Blog

¿Por qué las personas siguen cayendo en las trampas?

Cada vez hay más soluciones de ciberseguridad pero incluso, con todas las disponibles, las personas siguen cayendo en las trampas.

Las personas siguen siendo parte de cada uno de los procesos, ya sea como generadores o como usuarios y, por tanto cada persona es una puerta de riesgo.

Inicio
¿Qué es la ingeniería social y por qué importa?
Seguridad Digital y cómo Ativa te ayuda

¿Qué es la ingeniería social y por qué importa?

La tecnología ha estado transformando nuestras vidas durante siglos, incluso milenios. En una era digital, la interacción humana con la tecnología es prácticamente omnipresente, ya sea de manera activa o en segundo plano. Esta interacción tiene un efecto no solo en la forma en que vivimos, sino también en lo que representa la seguridad; la seguridad ya no es algo específico del mundo físico o del mundo virtual.

Los especialistas en TI y ciberseguridad han sido conscientes de esto y han creado múltiples soluciones, ellos siguen trabajando para mejorarlas, pero todavía vemos víctimas de ataques digitales en todas partes, tal vez nosotros mismos hayamos sido la víctima. Sin embargo, estos cambios también han creado nuevas oportunidades para los ciberdelincuentes, ellos no solo aprovechan la tecnología sino que también los comportamientos humanos para atacar.

Metodologías y tecnologías

Hay múltiples formas en que los especialistas en ciberseguridad clasifican la ciberseguridad, una de ellas es mediante 6 capas principales. Aun cuando es un gráfico especializado, hay algunos conocimientos clave que podemos extraer de este gráfico:

La seguridad tiene múltiples capas que interactuán para proteger la data, las aplicaciones, las redes, los perímetros e incluso las personas. Cada vez hay más soluciones de ciberseguridad; sin embargo todo se basa en procesos, alineamiento la negocio y un enfoque de prevención y gestión de riesgos.
  • Las capas interactúan entre sí
  • Algunas son preventivas y otras reactivas
  • Existen algunas herramientas que afectan a varias capas
  • Las capas cambian y se integran de una manera distinta de acuerdo al ecosistema de cada empresa
  • Es una cadena no lineal
  • Incluso con automatizaciones las personas somos parte de la ciberseguridad
  • Es una mezcla de tecnologías, procesos y cultura

Incluso en un proceso de IA totalmente autónomo, siempre hay un humano que utilizará los resultados y otro que puedrá cortar la fuente de energía.

Otra forma de ver los efectos de los humanos en ciberseguridad según el reporte de Cost of Data Breach 2023 de IBM es revisando los vectores de ataque principales:

En un mundo digital la seguridad no depende de una única solución de ciberseguridad y por eso es necesario tener una estrategia de involucrar a todos. Según el reporte de IBM de Cost of Data Breach del 2023: 9/11 de los principales vectores de ataques de ciberseguridad implican personas. En promedio la mayoría de ataque demoran entre 9 meses entre investigar y contener. Las pérdidas no solo son monetarias, la empresa completa y todos sus stakeholders se afectan.

Esto no es una advertencia contra las personas y a favor de los robots, sino más bien, una visión de cómo la séptima capa de ciberseguridad es relevante para todo el ecosistema.

Entonces, ¿es la ciberseguridad lo mismo que la seguridad digital?, se podría decir que sí, pero es solo una parte. Vivimos un mundo digital que no es virtual, sino más bien, es un mundo donde las tecnologías digitales interactúan con las tecnologías analógicas y la naturaleza.

En nuestro mundo digital, que alguien te robe un teléfono mientras caminas por el parque significa no solo perder el acceso a tu herramienta de comunicación, probablemente, también signifique entregar los accesos a una persona no deseada a tus datos personales, cuentas bancarias, contactos, etc. Otra forma de tener los mismos efectos sin perder tu teléfono es que este sea hackeado mientras estabas conectado a un wifi libre. Nuestra seguridad en un mundo digital no es solo virtual.

Un cambio en SHE (SSOMA) y cultura hacia la seguridad en las empresas

Es probable que, si trabajas en una empresa o estás relacionado con una, hayas escuchado el término SHE (Seguridad, Salud y Medioambiente). En una fábrica tradicional, SHE se centró en mantener seguras y saludables a las personas que trabajan en la fábrica, así como en mantener sano y salvo el entorno que las rodea.

