a man working with his female co-workers on a single table

Formación en ciberseguridad para empleados: Cómo enseñar estrategias de lucha basadas en el comportamiento

Author headshotLindsey Turk
Author headshotDan Pilat
read time - icon

0 min read

May 25, 2022

El 85% de los piratas informáticos se aprovechan de nuestros comportamientos fundamentales

Aunque la mayoría de la gente piensa que los piratas informáticos atacan una línea de código o adivinan correctamente una contraseña, la realidad es que se calcula que el 85% de los ciberataques en todo el mundo se producen porque los piratas informáticos entienden nuestros comportamientos básicos -como la confianza y la curiosidad- y los explotan mediante estafas cuidadosamente elaboradas.1 Esta manipulación psicológica, cuyo objetivo final es conseguir que las víctimas compartan información o lleven a cabo una acción, se denomina ingeniería social.2 Entender por qué funciona es clave para evitar su éxito.

Estrategias de persuasión

Los piratas informáticos, conscientes de nuestras propensiones conductuales, explotan nuestro cableado para obtener información. Incluso los empleados con más experiencia y formación en ciberseguridad pueden ser víctimas si no son conscientes de cómo sus reflejos y hábitos pueden ser utilizados en su contra.

La definición más ampliamente aceptada de las estrategias de persuasión incluye una amplia gama de comportamientos básicos que los malos actores utilizan para manipular nuestra naturaleza como criaturas sociales.3 Según esta definición, existen seis componentes: reciprocidad, conformidad/prueba social, agrado, escasez, compromiso y autoridad.3

Seis estrategias de persuasión que utilizan los hackers

  1. Los piratas informáticos explotan la reciprocidad para aprovecharse de nuestra naturaleza de dar algo a cambio cuando nos sentimos en deuda con alguien.
  2. También tendemos a buscar la conformidad imitando el comportamiento de los demás.
  3. Del mismo modo, los ciberdelincuentes intentan que su persona se parezca a la víctima porque tendemos a gustar de las personas que se parecen a nosotros.
  4. Cuando los artículos son escasos, la gente ve el producto o servicio como más valioso y deseable que otros.
  5. Los individuos suelen comprometerse con las promesas, por lo que cuando los hackers les obligan a hacer una promesa, normalmente pueden confiar en que su objetivo la cumplirá.
  6. Por último, la gente tiende a obedecer las peticiones de quienes tienen Autoridad sobre ellos.

Por qué somos presa de la ingeniería social: Racionalidad limitada y FOMO

Parte de la razón por la que los delincuentes configuran sus ataques siguiendo las estrategias anteriores se debe a que, cuando no somos conscientes de los siguientes atajos mentales y formas de reaccionar, nuestro comportamiento se vuelve más predecible.

¿Qué es la racionalidad limitada?

Todos los días tomamos decisiones que están limitadas por la información que tenemos a mano: en el mejor de los casos, estos datos son incompletos y, en el peor, son falsas creencias. Aunque seamos versados e instruidos en un tema, escudriñar nuestros conocimientos al respecto para tomar una decisión informada puede verse limitado por nuestra capacidad humana de procesamiento. Estos comportamientos encapsulan el concepto de racionalidad limitada4.

En el contexto de la ciberseguridad, esto significa que un usuario puede saber intelectualmente que no debe hacer clic en un correo electrónico sospechoso, pero se basa únicamente en el juicio que tiene en ese momento: tal vez ha estado esperando un correo electrónico estresante de la escuela de su hijo, y deja que su ansiedad abrume su mejor juicio. Este razonamiento, como muestra el gráfico siguiente, se ve obstaculizado en la racionalidad limitada por las limitaciones cognitivas, la presión del tiempo o el estrés y la información imperfecta. En este caso, un empleado puede estar estresado por un plazo de entrega inminente o por un jefe enfadado, por lo que ver un correo electrónico que parece ser de su jefe exigiéndole los datos de una tarjeta de crédito explota su capacidad limitada para tomar decisiones racionales.

