¿Sabías que, por regla general, los perfiles con mayor formación académica son más fácilmente manipulables en campañas de phishing?
¿O que, de media, los que ocupan en la empresa cargos de alta dirección tienen 50 veces más posibilidades de ser objetivos que el resto de empleados?
En esa industrialización del cibercrimen que llevamos años viendo madurar, hay auténticos expertos en psiquiatría y conducta social buscando las maneras más eficientes de hacer daño a una organización.
Para ello, y según analizan en un informe reciente de Security Advisor (EN), cada vez es más común que los ataques dirigidos apliquen alguno de estos 5 sesgos cognitivos en las campañas de phishing e ingeniería social, es decir, alguno de estos atajos mentales que todos nosotros tomamos de forma totalmente inconsciente al procesar información, al tomar decisiones.
¿De cuáles te hablamos?
Pues de los siguientes:
Índice de contenido
Efecto halo
El más habitual de todos, y que se basa en hacerse pasar por una marca o nombre reconocido por la víctima con la idea de que nos confiemos. Muy en la línea de ese argumento de autoridad que se utiliza muchas veces en publicidad para hacernos comprar algo que no necesitamos (tal famoso o reconocido profesional te recomienda en la publicidad x producto o servicio).
Aunque el contenido sea exactamente el mismo, le damos más o menos validez según de qué organización o persona viene, y esto afecta a la hora de tomar acción.
Descuento hiperbólico
A la hora de tomar una decisión, los humanos tendemos a preferir aquellas cuya recompensa den resultados inmediatos.
Esto lo vemos muy habitualmente en campañas basadas en descuentos u ofertas irresistibles. Campañas que nos piden que les demos X datos (algo molesto), pero que claro, veremos al momento recompensado.
Sesgo de la curiosidad
A todos nos gusta que nos traten de forma personalizada y única.
Así que cuando nos invitan a un evento exclusivo, o nos avisan de que hemos sido seleccionados justo nosotros para recibir esa recompensa increíble, nos sentimos afortunados. Y esta sensación nubla nuestra capacidad crítica. Quizás lo suficiente como para que no caigamos en la consideración de que se trata de un timo.
Este tipo de sesgo cognitivo se aplica en el 17% de las campañas de phishing analizadas.
Sesgo de recencia
La recencia es una cualidad que tiene nuestra mente para recordar con mayor facilidad eventos recientes que pasados.
Por ejemplo, si te doy una lista de 10 productos y te pido que me digas cuáles recuerdas en diferente orden, es bastante más probable que empieces por los últimos, que tienes más vivos.
Esto, aplicado a la ingeniería social, y en particular a las campañas de phishing, pasa por utilizar de argumento de autoridad contenido que los cibercriminales saben que la víctima ha recibido recientemente, o que al menos tiene en ese momento en mente, lo que dota de mayor contexto al fraude.
Hablamos de ataques tan sutiles como el de que esta mañana hayas recibido un email sobre la situación con un cliente en particular de la empresa, y al poco recibas otro en el que te instan a hacer una serie de acciones un tanto extrañas precisamente para ese cliente.
Si solo hubieras recibido el último email, es probable que te sorprendiera. Pero al conocer la situación reciente de ese contrato, estás más dispuesto a delegar en la responsabilidad de tu trabajo lo que el sentido común te dice que puede ser potencialmente dañino.
Sesgo de autoridad
Por supuesto, terminamos con el ya clásico sesgo de autoridad. El que una persona, normalmente un superior, te pida que hagas algo poco común.
A nivel de campañas de phishing, son muy habituales todas esas que se hacen pasar por el CEO (u otro directivo) de la compañía para que le des los datos de acceso o hagas una transferencia urgente a un supuesto cliente argumentando cualquier excusa (estoy fuera de la oficina, me voy a meter ahora en un avión y estaré incomunicado…).
Como corolario, hay que decir que habitualmente los ejecutivos de alta dirección son objetivos más habituales de campañas basadas en el efecto halo y el sesgo de la curiosidad. Los departamentos de administración por los sesgos de autoridad, mientras que los equipos técnicos tienden a verse más afectados por sesgos de la curiosidad.
En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.
Monitorización y escucha activa
Ponemos nuestras máquinas a escuchar para identificar potenciales fugas de información, campañas de fraude/extorsión y usurpación de identidad que estén en activo, y/o datos expuestos de ti o de tu organización.
Planes de autoridad y Presencia Digital
Ayudamos a organizaciones y particulares a definir la estrategia e implementar acciones digitales que mitiguen los posibles daños reputacionales que pueda sufrir en el futuro.
Gestión de crisis reputacionales
Cuando el mal ya está hecho, establecemos un calendario de acciones para reducir su duración e impacto, y que la organización y/o persona pueda volver a la normalidad lo antes posible.
Pablo F. Iglesias es Consultor de Presencia Digital y Reputación Online, director de la Consultora CyberBrainers, escritor del libro de ciencia ficción «25+1 Relatos Distópicos» y la colección de fantasía épica «Memorias de Árganon», un hacker peligroso, y un comilón nato 🙂
