Por qué la psicología es una parte importante de la ciberseguridad
La comprensión de cómo funciona la mente humana puede ayudar a combatir los males de la ingeniería social y otras técnicas de manipulación.
Como tecnólogo e investigador de ciberseguridad, Erik J. Huffman está bien versado en los trucos de los ciberdelincuentes. Sin embargo, estuvo a punto de ser víctima de una estafa después de recibir un correo electrónico de su madre, supuestamente, pidiendo ayuda financiera. El email le recordó de inmediato cuánto había hecho ella por la familia. Dice que escuchó su voz en su mente mientras leía las palabras en la pantalla del ordenador. Y, aunque Hauffman sabía que nunca antes le había pedido dinero, rápidamente respondió “¿Cuánto necesitas?”.
No fue hasta que recibió otro mensaje, preguntando por la rapidez en la que podía enviar el dinero, cuando se dio cuenta de la estafa. Sin embargo, él al principio pensó que quería ser útil. Y en el ajetreo del día a día no se dio cuenta del peligro inmediato.
Las reacciones de phishing son parte del ADN humano
No está solo en esas reacciones. Huffman y otros líderes dicen que son una parte típica del ADN humano, que aún no ha evolucionado para desencadenar la respuesta de huir cuando se encuentra con peligros en línea. Esa realidad ha estimulado un creciente interés en cómo la ciencia del comportamiento humano puede informar y mejorar la disciplina de la ciberseguridad. Las autoridades en este espacio dicen que el interés está justificado.
“Las personas actúan de manera impredecible, por lo que, si bien es excelente contar con autenticación multifactor y otras tecnologías, solo se necesita que una persona responda un correo un día para poner en riesgo a la organización”, dice Lee Hadlington, profesora titular en ciberpsicología de la Universidad de Nottingham Trent. “Ese es el lado del factor humano en la ciberseguridad, y es algo en lo que los CISO deben comenzar a pensar más”.
La intersección de la ciberseguridad y la psicología
Tanto los ciberpsicólogos como los CISO enfatizan la necesidad de comprender mejor cómo las personas interactúan con la tecnología para crear una postura más sólida. Señalan estadísticas que muestran que la mayoría de las infracciones involucran algún tipo de paso en falso humano. Un informe de Verizon encuentra que el 74% de todas las violaciones incluyen este elemento, con personas involucradas, ya sea por error, uso indebido de privilegos, uso de credenciales robadas o ingeniería social.
Como dice Huffman, los ciberdelincuentes “no quieren enfrentarse cara a cara con su firewall. No quieren desafiar su antivirus, porque eso es muy difícil, y quieren explotar la vulnerabilidad más grande en todas las redes del plante; nosotros, la gente. Los ciberdelincuentes no solo piratean ordenadores, sino humanos, porque, a diferencia de las máquinas, nosotros respondemos a la propaganda.
La psicología explica por qué los humanos hacen lo que hacen. Existen múltiples razonas por las que las personas caen en esquemas de phishing y otras estafas de ciberdelincuentes. Para empezar, muchos trabajadores hacen clic cuando no deberían porque están concentrados en su trabajo.
Los empleados no tienen una sensación de peligro extraño
Al mismo tiempo, los trabajadores no han sido condicionados para desconfiar de los extraños en línea; no piensan en el “peligro de los extraños”, como lo harían en la vida real, dice Huffman. Y la gente todavía tiene la tendencia a pensar que no serán estafados. “Tienen una negación plausible. Piensan, no me pasará a mí, y cuanto menos lo piense, menos seré un objetivo”.
Los ciberdelincuentes entienden todo esto, asegura Stephanie Carruthers, jefa de hackers en IBM. Con frecuencia diseñan ataques que crean una sensación de miedo, de urgencia o un aura de autoridad para que las personas reaccionen. Es por eso que un mensaje como “Perderá sus beneficios si no completa este formulario hoy” es efectivo. Un mensaje como ese secuestra la amígdala del lector, la parte del cerebro que detecta y responde a las amenazas. “Estás reaccionando muy rápido. Y cuando tienes esas emociones, dejas de mirar banderas rojas”.
¿Por qué llevar la psicología a la seguridad?