Cualquiera que tenga experiencia en SHE también puede confirmar que el equipo de SHE trabaja con el de Recursos Humanos para construir una cultura en torno a la seguridad; las acciones humanas son las que previenen o dan como resultado un accidente. Esta interacción no solo se da con Recursos Humanos, SHE interactúa con casi todas las partes de la organización.

En una fábrica, la señalización, líneas de ayuda y guardas de seguridad eran parte común del ecosistema donde SHE interactuaba con operaciones para un objetivo común. Hoy el entorno ha cambiado, se han implementado tecnologías digitales en las fábricas como sistemas informáticos, productos de software, robótica e incluso inteligencia artificial. ¿Se ha adaptado nuestra cultura a estos cambios?

Ingeniería Social, Comunicaciones y Gestión de Riesgos

Si trabajas en finanzas o banca, o eres dueño de una cuenta bancaria, existe una gran posibilidad de que conozcas a alguien, o incluso tú mismo, hayas sido víctima de un ataque de phishing; un click en un link incorrecto resultó en una entrega de cierta información involuntaria y pérdidas de dinero. Probablemente, había un antivirus instalado, y es muy probable que fue cuando se dijo en voz alta cuando más obvio se vio que era una trampa desde el inicio.

En un mundo digital, los ciberdelincuentes utilizan diferentes tecnologías y estrategias para cometer sus delitos, pero no se trata solo de tecnología. El Diccionario Oxford define la ingeniería social en un contexto de TI como el uso del engaño para manipular a las personas para que divulguen información personal o confidencial que pueda usarse con fines fraudulentos. Como puedes ver, hay una cosa importante a considerar en esta definición, nunca se utiliza la palabra tecnología o términos relacionados a la ciencia; esto se debe a que si bien en un contexto de ciberseguridad se utilizan herramientas tecnológicas, el núcleo de la ingeniería social se basa en la psicología y las actitudes de las personas.

El término ingeniería social se remonta a 1894, inicialmente se consideró como una oportunidad donde los empleadores modernos debían dar asistencia de especialistas (ingenieros) para manejar los 'retos humanos' tal y como necesitaban expertise técnico para liderar con retos no-humanos como materiales, máquinas y procesos

Las nuevas tecnologías de la Revolución Industrial cambiaron la forma en que la gente trabajaba, vivía y se alimentaba; con estos cambios también vinieron nuevos campos de estudio, nuevas enfermedades y nuevos desafíos que resolver. Durante este periodo, se comprendió que las estrategias de ingeniería podrían usarse para cambiar comportamientos humanos y resolver problemas humanos: la ingeniería social. Debido a que la ingeniería social se centra en los cambios en la sociedad, generalmente son impulsadas por gobiernos o grandes instituciones, de esa manera eventualmente conducirán a la creación de propaganda y marketing.

Como en todo, con las cosas buenas también vienen las malas, aparecieron nuevos lugares para cometer delitos y nuevas víctimas potenciales; esto significaba que las personas tenían nuevas cosas de las que ocuparse, nuevos lugares donde buscar información y la necesidad de cambios en sus actitudes hacia la seguridad. La percepción del riesgo y cómo gestionarlo cambió.

Psicología y herramientas

Las herramientas de ataque han cambiado a la misma velocidad que han evolucionado las tecnologías; pero hay algo que se mueve a un ritmo diferente y es único en cada individuo: la mente humana. Los ciberdelincuentes utilizan medios tecnológicos con principios y estrategias psicológicas, entendiendo a la víctima potencial para ganarse su confianza, encontrar una vulnerabilidad y luego atacarla. A veces es masivo, otras veces está dirigido a una persona; a veces es solo un correo electrónico falso, a veces es una combinación de estrategias.

¿Qué podemos hacer entonces como individuos? Debemos empezar por comprender cómo estamos expuestos, cómo nos exponemos nosotros mismos y cómo la tecnología puede usarse como herramienta para los delitos cibernéticos.

Aún cuando tenemos un seguro vehicular, igual tendemos a cuidar nuestra conducción y las zonas que transitamos; si no conducimos con cuidado, es porque se es consciente de la posibilidad de pagar el costo de esas acciones. La mayoría de las personas no lo están dispuestas, o simplemente pueden, afrontar ese riesgo, por ello ejercemos precaución.

