Los humanos somos seres complejos con conciencia, emociones y capacidad de actuar en base a pensamientos. En el ámbito en constante evolución de la ciberseguridad, los humanos siguen siendo constantemente el objetivo principal de los atacantes. A lo largo de los años, estos atacantes han desarrollado su experiencia en la explotación de diversas cualidades humanas, perfeccionando sus habilidades para manipular prejuicios y desencadenantes emocionales con el objetivo de influir en el comportamiento humano para comprometer la seguridad, ya sea personal u organizacional.
Más que un simple “factor humano”
Comprender lo que define nuestra humanidad, reconocer cómo nuestras cualidades pueden percibirse como vulnerabilidades y comprender cómo nuestras mentes pueden ser atacadas proporcionan la base para identificar y responder cuando inevitablemente nos convertimos en el objetivo.
La mente humana es un paisaje complejo que evolucionó a lo largo de años de exposición al entorno natural, interacciones con otros y lecciones extraídas de experiencias pasadas.
Como seres humanos, nuestras mentes nos distinguen, marcadas por una multitud de rasgos y emociones, a menudo demasiado complicadas para articularlas con precisión.
El comportamiento humano es complejo.
Algunos de nuestros rasgos fundamentales se pueden resumir de la siguiente manera:
- Confianza – Los humanos depositan su confianza en los demás, asumiendo la bondad inherente.
- Empatía – Los seres humanos muestran preocupación por los demás y sus sentimientos.
- Ego – Los seres humanos albergan un espíritu competitivo y aspiran a eclipsar a sus pares.
- Culpa – Los humanos experimentan remordimiento por sus acciones, especialmente cuando dañan a otros.
- Codicia – Los humanos desean posesiones y pueden sucumbir a la impulsividad.
- Urgencia – Los seres humanos responden rápidamente a situaciones que exigen atención inmediata.
- Vulnerabilidad – Los seres humanos a menudo luchan contra el miedo y son sinceros acerca de sus emociones.
Si bien esta lista no es exhaustiva, resume aspectos comunes y comprensibles que impulsan el comportamiento humano. Las interacciones humanas tienen un valor esencial, ya que infunden significado a la vida y promueven normas culturales. Sin embargo, para los atacantes que buscan explotarnos, la construcción social de las interacciones entre humanos proporciona un camino para la manipulación.
Security Navigator 2024 ya está aquí: descargar ahora
el tan esperado Navegador de seguridad 2024 se lanzó oficialmente y ofrece información sin precedentes sobre los peligros digitales actuales. Con 129.395 incidentes que dieron lugar a 25.076 infracciones confirmadas, este informe no es sólo un documento; es una hoja de ruta hacia un futuro digital más seguro.
¿Qué hay adentro?
- Instantánea global: Explore la intrincada red de eventos globales, la extorsión cibernética y cómo la geopolítica se entrelaza con el hacktivismo.
- Impacto Regional: Descubra los efectos específicos de los ciberataques en diversas regiones e industrias.
Nuestra naturaleza naturalmente social nos obliga a volver a estos rasgos. Las emociones sirven como una red de seguridad para la comunicación, la resolución de problemas y las conexiones en nuestra vida diaria y hemos llegado a confiar en nuestras respuestas emocionales para guiarnos y protegernos aún más en una variedad de situaciones.
Pienso, luego puedo ser manipulado.
Los atacantes aprovechan esta red de seguridad (emociones y rasgos fundamentales) cuando atacan a humanos, ya que pueden manipularla para cumplir sus objetivos. Esta red de seguridad se debilita aún más cuando nos aventuramos en el ámbito “en línea”, ya que ciertas salvaguardias fallan debido a una falta de conocimiento. La abstracción de la comunicación a través de un nombre en la pantalla a menudo confunde nuestra mente al interpretar situaciones de una manera que nuestras emociones no pueden navegar con precisión.
En el ámbito de la manipulación, durante siglos se han empleado diversos modelos y métodos para influir en el comportamiento humano. En el contexto actual, los atacantes explotan estos modelos para identificar vulnerabilidades humanas, caracterizadas como debilidades dentro del sistema que pueden ser explotadas.
Además de manipular directamente rasgos fundamentales mediante ataques cuidadosamente dirigidos, los atacantes tienden a atacar a los humanos mediante formas de influencia y persuasión. Estos se pueden resumir de la siguiente manera, y los humanos tienden a operar mentalmente en estos ámbitos:
- Reciprocidad: los seres humanos se sienten obligados a corresponder lo que han recibido.
- Autoridad: los seres humanos tienden a obedecer a figuras autorizadas/conocidas.
- Escasez: los humanos desean artículos que son menos alcanzables.
- Compromiso y coherencia: los seres humanos favorecen la rutina y la estructura.
- Agrado: los humanos forman conexiones emocionales.
- Prueba social: los humanos buscan validación y fama.
Estos aspectos pueden verse como vulnerabilidades potenciales en la mente humana cuando se combinan con emociones y rasgos fundamentales. Los atacantes aprovechan estos aspectos para obtener control directo sobre nuestras acciones, un hecho que ahora se reconoce como ingeniería social. La ingeniería social abarca varias técnicas y tácticas, pero en esencia explota una o más de las áreas mencionadas anteriormente a través de interacciones diseñadas con precisión.
Las técnicas de explotación, que a menudo se ven en canales digitales como el correo electrónico, las llamadas telefónicas o los mensajes de texto, se utilizan con frecuencia para el phishing. Estas tácticas manipulan las interacciones establecidas para lograr diversos objetivos, como engañar a las personas para que se deshagan de fondos, abran archivos maliciosos, envíen credenciales o revelen datos confidenciales. Las consecuencias de estos ataques pueden variar desde pérdidas individuales hasta violaciones organizacionales.
defendernos
Para protegernos contra estos ataques contra nuestra mente, debemos alinear nuestros estándares cognitivos con los desencadenantes emocionales haciendo preguntas como; cuál es el propósito, la expectativa y la legitimidad de la interacción. Estas preguntas podrían prevenir reacciones impulsivas y permitir la introspección.
Establecer una mentalidad de “parar y evaluar” actúa como un cortafuegos mental, reforzado por la vigilancia, para mejorar la seguridad personal y organizacional. Al considerar posibles ataques, aumentamos nuestra conciencia sobre las vulnerabilidades y trabajamos en la resiliencia. Esta conciencia, junto con un enfoque proactivo, ayuda a mitigar las amenazas a nuestras mentes y a la humanidad, promoviendo la colaboración para desarmar a los atacantes y debilitar sus operaciones.
Manténgase alerta, manténgase informado y continúe cuestionándolo todo.
Esta es sólo una de las historias que se encuentran en el Navegador de seguridad. Allí también se pueden encontrar otras investigaciones interesantes, como un estudio sobre el hacktivismo y un análisis del aumento de la extorsión cibernética (así como muchos otros temas de investigación interesantes). Es gratis, así que échale un vistazo. ¡Vale la pena!
Nota: Este artículo fue escrito de manera experta por Ulrich Swart, gerente de capacitación y líder del equipo técnico de Orange Cyberdefense.