La aplicación de la ciencia de la psicología a la ciberseguridad ayuda a los profesionales de la ciberseguridad a comprender dónde, cómo y por qué se están quedando cortos en la creación de un programa de seguridad que funcione, dicen los expertos. "Necesitamos diseñar la seguridad pensando en las personas porque si la seguridad no funciona para las personas, simplemente no funciona", dice John Blythe, científico del comportamiento y director de psicología de la fuerza laboral cibernética en Immersive Labs, creador de una capacitación en seguridad cibernética. plataforma.
Blythe señala los requisitos de contraseña como un ejemplo: requerir combinaciones complejas de letras, números y símbolos, así como exigir cambios frecuentes, grava la memoria de los trabajadores para que terminen usando contraseñas más débiles (y escribiéndolas) para que puedan ingresar los sistemas necesarios para hacer su trabajo. (Es por eso, dice, que pedir a los trabajadores que usen tres palabras al azar "funciona mejor para la memoria humana", así como para la seguridad. El Centro Nacional de Seguridad Cibernética del Reino Unido refuerza ese punto, señalando que las contraseñas de tres palabras son "suficientemente largas" y "fuertes". suficiente" para la mayoría de los propósitos).
Huffman cita otro ejemplo en el que la ciencia de la psicología muestra dónde la seguridad podría estar trabajando contra sí misma, y ??explica que los profesionales de la seguridad que dicen "no es si hay una infracción, sino cuándo" (o alguna variación de eso) en realidad pueden estar haciendo más daño que bien. Dice que tiene que ver con el efecto Pigmalión, un fenómeno psicológico en el que establecer altas expectativas conduce a un mayor rendimiento, mientras que establecer bajas expectativas genera resultados bajos.
"Cuando decimos 'no es si, sino cuándo', le quitamos el control al usuario", dice Huffman. Él pregunta: ¿Cuál es el incentivo para que los usuarios sigan las mejores prácticas, especialmente cuando esas prácticas requieren un esfuerzo adicional, si se les dice que no necesariamente importará? "En cambio, dé a cada usuario poder y control [diciendo]: 'Podemos detener estos ataques. Podemos superar esto. No seremos atacados porque seguiremos los procesos correctos'", agrega Huffman.
Las personas son un vector de ataque, no un eslabón débil
Esta mentalidad incluso ha llevado a Christie Wilson, gerente de resiliencia cibernética de UniSuper, a ajustar su forma de pensar en torno a las personas como "el eslabón más débil". "Las personas no son el eslabón más débil", señala. "Son el principal vector de ataque. Es importante que entendamos esto al crear conciencia y contenido de capacitación. Como profesionales de la seguridad, debemos ponernos en el lugar de nuestra gente. La seguridad puede ser lo más importante del mundo para nosotros, pero para otros puede ser cualquier cosa, desde un bloqueador hasta algo que nunca consideran. Comprender que el cambio de comportamiento necesita motivación, capacidad e indicaciones ha sido un componente clave de nuestro programa de resiliencia cibernética".
Blythe dice que la forma más efectiva para que los CISO incorporen la psicología en su programa de seguridad es traer a bordo a un ciberpsicólogo, diciendo: "Un ciberpsicólogo sabría qué es la ciencia y cómo funciona".
Otros están de acuerdo, pero reconocen que es una gran pregunta, y que es difícil de hacer. Por un lado, hay pocas personas capacitadas en la disciplina. La ciberpsicología, que se enfoca en cómo reacciona la mente cuando las personas interactúan con la tecnología, es todavía un campo relativamente nuevo, dice Hadlington. Además, no todos los ciberpsicólogos y programas de ciberpsicología se centran en la ciberseguridad. Es posible que los CISO que ya trabajan con presupuestos reducidos no tengan el dinero para ese puesto.
Aún así, se está extendiendo el interés y la información sobre la intersección de la psicología y la ciberseguridad. Hadlington está adoptando un "enfoque de formación de formadores". Huffman investiga y habla sobre el tema. Y las instituciones están agregando cursos en este espacio; por ejemplo, el Instituto SANS, una organización de capacitación, está organizando una Cumbre de gestión de riesgos humanos en agosto de 2023, que abordará en parte el factor psicológico.
