¿Por qué 'Behavioral Economics' es clave en el mundo de la ciberseguridad?
Los riesgos de ciberseguridad están cada día más presentes. Tanto es así que, según el World Economic Forum (WEF), es el riesgo más importante por probabilidad e impacto que no está asociado a desastres naturales. Una situación que no es nueva y por la que se lleva luchando de forma estructural desde hace más de dos décadas, con la aparición de los primeros ataques de 'phishing' .
Históricamente, la sociedad en general y las compañías en particular han tratado de defenderse de estos ciberataques usando los avances tecnológicos. La tecnología no solo es necesaria para mitigar el impacto de los ciberataques sino que es imprescindible para garantizar una base sólida para parar la mayoría de dichos ataques. Esta estrategía de protección la conocen bien los ciberdelincuentes y, por este motivo, están constantemente evolucionando para que sus ataques tengan éxito con la menor inversión posible. Y dado que la tecnología es, en muchos casos, difícil de vulnerar a un coste razonable, el foco está ahora en vulnerar a las personas.
“Es fundamental dirigir todos nuestros esfuerzos en evitar que los comportamientos humanos supongan una ventaja para los ciberdelincuentes, y la forma más efectiva es cambiando la cultura de las personas para que sepan manejar los riesgos a los que se exponen a través de buenos comportamientos”, afirma Roberto Ortiz, responsable global de Cultura y Formación en Seguridad de BBVA. Para el experto, la clave para afrontar esta situación es “aplicar la Economía del Comportamiento (‘Behavioral Economics’) como base fundamental para lograr un cambio eficiente y efectivo”.
Estadísticas como por ejemplo la del informe Escudos 2021 de la agencia española Exsel, evidencian este hecho: en la mayoría de los ciberataques, la puerta de entrada es un mal comportamiento o un error humano. Por lo tanto, para los ciberdelincuentes, las personas son un vector de entrada mucho más asequible que las vulnerabilidades en los sistemas a la hora de realizar ciberataques.
"Es fundamental dirigir todos nuestros esfuerzos en evitar que los comportamientos humanos supongan una ventaja para los ciberdelincuentes"
La economía conductual en escena
La principal técnica que utilizan los ciberatacantes es la ingeniería social en todas sus variantes, que no es más que una manipulación psicológica de las potenciales víctimas para que les proporcionen información o para que lleven a cabo acciones que normalmente no harían y así obtener beneficios a su costa.
Un ataque de ‘phishing’ es un buen ejemplo de cómo comportamientos humanos inadecuados son explotados a través de la ingeniería social por la delincuencia organizada. El ‘phishing’ aprovecha cualquier excusa (Black Friday, COVID-19, etc.) para hacer creer a la víctima que se trata de una comunicación legítima con el objetivo de conseguir credenciales, datos personales o incluso que se descargue un archivo con contenido malicioso sin que el usuario sea consciente del impacto de esa decisión. En la mayoría de las ocasiones, la víctima lleva a cabo estas acciones de forma automática, como tantos otros comportamientos que se realizan diariamente de forma inconsciente. Esto, en la mayoría de las ocasiones, es debido a algún sesgo cognitivo como por ejemplo, sobreconfianza , falta de atención o aversión a pérdidas, etc.).
“'Behavioral Economics’ es la ciencia que estudia la conducta humana desde el punto de vista cognitivo. Su objetivo es identificar las limitaciones y barreras cognitivas que tenemos las personas y que nos condicionan a la hora de crear juicios, evaluar alternativas y tomar decisiones que en ocasiones finalizan en comportamientos menos racionales”, explica Nuria Pesquera, responsable global de Behavioral Economics en BBVA . Esta ciencia “nos ayuda a entender las debilidades cognitivas que pueden tener las personas frente a un ciberataque y en base a las mismas, llevar a cabo los planes más efectivos de concienciación, formación y entrenamiento para dotarlas de herramientas que garanticen que toman la mejor decisión ante una ciberamenaza”. Pesquera destaca además que “no todas las personas tienen los mismos sesgos, y personalizar las acciones hace que el trabajo de los profesionales de la ciberseguridad sea más eficiente”.
Un ejemplo de esta problemática está en la habituación que se ha producido con el botón 'acepto las condiciones' o los mensajes de advertencia: el usuario se ha acostumbrado a que aparezcan, no les da ninguna importancia y confía en que no va a pasar nada por aceptarlo sin leerlo. Un caso curioso en torno a este tipo de sesgo se produjo ya en 2010, cuando más de 7.500 compradores vendieron su alma a una tienda de videojuegos. Algo parecido ocurre cuando de forma automática, como tantos otros comportamientos realizados diariamente de forma inconsciente, el usuario pincha sobre algún enlace recibido en correo electrónico o en un sms, técnicas muy habituales de los ciberdelincuentes para estafar.
A todo este contexto se le suma el aumento exponencial de la digitalización de la sociedad para obtener la tormenta perfecta. La hiperconectividad de las personas es una realidad. Las horas que una persona dedica a usar internet a través de cualquier dispositivo ha crecido drásticamente, así como la amplia variedad de productos y servicios ofrecidos por las empresas. En este nuevo paradigma, no todas las personas cuentan con las herramientas y el conocimiento necesarios para afrontar los riesgos a los que están expuestos en el mundo digital. Y es ahí donde tiene mucho que decir la Economía Conductual.
En próximas comunicaciones trataremos cómo la combinación de ambas disciplinas (ciberseguridad y Behavioral Economics) se integran para reducir la vulnerabilidad a los ciberataques, tratando de mitigar el error humano, identificando las principales sesgos que tienen las personas ante estos ataques y ejemplos concretos en los que se han trabajado con éxito.