Estos son los principales sesgos cognitivos que afectan a las personas en lo referente a la ciberseguridad
Como consecuencia de los avances tecnológicos que se han realizado en el ámbito de la ciberseguridad en los últimos años, el factor humano se ha convertido en la principal vulnerabilidad explotada por los ciberdelincuentes según el informe 'The Global Risks Report 2022' publicado por el World Economic Forum. Para conseguir el éxito en un ciberataque no es necesario que haya un fallo en la tecnología sino que haciendo uso de técnicas de ingeniería social, los ciberdelincuentes tratan de persuadir a las personas para aprovecharse de sus debilidades cognitivas y llevar a cabo ataques como el smishing o el phishing.
“Con la aplicación de la Economía del Comportamiento (‘Behavioral Economics’) en la ciberseguridad analizamos cuáles son las variables conductuales y personales que hacen que seamos más vulnerables ante un intento de ciberataque”, afirma Guadalupe Sierra, experta en Economía del Comportamiento de BBVA. Algunas de estas variables que pueden influir son:
- El conocimiento: Cuanto mejor se conozcan los riesgos en internet y la forma de actuar de la ciberdelincuencia mejor serán las conductas en el mundo digital y se estará mejor preparado para evitar ser víctimas de un ciberataque.
- El contexto: Son múltiples los factores que pueden influir en un momento determinado en las conductas humanas. El estrés, la fatiga, el aburrimiento o la realización de tareas complejas o repetitivas condicionan la capacidad de atención y de procesamiento de información recibida del entorno digital sin prestar la debida atención.
Pero además de estos factores existen unos sesgos cognitivos, pensamientos que hacen ver la realidad en base a ideas preestablecidas o que pasen por alto información importante, que pueden aumentar la vulnerabilidad ante los ciberataques:
- Responsabilidad delegada ante un riesgo: Las personas confían en la protección que tienen los dispositivos o cualquier tecnología y por eso tienden a delegar las responsabilidades de seguridad en estos. “Por ejemplo, cuando nos conectamos a una red de la empresa, navegamos por internet o pinchamos en un email estando en esta red tenemos mayor tranquilidad de estar bien protegidos, y por eso se tiende a estar menos atento”, explica la experta.
- Exceso de confianza: Cuanto más tiempo lleva una persona practicando un comportamiento inseguro sin ninguna consecuencia negativa, menos probable es que modifique este comportamiento. Así, se suele pensar que por entrar un minuto en una página de poca fiabilidad no va a pasar nada.
- Lo fácil siempre gana: la capacidad cognitiva para prestar atención a todos los estímulos del entorno es limitada. Para evitar saturar el sistema siempre se van a economizar todos los esfuerzos cognitivos. Según Sierra, “cuanto mayor sea el esfuerzo que percibamos que nos exigen las conductas de seguridad básicas en la red menos vamos a realizarlo. Esto condiciona por ejemplo que se elija preferentemente una contraseña sencilla de recordar antes que una robusta que nos previene de un posible acceso no deseado a nuestras cuentas, o tener una contraseña diferente para cada servicio frente a la facilidad de repetir la misma sin tener que memorizarlas ni custodiarlas”.
- Normas sociales: resulta natural y humano mostrar confianza hacia los demás, por ejemplo, cuando se comparten contraseñas con algún compañero, amigo o familiar.
Además de estos sesgos cognitivos, la falta de atención por sobreexposición es otro factor que puede influir. “Estamos expuestos a numerosos estímulos en el entorno digital, los mensajes de advertencia al entrar en páginas web, las ventanas emergentes o la publicidad masiva provoca que nos acostumbremos a su presencia y que pulsemos el botón ‘Aceptar’ de forma automática sin prestar atención a su contenido”, comenta Guadalupe Sierra. La experta añade la hiperconectividad como componente determinante: “Estar siempre conectado en todo momento y desde cualquier lugar se ha convertido en una necesidad y algo habitual, restando importancia a la seguridad de las redes a las que se está conectado o la privacidad de los datos que se estén manejando”.
Tal y como queda reflejado en algunos estudios, a estos factores cognitivos debemos sumar además otras diferencias individuales como los rasgos de la personalidad y los datos sociodemográficos que pueden influir en ser más propensos a los ciberataques. Por ejemplo, ser más extrovertido, la necesidad de agradar a otros o tener mayor facilidad para asumir riesgos son algunas características intrínsecas de las personas que pueden influir.
Los ciberdelincuentes conocen y saben aprovechar a la perfección las debilidades cognitivas que hacen que las personas sean más propensas y vulnerables a sus ciberataques. Y aunque existen factores que tienen que ver con el contexto o con características que se escapan a su control, conocerlos puede ayudar a cambiar comportamientos y hábitos que para estar más protegidos y preparados ante la ciberdelincuencia.