El hacking psicológico: de la inocentada al delito informático

El 28 de diciembre se celebra el Día de los Santos Inocentes, un día para gastar bromas, las conocidas inocentadas, que tiene más relación con otras formas de engaño de la que cabría esperar. Una de ellas es el hacking psicológico, que actúa de la misma manera, sin programas sofisticados ni tecnología punta, y a veces ni siquiera con ordenador.

En estas fechas, cualquiera puede ser víctima de una de estas inocentadas, y funcionan mejor cuando se conoce la personalidad de la víctima, sus gustos o cómo va a reaccionar. Según explica María Laura Mosqueda, CEO y fundadora de TechHeroX, startup EdTech que ayuda a las empresas a formarse en diferentes ámbitos, entre ellos el de la ciberseguridad, “no tentaríamos con una moneda pegada al suelo al compañero que no suele moverse ni para levantar un boli, pero en cambio a tu cuñado que está ahorrando para su primer millón, sí”. Y esta estrategia también es aplicable al ámbito de la seguridad informática.

La Ingeniería Social o Psicohacking, término acuñado por Cristina López Tarrida, es, como ella misma explica, una mezcla de ataque y de ciencia que utiliza recursos psicológicos, habilidades sociales y conocimientos técnicos para hacer que una persona realice una acción o revele información que sin la influencia social no hubiera ni hecho ni revelado. El atacante consigue que las personas actúen de una forma voluntaria, quedándose además con la sensación de haber hecho lo correcto. Lo que se persigue es tener acceso a información confidencial, robar o suplantar identidades y/o escalar privilegios. Es el medio ideal para perpetrar un ataque mayor porque proporciona una puerta de acceso a la información de una empresa u organización, a priori más accesible de la que proporcionaría el hacking informático.

¿Es posible evitarlo? Desde TechHeroX explican que es importante entender cómo funcionan los atajos de nuestro cerebro, pues son muchos los sesgos cognitivos que nos llevan a juicios incorrectos y convertirnos en víctimas de ciberdelitos. Los más destacados serían los siguientes, aunque hay muchos más:

  • El sesgo del punto ciego o “eso no me va a pasar nunca a mí”, que provoca que nos confiemos demasiado.
  • El sesgo de disponibilidad o “esto me suena, seguro que es verdad” que se usa con titulares de actualidad, como la pandemia o el pago de impuestos como señuelo.
  • El sesgo de representatividad o “el mono gris y la caja de herramientas hace al técnico”, que facilita la entrada a extraños a áreas de información sensible.
  • El sesgo de confirmación o “yo tengo razón” que confirma lo que creemos y por ello cedemos sin ejercer resistencia.
  • El sesgo de anclaje o “la primera impresión es lo que cuenta” usada en ataques de phishing, por ejemplo, capaz de replicar una imagen corporativa muy conocida para usarla como pantalla.

Ser conscientes de estos “boicots mentales” y estar atentos ante cualquier anzuelo que provoque ira, enfado, miedo, curiosidad, compasión, morbo o urgencia para inducirnos a la acción o a revelar información, puede reducir los incidentes en ciberseguridad, que son ocasionados por una persona dentro de una compañía.

“El hacking tiene mucho más que ver con la psicología que con la tecnología”, cuenta María Laura Mosqueda, por eso “creemos que la formación en ciberseguridad y protección de datos tiene que ser diferente, en la que sea más importante el autoconocimiento que los tecnicismos, ya que el factor humano puede ser el mejor antivirus si lo haces consciente de sus propias vulnerabilidades”. Con la irrupción del teletrabajo, los ciberataques saltan del ordenador al móvil, y el riesgo, por extensión, a todos los dispositivos de la casa. Ha llegado el momento de integrar hábitos de seguridad personales. Jamás habíamos estado tan expuestos a una “inocentada” los 365 días del año.

TechHeroX, la formación con microhistorias vía app

TechHeroX es una Startup EdTech que ayuda a las empresas a facilitar el aprendizaje que se tiene a mano, con microhistorias formativas que reciben los profesionales a través de su aplicación móvil. Su filosofía es que la formación que tiene pinta de formación aburre y deja de ser eficiente, por eso sus contenidos se parecen a los que le gustan a la gente.

TechHeroX es una de las 8 Startups europeas elegidas por Google para su programa de Aceleración en Ciberseguridad en 2020. Y en 2019 el INCIBE (Instituto Nacional de Ciberseguridad de España) la nombró como una de las 10 Startups más disruptivas en Ciberseguridad.

Más información en https://www.techherox.com/es/

Share