Red Seguridad 093

red seguridad segundo trimestre 2021 83 opinión cliente por su compromiso con la seguri- dad. Posteriormente, envían un segundo correo donde recomiendan cambiar la clave de acceso a la banca online . Las víctimas acceden, siendo coherentes con su perfil de cliente responsable. Consenso El consenso se refiere al mecanismo psicológico por el cual tendemos a se- guir una opinión mayoritaria. Estamos más predispuestos a aceptar o rechazar algo si la gran mayoría lo ha aceptado o rechazado previamente. Esto nos da un plus de confianza para secundarla. Cialdini habla sobre un ejemplo de un restaurante que decidió incluir en el menú la lista de los platos más popula- res y consumidos. Estos platos tuvieron un incremento de consumo de hasta el 20 por ciento. En el mundo de la ciberseguridad em- presarial, es relativamente fácil que un ciberdelincuente pueda obtener infor- mación sobre nosotros y que realicemos una acción determinada si nos muestra que otras personas de la empresa lo han hecho previamente. Atracción El principio de la atracción demuestra que estamos más predispuestos a de- jarnos influir por personas que nos re- sultan agradables. Ya lo dijo Aristóteles: “nuestra mejor carta de presentación es la belleza”. Los ciberdelincuentes utilizan este prin- cipio de un modo bastante sencillo: crean un perfil falso en redes sociales con un físico atractivo e intereses similares a los nuestros. Al contactar con nosotros, no suele resultar difícil responder a la comu- nicación y empatizar e interesarse. Una vez ganada la confianza, el ciberdelin- cuente puede empezar a programar sus objetivos (como pedir dinero o sonsacar alguna información confidencial). Autoridad Explica cómo las personas estamos más predispuestas a dejarnos influenciar cuando somos interpelados por una au- toridad. Tendemos a creer que quienes están en posición de liderazgo tienen más conocimiento, experiencia y dere- cho a opinar que nosotros. Este principio se ve claramente en la influencia que ejercen los líderes de opinión o expertos en una materia. Esto explica el negocio que hay en torno a los influencers : somos más receptivos a la credibilidad de su discurso y, por tanto, tendemos a imitarlos. En el mundo de la ciberseguridad em- presarial, tenemos claro el fraude del CEO, englobado normalmente en la técni- ca de vulneración del correo electrónico. Asimismo, es cada vez más habitual en ciberdelincuencia la técnica llamada “ Deep Fake ”, la cual consiste en suplan- tar una identidad en apariencia utilizan- do la Inteligencia Artificial. Escasez “Todo lo escaso tiene más valor. Parece algo irracional, pero es un mecanismo del cerebro para garantizar la supervivencia”. En esto se basa el principio de escasez. Si tuviéramos que pelear por agua o comida, tomarnos la lucha de manera tranquila no garantizaría nuestra super- vivencia. El problema es que el cerebro, no distingue de manera instintiva entre una situación vital y una oferta comer- cial. Lo único que percibe es escasez. Por eso las personas compramos de for- ma compulsiva en épocas de rebajas o determinados eventos. Los ciberdelincuentes y estafadores utili- zan mucho este principio persuasivo. Sue- len hacer ofertas muy baratas, con muy pocas unidades a la venta y con poco mar- gen de tiempo para comprarlo. Así acce- demos a la compra de manera instintiva. En el campo de la ciberseguridad em- presarial, tenemos un ejemplo claro en el que nos llega un correo de Recursos Humanos contando que hay una nueva aplicación con descuento para emplea- dos. Y que, además, los 20 primeros en inscribirse recibirán un premio extra. No será difícil acceder a cualquier enlace con nuestras credenciales. En conclusión, aunque hay tecnolo- gías que ayudan a detectar algunas de estas técnicas, es imprescindible que los empleados de una compañía estén lo suficientemente concienciados como para no hacer algo que pudiera compro- meter la seguridad de la organización. Es recomendable tener precaución con los correos electrónicos, confirmar la fuen- te ante acciones sospechosas, no em- plear el equipo corporativo para temas personales, mantener actualizados los sistemas de protección y estar atentos a todos los detalles en simulaciones de ataque que realice nuestra compañía.