a man working with his female co-workers on a single table

Formación en ciberseguridad para empleados: Cómo enseñar estrategias de lucha basadas en el comportamiento

Author headshotLindsey Turk
Author headshotDan Pilat
read time - icon

0 min read

May 25, 2022

El 85% de los piratas informáticos se aprovechan de nuestros comportamientos fundamentales

Aunque la mayoría de la gente piensa que los piratas informáticos atacan una línea de código o adivinan correctamente una contraseña, la realidad es que se calcula que el 85% de los ciberataques en todo el mundo se producen porque los piratas informáticos entienden nuestros comportamientos básicos -como la confianza y la curiosidad- y los explotan mediante estafas cuidadosamente elaboradas.1 Esta manipulación psicológica, cuyo objetivo final es conseguir que las víctimas compartan información o lleven a cabo una acción, se denomina ingeniería social.2 Entender por qué funciona es clave para evitar su éxito.

Estrategias de persuasión

Los piratas informáticos, conscientes de nuestras propensiones conductuales, explotan nuestro cableado para obtener información. Incluso los empleados con más experiencia y formación en ciberseguridad pueden ser víctimas si no son conscientes de cómo sus reflejos y hábitos pueden ser utilizados en su contra.

La definición más ampliamente aceptada de las estrategias de persuasión incluye una amplia gama de comportamientos básicos que los malos actores utilizan para manipular nuestra naturaleza como criaturas sociales.3 Según esta definición, existen seis componentes: reciprocidad, conformidad/prueba social, agrado, escasez, compromiso y autoridad.3

Seis estrategias de persuasión que utilizan los hackers

  1. Los piratas informáticos explotan la reciprocidad para aprovecharse de nuestra naturaleza de dar algo a cambio cuando nos sentimos en deuda con alguien.
  2. También tendemos a buscar la conformidad imitando el comportamiento de los demás.
  3. Del mismo modo, los ciberdelincuentes intentan que su persona se parezca a la víctima porque tendemos a gustar de las personas que se parecen a nosotros.
  4. Cuando los artículos son escasos, la gente ve el producto o servicio como más valioso y deseable que otros.
  5. Los individuos suelen comprometerse con las promesas, por lo que cuando los hackers les obligan a hacer una promesa, normalmente pueden confiar en que su objetivo la cumplirá.
  6. Por último, la gente tiende a obedecer las peticiones de quienes tienen Autoridad sobre ellos.

References

  1. Informe de Verizon sobre investigaciones de violaciones de datos 2021. (2021). Verizon. verizon.com/dbir
  2. Mitnick, K. D., y Simon, W. L. (2011). El arte del engaño: Controlando el Elemento Humano de la Seguridad. John Wiley & Sons.
  3. Cialdini, R. (2009). Influence: La psicología de la persuasión. Harper Collins.
  4. Gobet, F., Richman, H., Staszewski, J., & Simon, H. A. (1997). Goals, Representations, and Strategies in a Concept Attainment Task: The EPAM Model. En D. L. Medin (Ed.), Psychology of Learning and Motivation (Vol. 37, pp. 265-290). Academic Press. https://doi.org/10.1016/S0079-7421(08)60504-6
  5. Teoría social en la HBS: las dos FO de McGinnis. (2004, 10 de mayo). The Harbus. https://harbus.org/2004/social-theory-at-hbs-2749/
  6. Buglass, S. L., Binder, J. F., Betts, L. R. y Underwood, J. D. M. (2017). Motivadores de la vulnerabilidad en línea: El impacto del uso de sitios de redes sociales y FOMO. Computers in Human Behavior, 66, 248-255. https://doi.org/10.1016/j.chb.2016.09.055
  7. Hadlington, L., Binder, J., & Stanulewicz, N. (2020). Fear of Missing Out Predicts Employee Information Security Awareness Above Personality Traits, Age, and Gender. Cyberpsychology, Behavior, and Social Networking, 23(7), 459-464. https://doi.org/10.1089/cyber.2019.0703
  8. Gundu, T. (2019, 13 de mayo). Reconociendo y reduciendo la brecha de saber y hacer en el cumplimiento de la ciberseguridad de los empleados. Conferencia internacional sobre guerra y seguridad cibernéticas, Stellenbosch, Sudáfrica.
  9. Schaab, P., Beckers, K. y Pape, S. (2017). Mecanismos de defensa de ingeniería social y estrategias de entrenamiento para contrarrestarlos. Information & Computer Security, 25(2), 206-222. https://doi.org/10.1108/ICS-04-2017-0022
  10. Bullée, J.-W. H., Montoya, L., Pieters, W., Junger, M. y Hartel, P. H. (2015). El experimento de persuasión y concienciación sobre seguridad: Reducción del éxito de los ataques de ingeniería social. Journal of Experimental Criminology, 11(1), 97-115. https://doi.org/10.1007/s11292-014-9222-7
  11. Briñol, P., Rucker, D. D., & Petty, R. E. (2015). Teorías ingenuas sobre la persuasión: Implicaciones para el procesamiento de la información y el cambio de actitud del consumidor. International Journal of Advertising, 34(1), 85-106. https://doi.org/10.1080/02650487.2014.997080
  12. Alutaybi, A., Al-Thani, D., McAlaney, J., & Ali, R. (2020). Combating Fear of Missing Out (FoMO) on Social Media: The FoMO-R Method. International Journal of Environmental Research and Public Health, 17(17), 6128. https://doi.org/10.3390/ijerph17176128
  13. Caldwell, T. (2016). Cómo hacer que funcione la formación en concienciación sobre seguridad. Computer Fraud & Security, 8-14. https://doi.org/10.1016/S1361-3723(15)30046-4
  14. Blau, A., Alhadeff, A., Stern, M., Stinson, S., & Wright, J. (2017). Pensamiento profundo: A Cybersecurity Story. ideas42. https://www.ideas42.org/wp-content/uploads/2016/08/Deep-Thought-A-Cybersecurity-Story.pdf

About the Authors

Lindsey Turk's portrait

Lindsey Turk

Lindsey Turk es asociada de contenidos de verano en The Decision Lab. Tiene un Máster de Estudios Profesionales en Economía Aplicada y Gestión por la Universidad de Cornell y es licenciada en Psicología por la Universidad de Boston. En los últimos años, ha adquirido experiencia en atención al cliente, consultoría, investigación y comunicación en diversos sectores. Antes de The Decision Lab, Lindsey trabajó como consultora para el Departamento de Estado de EE.UU., colaborando con su iniciativa internacional contra el VIH, PEPFAR. A través de Cornell, también trabajó con una empresa de alimentos saludables en Kenia para mejorar el acceso a alimentos limpios y cita esta oportunidad como lo que cimentó su interés en el uso de la ciencia del comportamiento para el bien.

Dan Pilat's portrait

Dan Pilat

Dan is a Co-Founder and Managing Director at The Decision Lab. He has a background in organizational decision making, with a BComm in Decision & Information Systems from McGill University. He has worked on enterprise-level behavioral architecture at TD Securities and BMO Capital Markets, where he advised management on the implementation of systems processing billions of dollars per week. Driven by an appetite for the latest in technology, Dan created a course on business intelligence and lectured at McGill University, and has applied behavioral science to topics such as augmented and virtual reality.

Read Next

Notes illustration

Eager to learn about how behavioral science can help your organization?

Contact us