La clave es mentalizar al equipo contra el ‘phising’

El cerebro es, con toda probabilidad, el órgano vital más complejo de todos los que componen el cuerpo humano, y su desarrollo está ligado inexorablemente a la evolución desde los antiguos homínidos hasta el actual Homo sapiens. Hace unos 195.000 años que la especie humana empezó a utilizar la parte más racional de su cerebro para pensar, razonar y tomar decisiones complejas. Antes de ese momento, sin embargo, eran las emociones las que guiaban las acciones de nuestros antepasados.

Pese a los avances como especie, hoy todavía tomamos muchas decisiones a partir de nuestro sistema emocional, que se caracteriza por ser rápido, inconsciente y propenso al error. “Esa conducta automática nos ha servido para sobrevivir durante millones de años y llegar hasta aquí. En cambio, cuando estamos ante el ordenador nos sentimos seguros y bajamos la guardia. No somos conscientes de que estamos expuestos al riesgo”, alertó Rafael López, presidente y rector de Evidentia University of Behavioral and Forensic Sciences. Los ciberdelincuentes lo saben y aprovechan esas circunstancias para actuar, porque conocen perfectamente los mecanismos que deben activar para completar con éxito el delito.

Esa es la base de la denominada ingeniería social, táctica que emplean los malhechores digitales para ganarse la confianza del usuario y conseguir así que haga algo bajo su manipulación y engaño, como ejecutar un programa malicioso, comprar en webs fraudulentas o facilitar sus claves privadas. De esa manera, la víctima actúa completamente ajena a lo que ocurre y, por sí misma, cae en la trampa.

Durante su ponencia Persuasión invisible: sesgos y prevención de los ciberataques, este experto explicó cómo los delincuentes utilizan señuelos con los que atraer a sus presas, como una oferta muy atractiva adaptada incluso a sus gustos personales, o productos y servicios que llaman la atención del usuario e invitan a contratarlos o adquirirlos. Tras esa apariencia de normalidad se oculta la estafa. Acceder y elegir a las víctimas además es relativamente fácil, porque muchos internautas publican información privada y personal en sus redes sociales sin ningún tipo de reparo. “Es muy fácil engañar y más sencillo aún caer en ese señuelo. Si solo se envía a una persona, es muy probable que el delincuente no logre su objetivo. Pero si el envío es masivo y llega a miles de usuarios, seguro que alguien pica”, señaló López.

El concepto de ingeniería social, en cualquier caso, no es nuevo. En la primera mitad del siglo XX, el austriaco Edward Bernays asentó muchas de las ideas que el marketing moderno sigue empleando para influir en los consumidores. Suya fue la idea, por ejemplo, de que fumar era un paso adelante en la lucha por los derechos de las mujeres. O de que los hombres empezasen a llevar relojes de pulsera, algo que hasta entonces se consideraba poco masculino. Bernays demostró que, si se tocan determinadas teclas, es posible que ciertos mensajes calen en la opinión pública. Esta base es la que utilizan los cibercriminales para atraer a sus víctimas y llevar a cabo su manipulación psicológica.

Predisposición al engaño

López desgranó en qué consiste el Códice de los Sesgos Cognitivos, una especie de atlas que reúne los 192 filtros de predisposición o prejuicios implantados en el cerebro, y de los que resulta muy difícil o directamente inevitable desprenderse. Estos sesgos forman parte de la naturaleza humana y es imposible eliminarlos, aunque sí es factible controlarlos y dominarlos. El factor humano es la principal vulnerabilidad que explotan los ciberdelincuentes, ya que conocen las debilidades de la mente y se aprovechan de ellas para lanzar ataques como el phishing o el smishing. Y para ello se valen de la tecnología. “Por eso es necesario que las empresas influyan en sus equipos, y les mentalicen de que existen riesgos y que deben protegerse”, recomendó López, doctor en Psicología.

Muchas compañías, sobre todo las de mayor tamaño, hace tiempo que dedican recursos para ello. “Pero a las pymes les cuesta más, y es importante que este mensaje llegue a todas”, añadió. En su opinión, el mensaje que las empresas deben lanzar para concienciar a sus empleados debe ser simple, porque cuanto más sencillo sea, su comprensión requiere menos esfuerzo. Además, debe hacerse a tiempo y en el momento adecuado, para que los empleados no lo dejen para más tarde o directamente lo acaben por ignorar. También ha de ser atractivo, para que el equipo se adhiera con facilidad y se anime a cumplirlo, y por último, debe ser social, para que nadie quede fuera y todos los miembros se sientan integrados y quieran participar.