Mario Casado, Ingenia
Mario Casado Responsable de estrategia de negocio de Ciberseguridad y Servicios Gestionados Ingenia

El ‘hacking’ humano como amenaza real

Hoy día, la ciberseguridad corporativa debe contemplar un aspecto fundamental para blindar sus sistemas frente a la ciberdelincuencia: la ingeniería social o hacking humano.

Todos sabemos que las personas y más concretamente los empleados de cualquier organización, son un riesgo de seguridad importante que debemos tener en cuenta. Ya no solo debemos protegernos de los ataques a nuestros sistemas, sino que debemos ser conscientes de que se puede «hackear» la mente de las personas para conseguir información que habitualmente no nos proporcionarían o para que realicen determinadas acciones que no harían normalmente.

La ciberdelincuencia emplea los mismos mecanismos persuasivos que utilizan la publicidad y el marketing

Según varios estudios, el 80 por ciento de nuestras decisiones están basadas en emociones donde la razón tiene poco que ver. Esto es lo que explota el hacking humano. La ciberdelincuencia emplea los mismos mecanismos persuasivos que utilizan la publicidad y el marketing para lograr sus objetivos comerciales

Y es que parece que los ciberdelincuentes aplican las reglas de la persuasión, definidas por  Robert Cialdini en su libro Influence, the psychology of persuassion (1984). En esa obra el autor define los mecanismos o reglas básicas del marketing: reciprocidad, compromiso y consistencia, consenso, atracción, autoridad y escasez. En este artículo veremos estos aspectos bajo la óptica de la ciberseguridad.

Reciprocidad

La reciprocidad es la obligación moral que sentimos cuando recibimos algo sin ofrecer nada a cambio. El cerebro humano está programado para devolver favores y pagar sus deudas.

En el marketing, tenemos claros ejemplos en los que se ofrecen meses gratis de prueba en una plataforma audiovisual (regalo) antes de la suscripción (necesidad de corresponder).

Este principio es utilizado en ataques masivos de phishing, que ofrecen regalos atractivos simplemente por rellenar un cuestionario, suplantando la identidad de la marcas a las que están representando.

Compromiso y consistencia

Las personas estamos más dispuestas a realizar acciones que sean consistentes con lo que hayamos hecho en el pasado. Ya que, según Cialdini, si hacemos pública nuestra opinión sobre algo, es difícil que obremos contradiciendo nuestros principios.

En marketing este principio es conocido como «la técnica del pie en la puerta», la cual consiste en empezar por algo pequeño e ir construyendo a partir de ahí. Un claro ejemplo son las llamadas comerciales en las cuales la primera pregunta es si queremos pagar menos por nuestra factura telefónica. Si la respuesta es sí, tendemos a escuchar lo que tienen para ofrecernos para ser coherentes con la afirmación inicial.

En el mundo de la ciberdelincuencia, este principio es palpable en correos fraudulentos que proceden de supuestas entidades bancarias felicitando al cliente por su compromiso con la seguridad. Posteriormente, envían un segundo correo donde recomiendan cambiar la clave de acceso a la banca online. Las víctimas acceden, siendo coherentes con su perfil de cliente responsable.

Consenso

El consenso se refiere al mecanismo psicológico por el cual tendemos a seguir una opinión mayoritaria. Estamos más predispuestos a aceptar o rechazar algo si la gran mayoría lo ha aceptado o rechazado previamente. Esto nos da un  plus de confianza para secundarla.

Cialdini habla sobre un ejemplo de un restaurante que decidió incluir en el menú la lista de los platos más populares y consumidos. Estos platos tuvieron un incremento de consumo de hasta el 20 por ciento.

En el mundo de la ciberseguridad empresarial, es relativamente fácil que un ciberdelincuente pueda obtener información sobre nosotros y que realicemos una acción determinada si nos muestra que otras personas de la empresa lo han hecho previamente.

El principio de la atracción demuestra que estamos más predispuestos a dejarnos influir por personas que nos resultan agradables. Ya lo dijo Aristóteles: «nuestra mejor carta de presentación es la belleza”.

Los ciberdelincuentes utilizan este principio de un modo bastante sencillo: crean un perfil falso en redes sociales con un físico atractivo e intereses similares a los nuestros. Al contactar con nosotros, no suele resultar difícil responder a la comunicación y empatizar e interesarse. Una vez ganada la confianza, el ciberdelincuente puede empezar a programar sus objetivos (como pedir dinero o sonsacar alguna información confidencial)

Autoridad

Explica como las personas estamos más predispuestas a dejarnos influenciar cuando somos interpelados por una autoridad. Tendemos a creer que quienes están en posición de liderazgo tienen más conocimiento, experiencia y derecho a opinar que nosotros.

Este principio se ve claramente en la influencia que ejercen los líderes de opinión o expertos en una materia. Esto explica el negocio que hay en torno a los influencers: somos más receptivos a la credibilidad de su discurso, y por tanto, tendemos a imitarlos.

En el mundo de la ciberseguridad empresarial, tenemos claro el fraude del CEO, englobado normalmente en la técnica de vulneración del correo electrónico.

También, cada vez es más habitual en ciberdelincuencia la técnica llamada «Deep Fake», la cual consiste en suplantar una identidad en apariencia utilizando la Inteligencia Artificial.

Escasez

«Todo lo escaso tiene más valor. Parece algo irracional, pero es un mecanismo del cerebro para garantizar la supervivencia». En esto se basa el principio de escasez.

Si tuviéramos que pelear por agua o comida, tomarnos la lucha de manera tranquila no garantizaría nuestra supervivencia. El problema es que el cerebro, de manera instintiva no distingue entre una situación vital y una oferta comercial, lo único que percibe es escasez, por eso las personas compramos de forma compulsiva en épocas de rebajas o determinados eventos.

Los ciberdelincuentes y estafadores utilizan mucho este principio persuasivo de la escasez. Suelen hacer ofertas muy baratas, con muy pocas unidades a la venta y con poco margen de tiempo para comprarlo, así accedemos a la compra de manera instintiva.

En el campo de la ciberseguridad empresarial, tenemos un ejemplo claro en el que nos llega un correo de Recursos Humanos contando que hay una nueva aplicación con descuento para empleados, pero además los 20 primeros en inscribirse recibirán un premio extra. No será difícil acceder a cualquier enlace con nuestras credenciales.

En conclusión, aunque hay tecnologías que ayudan a detectar algunas de estas técnicas, es imprescindible que los empleados de una compañía estén lo suficientemente concienciados como para no hacer algo que pudiera comprometer la seguridad de la organización. Es recomendable tener precaución con los correos electrónicos, confirmar la fuente ante acciones sospechosas, no emplear el equipo corporativo para temas personales, mantener actualizados los sistemas de protección y estar atento a todos los detalles en simulaciones de ataque que realice nuestra compañía.