Las guerras del siglo XXI consistirán en capturar, manipular o destruir los datos de otros. Los sistemas digitales que impulsan a las organizaciones y naciones de todo el mundo se han convertido en los principales objetivos de los ataques: de delincuentes individuales, bandas de ciberdelincuencia bien organizadas y piratas informáticos patrocinados por el estado.
A medida que Internet se vuelve omnipresente y el mundo se interconecta cada vez más, los ciberataques seguramente generarán un impacto generalizado. El ataque de piratería WannaCry en mayo de 2017 que paralizó ordenadores en 150 países es solo un ejemplo de la naturaleza generalizada de este problema. Se están desperdiciando miles de millones de dólares en la destrucción, en tiempo de inactividad y en los gastos de reemplazo que surgen como resultado de la inseguridad cibernética.
Muchos expertos en ciberseguridad albergan la falsa creencia de que los piratas informáticos sólo se centran en las vulnerabilidades tecnológicas
La seguridad cibernética, las diversas tecnologías, los procesos y las prácticas que protegen las redes, los ordenadores y los datos digitales de los ataques, es un área de enfoque principal para todo tipo de organizaciones. Está dominado por quienes creen que la tecnología nueva y más compleja nos salvará de todo tipo de ciberataques. ¿Este enfoque protegerá nuestro mundo cibernético?
La distancia entre los expertos y el usuario estándar
Al construir estas complejas y costosas soluciones tecnológicas, a menudo nos olvidamos de los seres humanos que están en el centro del problema. Los equipos de ciberseguridad que están dirigidos principalmente por expertos en tecnología tienden a ver todo el problema a través de su lente tecnológica. Suelen creer que el pirata informático busca debilidades tecnológicas en su software o red tecnológica. Siempre están enfocados en tratar de corregir los errores técnicos en su sistema.
Varios estudios y análisis de ciberataques en todo el mundo han demostrado que en más del 90% de las brechas de seguridad, el factor habilitador ha sido el comportamiento negligente de los usuarios. La propagación de un virus que atacó el sistema del Comando Central de EE. UU. Comenzó con la inserción de una unidad USB infectada por un individuo en un ordenador portátil militar de EE. UU.
Muchos expertos en ciberseguridad albergan la falsa creencia de que los piratas informáticos solo se centran en las vulnerabilidades tecnológicas. Sin embargo, la verdad es que el comportamiento humano suele ser el eslabón más débil de la cadena de seguridad en línea. Una gran cantidad de ciberataques comienzan con un phish, un intento fraudulento de obtener información confidencial bajo la apariencia de una entidad confiable.
Los seres humanos tienen un sesgo que da crédito a la autoridad. Por lo tanto, será difícil para una persona ignorar un correo de phishing, supuestamente de una figura de autoridad. Otros sesgos utilizados para obtener acceso incluyen nuestras respuestas casi automáticas a la reciprocidad y los compromisos anteriores. Estas técnicas empleadas por los ciberataques eluden los mejores muros de seguridad que puede desarrollar un equipo de ciberseguridad.
El comportamiento humano suele ser el eslabón más débil de la cadena de seguridad en línea
Los expertos en ciberseguridad comprenden la complejidad que implica detectar las fallos en un software de seguridad, rectificarlo y desarrollar barreras tecnológicas seguras para prevenir cualquier ataque. Incluso si entendemos cómo funcionan los hacks sociales, construir defensas es otro asunto. Las tareas simples, como hacer que los empleados usen contraseñas seguras, cambiarlas con frecuencia o evitar el uso de Wi-Fi público no seguro, no son tan fáciles como parecen. La complejidad del cerebro humano crea varios impedimentos en el inicio y mantenimiento de estas tareas.
La pereza, el pecado capital de la ciberseguridad
El cerebro humano siempre intentará reducir la carga cognitiva involucrada en cualquier decisión. No es por ninguna otra razón que 123456 sea la contraseña más común. El cerebro humano ama el status quo. Entonces, cuando se le solicite que cambie la contraseña, el usuario solo querrá hacer un cambio menor en la contraseña existente. Entonces, si la contraseña anterior es contraseña1, la nueva contraseña probablemente será contraseña2.
Los seres humanos tienen muy poca capacidad para evaluar el riesgo. Varias investigaciones han demostrado que los humanos evalúan el riesgo involucrado en una acción en particular, no basándose en ningún cálculo elaborado, sino en cómo se siente uno acerca de la acción que está tomando. Si uno se siente positivo sobre el resultado de esa decisión, es probable que juzguen que el riesgo de esa acción es bajo. Por lo tanto, para un empleado que ve una película después de trabajar durante muchas horas, el disfrute que brinda la película supera con creces el riesgo que implica el uso de una unidad USB insegura.
El cerebro humano ama el status quo. Tiene muy poca capacidad para evaluar el riesgo
Dada una elección entre el disfrute en el momento inmediato y un riesgo potencial en el futuro, el cerebro humano siempre tendrá un sesgo por el presente. Combinado con la tendencia de nuestro cerebro a descartar el futuro, más aún los riesgos en el futuro, la mayoría de los empleados tendrán una tendencia a subestimar el riesgo involucrado en sus decisiones.
Se generan emociones apropiadas sobre los riesgos cuando se pone a disposición de todos los interesados una noticia bien publicitada sobre un ciberataque. Siempre que la noticia del evento esté disponible en la memoria, todos entrarán en modo de precaución y seguirán las medidas de seguridad requeridas. Sin embargo, a medida que los recuerdos de esos incidentes retroceden, la gente se vuelve complaciente. Muy rara vez los expertos en seguridad se dan cuenta de que un modo mental complaciente en el que se mete un empleado abre muchas más oportunidades para un ciberataque que incluso una falla significativa en el software de un sistema de seguridad.
Entonces, mientras se gastan miles de millones de dólares para atender los requisitos técnicos de la ciberseguridad, se realiza una inversión inversamente proporcional para comprender e influir en el comportamiento humano en torno a la ciberseguridad. Cuanto antes nos demos cuenta de que las soluciones tecnológicas más poderosas no son rival para un ciberatacante con un excelente conocimiento del funcionamiento del cerebro humano, más seguro será nuestro mundo cibernético.
*Artículo escrito por Biju Dominic y publicado orginalmente en livemint.com
