¨®pez desgran¨® en qu¨¦ consiste el C¨®dice de los Sesgos Cognitivos, una especie de atlas que re¨²ne los 192 filtros de predisposici¨®n o prejuicios implantados en el cerebro, y de los que resulta muy dif¨ªcil o directamente inevitable desprenderse. Estos sesgos forman parte de la naturaleza humana y es imposible eliminarlos, aunque s¨ª es factible controlarlos y dominarlos. El factor humano es la principal vulnerabilidad que explotan los ciberdelincuentes, ya que conocen las debilidades de la mente y se aprovechan de ellas para lanzar ataques como el phishing o el smishing. Y para ello se valen de la tecnolog¨ªa. ¡°Por eso es necesario que las empresas influyan en sus equipos, y les mentalicen de que existen riesgos y que deben protegerse¡±, recomend¨® L¨®pez, doctor en Psicolog¨ªa.

Muchas compa?¨ªas, sobre todo las de mayor tama?o, hace tiempo que dedican recursos para ello. ¡°Pero a las pymes les cuesta m¨¢s, y es importante que este mensaje llegue a todas¡±, a?adi¨®. En su opini¨®n, el mensaje que las empresas deben lanzar para concienciar a sus empleados debe ser simple, porque cuanto m¨¢s sencillo sea, su comprensi¨®n requiere menos esfuerzo. Adem¨¢s, debe hacerse a tiempo y en el momento adecuado, para que los empleados no lo dejen para m¨¢s tarde o directamente lo acaben por ignorar. Tambi¨¦n ha de ser atractivo, para que el equipo se adhiera con facilidad y se anime a cumplirlo, y por ¨²ltimo, debe ser social, para que nadie quede fuera y todos los miembros se sientan integrados y quieran participar.