diagram of complex problems

FOMO: no sólo para adolescentes

Descrito por primera vez en un artículo de opinión del autor Dan Hernan, el término FOMO (Fear of Missing Out), o miedo a perderse algo, ha crecido en popularidad desde su publicación en 2004.5 Describe la sensación de aprensión que uno tiene cuando siente que no está conectado a eventos, información o experiencias en las que de otro modo querría estar involucrado. Cuando están en línea, los que experimentan altos niveles de FOMO son propensos a renunciar a las prácticas de seguridad cibernética con el fin de unirse a lo que sienten que se están perdiendo.6

Un hacker puede hacer que parezca que los demás hacen algo que tú no haces: "El 82% de tus colegas ya se han apuntado, ¿por qué tú no?". También podría parecer que pone presión de tiempo en una tarea, como "oferta por tiempo limitado - apúntate ahora".

Más FOMO, más riesgo de ciberseguridad

El FOMO se ha relacionado con una mayor asunción de riesgos y una mayor vulnerabilidad en Internet.6 También predijo en gran medida una escasa concienciación sobre la seguridad de la información (ISA), incluso cuando se controlaron los datos demográficos y los rasgos de personalidad.7 Además, las personas con altas puntuaciones de FOMO se sienten más negativamente hacia la ISA, tienen un menor conocimiento de la misma y muestran comportamientos que podrían poner en peligro la seguridad de su organización.7

Aunque pueda parecer que es imposible abordar y reducir este miedo, cuando se crea una formación centrada en la concienciación sobre el papel que desempeña en la ciberseguridad, se prepara a los empleados para que sean más conscientes de sí mismos y menos propensos a mostrar FOMO o racionalidad limitada.

Entrenar los reflejos, no sólo los conocimientos

La típica formación en ciberseguridad puede consistir en pedir a un empleado que vea un vídeo sobre las 5 mejores formas de proteger las contraseñas y que después haga un cuestionario. Puede que sepan lo que hay que hacer, pero puede que no lo hagan. Este ejemplo ilustra la brecha entre el saber y el hacer, que sugiere que hay puntos débiles entre la concienciación, la intención de comportamiento y el comportamiento real.8 Las actividades de concienciación y formación aumentan los conocimientos, pero esos conocimientos no siempre se traducen en cambios de comportamiento observables.8

El papel de la heurística y los hábitos en nuestras defensas

Un enfoque más prometedor consiste en crear iniciativas de formación continua que se centren en aumentar la concienciación sobre los hábitos de cada uno; este tipo de aprendizaje también se conoce como conocimiento de la persuasión.9 En un estudio, la concienciación sobre cómo la ingeniería social explota nuestro comportamiento condujo a una menor susceptibilidad a los hackeos, mejorando la seguridad de la organización.10 Existe una relación positiva entre la resistencia a los intentos de persuasión y el conocimiento de la persuasión, y las personas que han recibido la formación correspondiente están mejor preparadas para reaccionar cuando se ven expuestas a una estafa de ingeniería social.11

También se ha demostrado que la formación orientada al autoconocimiento combate el FOMO: cuando un empleado aprende por qué se produce el FOMO y cómo se desencadena, adquiere una capacidad de recuperación que le ayuda a reconocer sus emociones antes de reaccionar.12 Al reconocer mejor cómo se explotan sus tendencias cognitivas, también adquiere una comprensión de las contramedidas sociales y personales que tiene a su disposición.12

Enseñar estrategias para prevenir los hackeos

Una forma de poner en práctica este tipo de formación es enseñar los principios psicológicos y las estrategias para contrarrestarlos.9 Para ello, se incorporan breves situaciones hipotéticas o ejercicios prácticos para mostrar los principios de comportamiento en la práctica.9 Una segunda estrategia consiste en realizar juegos de rol realistas en los que los participantes tengan que tomar una decisión similar varias veces.9 Aunque puede ser más eficaz, esta estrategia también requiere más esfuerzo y es mejor limitarla al personal clave.9

