Nueve de cada diez incidentes de ciberseguridad se originan por el error humano. Este tipo de eventos puede prevenirse, transformando la cultura en la organización, o sea los valores y las creencias que tienen los colaboradores del lugar en el que se desempeñan.
Según planteó José Antonio Lagos, Profesor del diplomado en Ciberseguridad de la FEN Universidad de Chile, “se debe reconocer que los colaboradores tienen sesgos y eso impacta en los temas de phishing, por lo que las organizaciones tienen que internalizarlo. Hay que entender que el ser humano es el objetivo de los ataques de los cibercriminales”.
Para quienes desconocen en qué consiste el phishing, este es un ataque que tiene por objetivo robar el dinero o la identidad de una persona, por medio del ingreso de información personal, como el número de la tarjeta de crédito, información bancaria o contraseñas, en sitios web que fingen ser legítimos.
Tras el acelerado proceso de transformación digital que están experimentando las organizaciones, el cual implica generar nuevos modelos de negocios y, por ende, integrar nueva tecnología, el concepto de ciberseguridad es primordial. Así lo señala un estudio de IBM, en el que un 92% considera que la seguridad informática es una tecnología clave para alcanzar los objetivos del negocio.
Para las organizaciones, su importancia radica en que nueve de cada diez incidentes de ciberseguridad se originan por el error humano. Según el académico de la Universidad de Chile, “los ciberdelicuentes se aprovechan de las vulnerabilidades humanas al conocer cómo funcionan los sesgos cognitivos, un fenómeno psicológico de la mente, que es principalmente inconsciente”.
En esa línea, añadió que los ciberdelincuentes al realizar técnicas de ingeniería social como el phishing, pretexting, vishing y smashing, entre otros, utilizan principios psicológicos básicos, como el concepto de la autoridad, reciprocidad, colaboración y consistencia, confianza, validación social, pérdida, curiosidad y ego. Sin embargo, existen dos que son los más importantes: el sentido de urgencia y el llamado a la acción. Un ejemplo de ello, es cuando solicitan pinchar un enlace hasta antes de determinada hora del día, para que el cometido se cumpla.
El comportamiento de los colaboradores, así como sus personalidades más y menos riesgosas dentro de una organización, pueden hacer que prospere un ataque de phishing acompañado de Ransomware en la empresa. Por lo mismo, resulta clave que las organizaciones comprendan y reconozcan que los sesgos cognitivos influyen de manera determinada en el día a día.
En primer lugar, con el fin de partir desde una línea de base, se debe medir la cultura en ciberseguridad, teniendo claro cuáles son los comportamientos que se quieren modificar y la mentalidad y los nuevos valores que se busca instaurar.
Por último, Lagos también mencionó que aquellas organizaciones que, además de implementar planes de capacitación sobre phishing entre sus colaboradores, incorporan ejercicios simulados o ethical phishing, entre un año y otro, han reducido hasta en un 16,4% la suplantación de identidad.