Un ciberatacante aprenderá, en este ejemplo, tu estilo de conducción, la ruta, dónde aparcas, tu matrícula y muchos más datos para saber cómo acercarse a ti; para lograrlo utilizarán tu GPS, tus publicaciones en redes sociales, el POS de la gasolinera, etc. Esto no significa que tengas que dejar de conducir, sino más bien ser más consciente de dónde, cómo conducir y cómo actuar.

No se trata de una herramienta concreta ni de una acción concreta sino de la combinación de ellas: eso es cultura.

Seguridad Digital y cómo Ativa te ayuda

Como cualquier otra revolución tecnológica, las tecnologías digitales afectan y transforman nuestro mundo. Hoy en día la tecnología digital forma parte de nuestra vida, esto significa que la seguridad digital también forma parte de nuestra vida y no solo dentro de nuestra empresa o nuestros bancos. Cada una de las políticas y herramientas de ciberseguridad que aplicamos puede resultar inútil si se roba la credencial de un usuario; es como perder nuestra llave de casa y nuestro documento de identidad con nuestra dirección. Tenemos que cambiar nuestro enfoque de seguridad e incluir a las personas en nuestras estrategias para mantener todo lo más seguro posible en un mundo digital.

Después de que el trabajo remoto e híbrido se convirtiera en la norma, los equipos de TI no solo tienen que mantener seguro el ecosistema de intranet y extranet, sino adicional, tienen que asumir que una persona se conectará a los sistemas de la empresa desde un lugar distinto a sus oficinas y a través de una red wifi sobre la que no tienen el control absoluto. La interdependencia entre las capas de la ciberseguridad es cada vez más relevante, esto significa que las personas son incluso más relevantes que antes. Las soluciones de ciberseguridad son tan cruciales como las acciones de las personas.

En Ativa hemos desarrollado e implementado soluciones para diferentes capas del ecosistema; parte de nuestro equipo viene de industrias y unidades de negocios no tecnológicas y por eso entendemos que comprender la tecnología puede ser tan complejo como comprender plenamente un negocio. Por ello, hemos desarrollado un programa llamado Social Tech en el que personalizamos el contenido para cada negocio y sus equipos. En este, repasamos qué implica la psicología en un contexto de riesgos digitales, los principales métodos que utilizan los ciberatacantes contra sus víctimas, y cómo las personas pueden tener un mayor control de su nivel de exposición al utilizar las diferentes tecnologías.

¿Por qué es un programa en vivo personalizado?

Es personalizado porque la psicología es personal; sí, hay partes donde la información entregada se puede explicar leyendo un texto común, pero cuanto más conectados nos sentimos con algo, es más probable que lo comprendamos y nos preocupemos por aplicarlo. Por eso desarrollamos un programa interactivo donde entendemos a los diferentes usuarios, su contexto, la cultura y política de la empresa para poder dar ejemplos y crear interacciones que sean relevantes y refuercen la cultura de seguridad de la empresa. La conciencia no se construye con un poster.

¿Nuestro enfoque de la cultura?

Entendemos que ya existen procedimientos implementados y soluciones que se han ido construyendo con el tiempo, queremos reforzar estos con los cambios y desafíos que ha traído la tecnología digital. Creemos que tiene que ser parte de nuestra cultura porque es parte de cómo llevamos a cabo las cosas y cómo gestionamos el riesgo, es más que solamente herramientas. También lo hacemos porque convivimos con los retos internamente dentro de nuestro equipo  las personas tecnologías y no tecnológicas, a veces, hablamos idiomas distintos; entendemos que la forma de entregar información también es importante.

¿Cómo se puede medir los efectos?

Es una capacitación interactiva, por lo que implica pruebas interactivas y simulaciones de phishing; al final del ejercicio, entregamos sugerencias basadas en datos que puede implementar con el tiempo dentro de su equipo.

Se trata de vivir y promover la seguridad en el mundo digital en el que vivimos, se trata de personas.

Soluciones y Servicios relacionados

Nos enfocamos en solucionar problemas y crear experiencias seguras

Ethical Hacking Integral

Simulaciones y recomendaciones sin falsos positivos
Saber más

SocialTech & PhiseWise

Promovemos la conciencia de seguridad digital
Saber más

Endpoint Security con Sophos

Única consola para gestionar tu seguridad
Saber más

Otros recursos relacionados

Nos gusta compartir lo que aprendemos

VER TODOS
Seguridad
Renovación Tecnológica

¿Por qué necesito llegar antes que el hacker?

Saber más
Seguridad
Educación

Cuidándome a través de las constraseñas

Saber más