Un efecto secundario positivo del conocimiento de la persuasión: Empleados comprometidos

Al centrar la formación en cómo los ingenieros sociales piratean nuestro comportamiento, en lugar de culpar a la víctima, también puede fomentar una cultura de educación y apoyo en lugar de miedo.13 Esto ayudará a mantener a su personal comprometido,13 lo que protege contra el tipo de negligencia que conduce a intentos de pirateo exitosos.14 A medida que la tecnología se desarrolla y los piratas informáticos se vuelven más expertos, donde la formación tradicional podría quedar anticuada, la formación centrada en el comportamiento nunca pasará de moda, ya que los piratas informáticos siempre tratarán de explotar nuestra naturaleza humana.

No todas las organizaciones disponen de un equipo interno con los conocimientos sobre comportamiento necesarios para crear este tipo de programas de formación. The Decision Lab, basándose en su experiencia en consultoría y ciencias sociales, puede ayudarle a crear programas de formación basados en el comportamiento que reforzarán la ciberseguridad de su organización.

Protegernos mediante la educación en ciencias del comportamiento

Aunque los hackers que utilizan la ingeniería social parecen tener un sexto sentido cuando se trata de saber cómo explotar nuestros comportamientos, afortunadamente hay formas de eludir sus esfuerzos. Una estrategia basada en pruebas es aprender más sobre nuestros propios reflejos y las razones por las que somos presa de los piratas informáticos.

Para mantenerse al día sobre cómo la ciencia del comportamiento se aplica a todas las facetas de la vida, suscríbase al boletín mensual de The Decision Lab. Si desea saber más sobre la preparación para la ciberseguridad y otras estrategias, consulte Strengthen Your Strategy with Cybersecurity de The Decision Lab y Boston Consulting Group.

The Decision Lab es una consultoría de comportamiento que utiliza la ciencia para promover el bien social. En la era digital, la ciberdelincuencia es una amenaza para todos nosotros, y la causa principal de la mayoría de las infracciones es el error humano. Trabajamos con algunas de las mentes más innovadoras en ciberseguridad para ayudar a las organizaciones a navegar por este riesgo mediante la comprensión y la eliminación de las fuentes de sesgo. Si quiere que nos ocupemos de esto juntos, póngase en contacto con nosotros.

