Imaginemos a un sofisticado y reputado delincuente en ciberseguridad que sostiene un lucrativo negocio basado en el robo de información y datos a usuarios. Seguro que se nos viene a la cabeza un experto técnico, capaz de eludir un cortafuegos, asaltar cualquier web, y engañar a los antivirus. No es cierto la mayor parte de las veces. La técnica pura se tiende a sobrevalorar mientras que, aunque nos duela, el hack al cerebro, el ataque directo al hipotálamo, suele resultar tan discreto como efectivo.
Solo en algunas áreas muy concretas de la ciberdelincuencia (aquellas relacionadas con los ataques entre Estados o ciberespionaje de primer nivel) el apartado técnico se revela como un elemento crucial para tener éxito. Se trata de los escenarios donde los atacantes deben sobrepasar líneas de defensa más complejas que las habituales y también engañar a personas mejor entrenadas. Pero, ¿qué ocurre cuando las víctimas son usuarios de a pie o empleados de las compañías? Aquí, más veces de las que pensamos, se recurre al descuento hiperbólico, al efecto Dunning-Kruger o al simple altruismo más que al último 0day.
El descuento hiperbólico es un sesgo psicológico que describe la tendencia humana a preferir recompensas inmediatas, aunque sean menores, sobre recompensas futuras más grandes. El valor percibido de una recompensa disminuye a medida que aumenta el tiempo de espera para obtenerla. En una palabra: las personas tienden a sobrevalorar la inmediatez.
Este sesgo está muy presente en la ciberseguridad y muchos ataques apelan a esta debilidad. Premios ficticios, apremios ante un pago, plazos limitados, multas sin pagar… todo se enfoca a que el usuario acelere su respuesta y, por tanto, baje la guardia. Lo vemos todos los días como puerta de entrada ante un ataque.
Otro de los sesgos es el altruismo patológico. Nos gusta ayudar. Si el atacante nos convence de que infectándonos inadvertidamente a nosotros mismos, estamos ayudando a un tercero (además de que sea urgente, por supuesto), perderemos nuestros datos o dinero con la satisfacción que nos proporciona el haber realizado un buen acto por el prójimo.
Por último, con la sonrisa ya disuelta cuando nos hemos dado cuenta del ataque o estafa, nos gusta convencernos de que hemos sido víctimas de las últimas e imbatibles técnicas en ciberseguridad y que no pudimos evitarlo. Nos resulta difícil reconocer que no, que el atacante simplemente nos ha engañado, como si hubiésemos sido víctimas del más básico tocomocho (ese engaño en el que se intenta vender un décimo de lotería falsamente premiado). Solo que nos cuesta mucho detectarlos frente a la pantalla.
¿Cómo han podido estafarme o infectarme, con un truco tan burdo? Dunning-Kruger es un sesgo cognitivo por el que las personas con poca experiencia o conocimiento sobre un tema tienden a sobreestimar sus habilidades. Esto ocurre porque su falta de conocimiento les impide reconocer lo que no saben o que tienden a asociar conocimientos dispersos para reconocerse experto en una materia concreta. ¿Cómo nos van a engañar por desconocer una herramienta como la red, que usamos a diario?
De esta forma y gracias a estos sesgos (entre otros), el propio usuario se vuelve cómplice del ataque.
Se supone que entendemos y controlamos más nuestra propia conducta, por tanto, no nos gusta reconocer que sucumbe con mayor facilidad. A efectos prácticos es más fácil atacar a tres sesgos, muy implantados del humano desde hace siglos, que explotar las tres últimas tendencias técnicas relacionadas con la ciberseguridad, sean cuales sean.
Porque, pensémoslo bien desde el punto de vista del atacante, no merece la pena usar un complejo 0day para entrar en tu sistema cuando puedo aprovechar estos sesgos y pedir al usuario que se infecte él mismo pinchando en un enlace y ejecutando un archivo, o rellenando los datos de su tarjeta. Al igual que un ladrón no roba a un señor por la calle con un tanque, no se desaprovechan las mejores técnicas contra objetivos comunes. Para estos, las “técnicas de siempre” suelen ofrecer una buena relación coste-beneficio.
El atacante solo debe poner ante nuestros ojos un cebo atractivo (incluso si no terminamos de entenderlo) para que piquemos y nos meteremos nosotros solos en la boca del lobo.
La explotación de estos sesgos (que se dan en economía y marketing y otros muchos ámbitos) puede resumirse en lo que conocemos como “ingeniería social”, que presenta la información a la víctima de forma que dinamite su sentido común. La ciberseguridad ha avanzado desde el punto de vista técnico más rápido que nosotros como usuarios “humanos”, y por tanto los atacantes lanzan su artillería “de toda la vida” contra el eslabón más débil, nuestro mal llamado sentido común (lleno de sesgos) que siempre estuvo ahí.
La única opción para combatir estos sesgos es entender las amenazas y la tecnología, no simplemente consumirla. Estamos lastrados por tantos sesgos como vulnerabilidades hay en nuestro software. Pero, según la circunstancia, unos son más fáciles de explotar que otros.