Ciberseguridad empresarial. Ingeniería social o hacking humano: un marketing nada ético

Hoy día, la ciberseguridad empresarial debe contemplar un aspecto fundamental para blindar sus sistemas frente a la ciberdelincuencia: la ingeniería social o hacking humano. Las personas son un riesgo de seguridad importante a tener muy en cuenta, ya que además de hackear sistemas informáticos, se puede hackear la mente de las personas para conseguir información o para que realicen determinadas acciones fraudulentas.

Según varios estudios, casi el 80% de nuestras decisiones las tomamos basadas en las emociones. Eso es precisamente lo que explota el hacking humano, por eso la ciberdelincuencia utiliza los mismos mecanismos de persuasión que utilizan la publicidad y el marketing para lograr sus objetivos comerciales.

Robert Cialdini publicó en 1984 su libro Influence, the psychology of persuassion, donde identifica 6 principios o reglas básicas de la persuasión.

Veamos cómo los ciberdelincuentes utilizan estos mismos principios utilizados por la publicidad y el marketing para perpetrar sus ataques y lograr sus objetivos.

Reciprocidad

La reciprocidad es el sentimiento o la obligación moral que sentimos cuando recibimos algo a cambio de nada. El cerebro humano está programado para devolver favores y pagar sus deudas. 

Este principio es utilizado en ataques masivos de Phising que ofrecen regalos atractivos simplemente por rellenar un cuestionario. Casualmente, las urls a las que nos remiten estos anuncios no son las urls oficiales de las marcas a las que representan.

Compromiso y consistencia

Las personas estamos más dispuestas a realizar acciones que sean consistentes con lo que hayamos hecho en el pasado. Según Cialdini, sentimos además un profundo deseo de ser coherentes con nuestras ideas.

En el mundo de la ciberdelincuencia, este principio es palpable en correos fraudulentos procedentes supuestamente de entidades bancarias felicitando al cliente por su compromiso con la seguridad. Posteriormente, envían un segundo correo donde recomiendan cambiar la clave de acceso a la banca online. Las victimas acceden, coherentes con su perfil de cliente seguro y responsable.

Prueba social o consenso

Esto se refiere al mecanismo psicológico por el cual tendemos a acomodarnos a la opinión mayoritaria. Estamos más predispuestos a aceptar o rechazar algo si la gran mayoría ya lo ha aceptado o rechazado previamente.

Es relativamente fácil que un ciberdelincuente pueda obtener información o convenza a alguien para hacer algo si muestra que otras personas de la misma empresa con nombres y apellidos también lo han hecho previamente. Amparados por este principio de consenso, es relativamente fácil que accedan sin hacer otras comprobaciones.

Atracción o simpatía

Estamos más predispuestos a dejarnos influir por personas que nos agradan, algo que lleva utilizando la publicidad toda la vida.

Cómo utilizan los ciberdeliencuentes este principio es bastante sencillo: pueden crear un perfil falso en redes sociales con un físico atractivo e intereses similares a los de la víctima, a la cual no le resultará difícil empatizar e interesarse. Ganada la confianza, el ciberdeliencuente puede empezar a programar sus objetivos (como pedir dinero o sonsacar alguna información confidencial).

Autoridad

Las personas estamos más predispuestas a dejarnos influir cuando somos interpelados por una autoridad. 

En el mundo de la ciberseguridad empresarial, tenemos el claro el fraude del CEO, englobado normalmente en la llamada técnica de vulneración del correo electrónico. En un estudio del FBI, solo el año pasado se perdieron más de 1.700 millones de dólares con estas técnicas, con una media de 74.000 dólares de pérdida en cada incidente.

También, cada vez es más habitual en ciberdelincuencia la técnica llamada Deep Fake, consistente en suplantar una identidad en apariencia usando Inteligencia Artificial.

Escasez

Todo lo escaso tiene más valor. Parece algo irracional, pero es un mecanismo del cerebro para garantizar la supervivencia. 

Los estafadores utilizan mucho este principio persuasivo de la escasez. Suelen hacer ofertas muy baratas, con muy pocas unidades a la venta y con muy poco margen de tiempo para comprarlo, así accedemos a la compra de forma instintiva sin pensar demasiado.

En el campo de la ciberseguriad empresarial, tenemos un ejemplo claro de este principio en el Spear Phising.

Concienciación y buenas prácticas

Ante esta realidad creciente en el mundo de la ciberseguridad empresarial, la mejor herramienta de defensa es la concienciación. Ya no solo hablamos de ataques a sistemas informáticos, hablamos de hacker personas para persuadirlas y que hagan algo que normalmente no harían.

Aunque hay tecnologías que nos ayudan a detectar y parar alguna de las técnicas que hemos visto, es imprescindible que los empleados de una compañía estén lo suficientemente concienciados como para no hacer algo que pudiera comprometer la seguridad de la organización.

Algunas recomendaciones para los empleados basadas en el sentido común son:

• Precaución con los correos electrónicos, llamadas, mensajes de whatsapp, intercambio de información en redes sociales...
• Ante acciones sospechosas, confirmar siempre con la fuente, aunque sea el jefe y podamos molestarlo.
• No utilizar nuestro equipo corporativo para temas personales (como introducir USBs comerciales)
• Pensar muy bien qué información compartimos en redes sociales.
• Mantener actualizados nuestros sistemas de protección.
• Estar atentos a todos los detalles en las simulaciones de ataque de ingeniería social que realice nuestra compañía.