Blog

Este es un artículo de reflexión de Javier Boó, Socio y CTO de Aiwin.

Como veíamos en artículos anteriores, y según Buster Benson en su artículo “Cognitive bias cheat sheet”, podemos agrupar todos nuestros sesgos en cuatro grupos según el problema mental que intentan abordar: demasiada información, falta de significado, necesidad de actuar rápido y cómo saber qué debo recordar.

En el primer artículo de esta serie tratamos el problema del exceso de información y cómo ésta podía influir en la ciberseguridad de nuestra organización. En el presente artículo vamos a centrarnos en los sesgos asociados al segundo de estos problemas: falta de significado. 

Solo percibimos una pequeña parte de la información pero tenemos que darle algún significado para sobrevivir. Pero nuestra búsqueda de significado puede provocar ilusiones o falsas percepciones. Los ciberdelincuentes, a través de la ingeniería social, utilizan estas vulnerabilidades de nuestro cerebro como vector de ataque para realizar ciberataques contra nuestras organizaciones.

Conectando puntos

El mundo es confuso, y terminamos viendo solo una pequeña parte de él, pero tenemos que darle algún sentido para sobrevivir. Emulando a Steve Jobs, conectamos los puntos, rellenamos los vacíos con cosas que ya creemos saber y actualizamos nuestra percepción de la realidad.

• Encontramos historias y patrones incluso en datos escasos. Solo obtenemos una pequeña porción de la información y también filtramos casi todo, así que nuestro cerebro reconstruye el mundo para darle un significado.
• Completamos características a partir de estereotipos, generalidades e historias previas cada vez que hay nuevos casos específicos o lagunas en la información. Posteriormente, olvidamos qué partes eran reales y qué partes son ficticias.
• Imaginamos cosas y personas con las que estamos familiarizados o que nos gustan como mejores que las cosas y las personas con las que no estamos familiarizados o que no apreciamos. Similar a lo anterior, pero también incluyen suposiciones integradas sobre la calidad y el valor de lo que estamos viendo.
• Simplificamos probabilidades y números para que sea más fácil pensar en ellos. Nuestra mente subconsciente es terrible para las matemáticas.
• Creemos saber lo que piensan los demás. En algunos casos, asumimos que ellos saben lo que nosotros sabemos, en otros casos asumimos que están pensando en nosotros tanto como nosotros pensamos en nosotros mismos. 
• Proyectamos nuestra mentalidad y suposiciones actuales en el pasado y el futuro.

Desafortunadamente para nosotros, nuestra teoría de los puntos tiene muchas lagunas en comparación con la del creador de la marca de la manzana, y como consecuencia nuestra percepción de la realidad se ve alterada por nuestros sesgos. Entre ellos, podemos destacar el efecto halo o el sesgo de proyección.

El efecto halo consiste en un error asociado a la existencia de escasos datos y elevada incertidumbre en la emisión de un juicio sobre circunstancias o personas, que conlleva afirmaciones exageradas o irreales sobre destrezas, capacidades o atributos de una persona o de una cierta circunstancia. El sesgo de proyección implica sobreestimar el grado en que otras personas están de acuerdo con nosotros. Las personas tienden a asumir que los demás piensan, sienten, creen y se comportan de la misma manera que lo hacemos nosotros. Asumimos que su forma de pensar sobre algo o hacer cosas es típica, y por lo tanto, otras personas normales responderán de manera muy similar.

El poder de lo conocido

Nuestra búsqueda de significado puede evocar ilusiones. A veces imaginamos detalles que fueron completados por nuestras suposiciones y construimos significados e historias que realmente no existen. Y los ciberdelincuentes lo saben, a través de la ingeniería social, aprovechan estas falsas percepciones que crea nuestro cerebro para crear ciberataques cada vez más efectivos, sin necesidad de que éstos sean más sofisticados.

Uno de los ciberataques más comunes es el phishing. En el primer artículo de esta serie, veíamos cómo los ciberdelincuentes utilizaban el efecto de verdad ilusoria para crear ciberataques mediante la técnica de Zombie Phish. En esta ocasión, vamos a ver como se puede utilizar el efecto halo para crear campañas de phishing por URL.

Durante el confinamiento provocado por la pandemia, se produjo un notable aumento del consumo de contenidos en plataformas de streaming. Según Webroot, esto tuvo asociado un gran aumento del phishing por URL que incluyen las palabras Netflix, HBO, YouTube y Twitch. Y es que los nombres famosos a menudo se utilizan para realizar este tipo de estafas porque de esta forma, y explotando el efecto halo que producen las marcas, permite a los ciberdelincuentes parecer más creíbles.

Otro tipo de ataque que también explota nuestros sesgos derivados de la falta de significado es el smishing. El smishing es una variante del phishing que utiliza mensajes de texto dirigidos a los usuarios de telefonía móvil como vía de ataque. En este caso, los ciberdelincuentes se aprovechan de la falta de prevención de los usuarios, que consideran más legítimos los SMS frente a otros canales de comunicación, como por ejemplo, el email.

Cómo evitar el efecto halo

Como la mayoría de los sesgos, lo más importante es ser consciente de que existe. Y el problema es que cuando se produce el efecto halo raramente somos conscientes de lo que nos está pasando. Tenemos que aprender a realizar una valoración más precisa de los hechos sin dejarnos llevar por el halo que desprenden ciertas marcas, tecnologías o personas.

Tenemos que darle una segunda oportunidad a nuestras primeras impresiones. Ser crítico con esa primera impresión e intentar respaldarla con argumentos objetivos. Si nos cuesta encontrarlos, probablemente tengamos que darle una segunda oportunidad para poder profundizar más en esa primera impresión. Procuremos evitar las generalizaciones, tanto positivas como negativas y dejarnos llevar por las opiniones de los demás.

Sabemos de la tendencia al alza que tienen este tipo de ataques de phishing, si cada uno de nosotros comienza a interiorizar hábitos de este tipo conseguiremos que nuestros equipos y organizaciones sean menos vulnerables ante los ciberdelincuentes.

Este es un artículo de reflexión de Javier Boó, Socio y CTO de Aiwin.

Si te interesa la ciberseguridad… ¡Descubre Aiwin Firewall! 👇