¿Sabes qué el hacking psicológico y los ciberdelincuentes tienen muchas similitudes? Ambos actúan de la misma manera, utilizando el engaño pero, en el caso de los primeros, no necesitan programas sofisticados ni tecnología punta, y a veces ni siquiera ordenador. Eso sí, todos ellos tienen más éxito en tanto en cuanto conocen mejor la personalidad de la víctima, sus gustos o cómo va a reaccionar.
Según explica María Laura Mosqueda, CEO y fundadora de la startup TechHeroX “no tentaríamos con una moneda pegada al suelo al compañero que no suele moverse ni para levantar un boli, pero en cambio a tu cuñado que está ahorrando para su primer millón, sí”. Y esta estrategia también es aplicable al ámbito de la seguridad informática.
La Ingeniería Social o Psicohacking, término acuñado por Cristina López Tarrida, es, como ella misma explica, una mezcla de ataque y de ciencia que utiliza recursos psicológicos, habilidades sociales y conocimientos técnicos para hacer que una persona realice una acción o revele información que sin la influencia social no hubiera ni hecho ni revelado.
El atacante consigue que las personas actúen de una forma voluntaria, quedándose además con la sensación de haber hecho lo correcto. Lo que se persigue es tener acceso a información confidencial, robar o suplantar identidades y/o escalar privilegios. Es el medio ideal para perpetrar un ataque mayor porque proporciona una puerta de acceso a la información de una empresa u organización, a priori más accesible de la que proporcionaría el hacking informático.
¿Es posible evitarlo?
Desde TechHeroX explican que es importante entender cómo funcionan los atajos de nuestro cerebro, pues son muchos los sesgos cognitivos que nos llevan a juicios incorrectos y convertirnos en víctimas de ciberdelitos. Los más destacados serían los siguientes, aunque hay muchos más:
- El sesgo del punto ciego o “eso no me va a pasar nunca a mí”, que provoca que nos confiemos demasiado.
- El sesgo de disponibilidad o “esto me suena, seguro que es verdad” que se usa con titulares de actualidad, como la pandemia o el pago de impuestos como señuelo.
- El sesgo de representatividad o “el mono gris y la caja de herramientas hace al técnico”, que facilita la entrada a extraños a áreas de información sensible.
- El sesgo de confirmación o “yo tengo razón” que confirma lo que creemos y por ello cedemos sin ejercer resistencia.
- El sesgo de anclaje o “la primera impresión es lo que cuenta” usada en ataques de phishing, por ejemplo, capaz de replicar una imagen corporativa muy conocida para usarla como pantalla.
Ser conscientes de estos “boicots mentales” y estar atentos ante cualquier anzuelo que provoque ira, enfado, miedo, curiosidad, compasión, morbo o urgencia para inducirnos a la acción o a revelar información, puede reducir los incidentes en ciberseguridad, que son ocasionados por una persona dentro de una compañía.
“El hacking tiene mucho más que ver con la psicología que con la tecnología”, cuenta María Laura Mosqueda, por eso “creemos que la formación en ciberseguridad y protección de datos tiene que ser diferente, en la que sea más importante el autoconocimiento que los tecnicismos, ya que el factor humano puede ser el mejor antivirus si lo haces consciente de sus propias vulnerabilidades”. Con la irrupción del teletrabajo, los ciberataques saltan del ordenador al móvil, y el riesgo, por extensión, a todos los dispositivos de la casa. Ha llegado el momento de integrar hábitos de seguridad personales. Jamás habíamos estado tan expuestos a una “inocentada” los 365 días del año.