Este es un artículo de reflexión de Javier Boó, Socio y CTO de Aiwin.
Como comentábamos en artículos anteriores, los sesgos inconscientes hacen referencia a los mecanismos que utiliza el cerebro para resolver problemas en su día a día, influyendo en nuestra percepción de la realidad, nuestras decisiones y nuestros comportamientos.
Según Buster Benson, en su artículo “Cognitive bias cheat sheet”, podemos agrupar todos nuestros sesgos en cuatro grupos según el problema mental que intentan abordar: demasiada información, falta de significado, necesidad de actuar rápido y cómo saber qué debo recordar.
En este artículo vamos a centrarnos en los sesgos asociados al primero de estos problemas: demasiada información. Hay demasiada información en el mundo, no tenemos más remedio que filtrar casi toda.
Abordaremos este problema desde el punto de vista de la ciberseguridad, cómo la ingeniería social utiliza estos sesgos como vector de ataque y cómo identificar las principales vulnerabilidades de nuestro cerebro, y por tanto, de nuestras organizaciones.
Contenidos
Truco o trato
Nuestro cerebro utiliza algunos trucos simples para seleccionar qué información -probablemente- será útil de alguna manera. Pero al aplicar cada uno de estos trucos estamos asumiendo de forma inconsciente una serie de tratos con nosotros mismos en forma de sesgos, y que conviene que conozcamos si queremos identificar nuestras vulnerabilidades.
- Notamos cosas que ya están en la memoria o que se repiten con frecuencia.
- Las cosas extrañas o divertidas sobresalen más que las cosas no extrañas o sin gracia. Alternativamente, tendemos a omitir información que pensamos que es ordinaria o esperada.
- Notamos cuando algo ha cambiado. Y generalmente tendemos a sopesar la importancia del nuevo valor por la dirección en que ocurrió el cambio (positivo o negativo) más que reevaluar el nuevo valor como si se hubiera presentado solo.
- Nos atraen los detalles que confirman nuestras propias creencias existentes. Alternativamente, tendemos a ignorar detalles que contradicen nuestras propias creencias.
- Notamos fallos en los demás con más facilidad que en nosotros mismos.
Pero, como decíamos, cada uno de estos trucos que utilizamos tiene asociado uno o varios sesgos.
Entre ellos, podríamos destacar el efecto de verdad ilusoria como la tendencia a creer que la información es correcta después de una exposición repetida, o el sesgo de enfoque que nos hace atribuir demasiado peso a los eventos del pasado y traducirlos en expectativas futuras.
Efectivamente, no vemos todo. Parte de la información que filtramos es realmente útil e importante. Teniendo esto en cuenta, los ciberdelincuentes, a través de la ingeniería social, aprovechan los trucos que emplea nuestro cerebro para crear golosinas que captan nuestra atención y hacen que actuemos en función de su voluntad.
Uno de los ciberataques más comunes es el phishing. Es una estafa de correo electrónico cuyo objetivo a menudo es robar datos para fines maliciosos, o incluso tratar de instalar malware en el ordenador de la víctima. Un truco popular utilizado por los atacantes y que explota el efecto de verdad ilusoria es el Zombie Phish. Los atacantes se apoderan de una cuenta de correo electrónico y responden a una antigua conversación por correo electrónico con un enlace de phishing. El remitente y el asunto son familiares para el destinatario, lo que nos hace creer que la información es veraz.
Y según parece cada vez habrá más énfasis en la ingeniería social. Kaspersky indica que «el enfoque en la ingeniería social aumentará a medida que otros tipos de ataques se vuelvan más difíciles de llevar a cabo». Con el cierre de algunas oportunidades, los atacantes pueden verse obligados a centrarse más en el factor humano del phishing.
Fact-checking, la solución
¿Cómo podemos actuar ante el filtrado continuo que realiza nuestro cerebro de forma inconsciente? Según algunos estudios, actuar como un verificador de hechos puede ayudar y, para ello, podría ser útil observar cómo los profesionales verifican los hechos:
- Seguir siempre la misma metodología para cada verificación de hechos y dejar que la evidencia dicte las conclusiones.
- Preocuparse por la transparencia de las fuentes.
- Tener la voluntad de corregir las percepciones cuando la verificación de datos proporcione una respuesta diferente.
Dado que tanto las fake-news como los ataques de phishing tienen una tendencia al alza, es necesario que cada uno de nosotros comience a interiorizar hábitos de este tipo para que los sesgos inconscientes de nuestros equipos y organizaciones no hagan que éstas sean más vulnerables ante los ciberdelincuentes.
Este es un artículo de reflexión de Javier Boó, Socio y CTO de Aiwin.
Si te interesa la ciberseguridad… ¡Descubre Aiwin Firewall! 👇
1 comentario