Edson Villar, líder de Consultoría en Ciberseguridad para Latinoamérica de Marsh Advisory
Durante los últimos años, las organizaciones han invertido millones de dólares en la implementación de controles técnicos para evitar ataques cibernéticos, pero muchas veces dejando de lado la capacitación y entrenamiento de sus empleados contra ataques tan importantes como la ingeniería social, que es la manipulación de la psicología humana para lograr que una víctima realice una acción que no debería ejecutar, lo cual puede permitirle al atacante ganar acceso a los sistemas, información sensible o incluso a instalaciones físicas de una empresa. Por ejemplo, un escenario común considera que el atacante ejerza poder social sobre los individuos para inducirlos a tomar una decisión equivocada a favor del cibercriminal.
Frente a esta situación, es importante que los líderes de las organizaciones comprendan que el factor humano son tan importantes como la tecnología y los procesos técnicos a la hora de la implementación o ejecución de algún plan destinado a proteger a sus organizaciones de ataques cibernéticos.
Las personas en su vida cotidiana frecuentemente tienen que tomar decisiones; en este proceso es inevitable que el individuo caiga en un error, debido a que tiene que procesar una gran cantidad de información en medio de factores que influyen en esta acción, que son en muchos de los casos barreras que perjudican a la recepción de la misma, a tal punto de ignorar ciertos aspectos relevantes que puede convertirse en sesgos cognitivos como consecuencia de no haber prestado atención a toda la información disponible para ejecutar una determinada acción.
Un ámbito en donde los sesgos cognitivos son altamente riesgosos para las organizaciones es el de la ciberseguridad. Entre algunos de los principales, se encuentran el efecto heurístico, que se basa en tomar decisiones rápidamente como respuesta emocional, por ejemplo, cuando el atacante indica que tenemos solo un periodo corto de tiempo para actuar antes de que ocurra un hecho desafortunado para la víctima, como el bloqueo de sus cuentas o una transferencia no autorizada; por otro lado, podemos encontrar al sesgo de anclaje, en donde el individuo toma la decisión considerando y confiando en la primera información que recibe, por ejemplo, cuando la víctima confía en un correo fraudulento porque observa el logo y el formato de una empresa confiable; y, por último, está la de fatiga de decisión, el cual consiste en tomar decisiones más fáciles cuando se realiza tareas repetitivas, en este caso lo que hace el individuo es dar una respuesta a un problema sin evaluar los factores que influyen, ya que considera que tiene la misma respuesta debido a que este se presenta todos los días, por ejemplo, cuando el atacante imita un tipo de mensaje común para la víctima, de manera que las diferencias pasen desapercibidas.
Ante a este tipo de riesgos, lo mejor que se puede hacer es entrenar y capacitar a los empleados de la organización y terceros con información relevante y actualizada sobre lo que significa estos riesgos para su organización, así como también de los sesgos más comunes y peligrosos que intervienen en el proceso de toma de decisión de las personas que aparecen en las situaciones cotidianas que tiene un empleado o tercero, según su rol en la organización.