References

  1. Informe de Verizon sobre investigaciones de violaciones de datos 2021. (2021). Verizon. verizon.com/dbir
  2. Mitnick, K. D., y Simon, W. L. (2011). El arte del engaño: Controlando el Elemento Humano de la Seguridad. John Wiley & Sons.
  3. Cialdini, R. (2009). Influence: La psicología de la persuasión. Harper Collins.
  4. Gobet, F., Richman, H., Staszewski, J., & Simon, H. A. (1997). Goals, Representations, and Strategies in a Concept Attainment Task: The EPAM Model. En D. L. Medin (Ed.), Psychology of Learning and Motivation (Vol. 37, pp. 265-290). Academic Press. https://doi.org/10.1016/S0079-7421(08)60504-6
  5. Teoría social en la HBS: las dos FO de McGinnis. (2004, 10 de mayo). The Harbus. https://harbus.org/2004/social-theory-at-hbs-2749/
  6. Buglass, S. L., Binder, J. F., Betts, L. R. y Underwood, J. D. M. (2017). Motivadores de la vulnerabilidad en línea: El impacto del uso de sitios de redes sociales y FOMO. Computers in Human Behavior, 66, 248-255. https://doi.org/10.1016/j.chb.2016.09.055
  7. Hadlington, L., Binder, J., & Stanulewicz, N. (2020). Fear of Missing Out Predicts Employee Information Security Awareness Above Personality Traits, Age, and Gender. Cyberpsychology, Behavior, and Social Networking, 23(7), 459-464. https://doi.org/10.1089/cyber.2019.0703
  8. Gundu, T. (2019, 13 de mayo). Reconociendo y reduciendo la brecha de saber y hacer en el cumplimiento de la ciberseguridad de los empleados. Conferencia internacional sobre guerra y seguridad cibernéticas, Stellenbosch, Sudáfrica.
  9. Schaab, P., Beckers, K. y Pape, S. (2017). Mecanismos de defensa de ingeniería social y estrategias de entrenamiento para contrarrestarlos. Information & Computer Security, 25(2), 206-222. https://doi.org/10.1108/ICS-04-2017-0022
  10. Bullée, J.-W. H., Montoya, L., Pieters, W., Junger, M. y Hartel, P. H. (2015). El experimento de persuasión y concienciación sobre seguridad: Reducción del éxito de los ataques de ingeniería social. Journal of Experimental Criminology, 11(1), 97-115. https://doi.org/10.1007/s11292-014-9222-7
  11. Briñol, P., Rucker, D. D., & Petty, R. E. (2015). Teorías ingenuas sobre la persuasión: Implicaciones para el procesamiento de la información y el cambio de actitud del consumidor. International Journal of Advertising, 34(1), 85-106. https://doi.org/10.1080/02650487.2014.997080
  12. Alutaybi, A., Al-Thani, D., McAlaney, J., & Ali, R. (2020). Combating Fear of Missing Out (FoMO) on Social Media: The FoMO-R Method. International Journal of Environmental Research and Public Health, 17(17), 6128. https://doi.org/10.3390/ijerph17176128
  13. Caldwell, T. (2016). Cómo hacer que funcione la formación en concienciación sobre seguridad. Computer Fraud & Security, 8-14. https://doi.org/10.1016/S1361-3723(15)30046-4
  14. Blau, A., Alhadeff, A., Stern, M., Stinson, S., & Wright, J. (2017). Pensamiento profundo: A Cybersecurity Story. ideas42. https://www.ideas42.org/wp-content/uploads/2016/08/Deep-Thought-A-Cybersecurity-Story.pdf

About the Authors

Lindsey Turk's portrait

Lindsey Turk

Lindsey Turk es asociada de contenidos de verano en The Decision Lab. Tiene un Máster de Estudios Profesionales en Economía Aplicada y Gestión por la Universidad de Cornell y es licenciada en Psicología por la Universidad de Boston. En los últimos años, ha adquirido experiencia en atención al cliente, consultoría, investigación y comunicación en diversos sectores. Antes de The Decision Lab, Lindsey trabajó como consultora para el Departamento de Estado de EE.UU., colaborando con su iniciativa internacional contra el VIH, PEPFAR. A través de Cornell, también trabajó con una empresa de alimentos saludables en Kenia para mejorar el acceso a alimentos limpios y cita esta oportunidad como lo que cimentó su interés en el uso de la ciencia del comportamiento para el bien.

Dan Pilat's portrait

Dan Pilat

Dan is a Co-Founder and Managing Director at The Decision Lab. He has a background in organizational decision making, with a BComm in Decision & Information Systems from McGill University. He has worked on enterprise-level behavioral architecture at TD Securities and BMO Capital Markets, where he advised management on the implementation of systems processing billions of dollars per week. Driven by an appetite for the latest in technology, Dan created a course on business intelligence and lectured at McGill University, and has applied behavioral science to topics such as augmented and virtual reality.

Read Next

blue photo of romans
Insight

Una dura mirada a la democracia

Tom Spiegler, cofundador y director general de The Decision Lab, se une a Nathan Collett para hablar de lo que la ciencia del comportamiento puede decirnos sobre las elecciones estadounidenses de 2020 y el estado de la democracia en general.

Notes illustration

Eager to learn about how behavioral science can help your organization?

Contact us