Logo Computerworld University

El lenguaje de la tecnología

Escudo Computerworld University

El hacking psicológico: de la inocentada al delito informático

La ingeniería social o psicohacking aprovecha los mismos recursos utilizados en una broma el Día de los Santos Inocentes para atacar a una víctima de un ciberdelito

María Laura Mosqueda
María Laura Mosqueda, fundadora de TechHeroX

El 28 de diciembre se celebra el Día de los Santos Inocentes, un día para gastar bromas, las conocidas inocentadas, que tiene más relación con otras formas de engaño de la que cabría esperar. Una de ellas es el hacking psicológico, que actúa de la misma manera, sin programas sofisticados ni tecnología punta, y a veces ni siquiera con ordenador.

En estas fechas, cualquiera puede ser víctima de una de estas inocentadas, y funcionan mejor cuando se conoce la personalidad de la víctima, sus gustos o cómo va a reaccionar. Según explica María Laura Mosqueda, CEO y fundadora de TechHeroX “no tentaríamos con una moneda pegada al suelo al compañero que no suele moverse ni para levantar un boli, pero en cambio a tu cuñado que está ahorrando para su primer millón, sí”. Y esta estrategia también es aplicable al ámbito de la seguridad informática.

El "Psicohacking", término acuñado por Cristina López Tarrida, es, como ella misma explica, una mezcla de ataque y de ciencia que utiliza recursos psicológicos, habilidades sociales y conocimientos técnicos para hacer que una persona realice una acción o revele información que sin la influencia social no hubiera ni hecho ni revelado. El atacante consigue que las personas actúen de una forma voluntaria, quedándose además con la sensación de haber hecho lo correcto. Lo que se persigue es tener acceso a información confidencial, robar o suplantar identidades y/o escalar privilegios. Es el medio ideal para perpetrar un ataque mayor porque proporciona una puerta de acceso a la información de una empresa u organización, a priori más accesible de la que proporcionaría el hacking informático.

¿Es posible evitarlo? Desde TechHeroX explican que es importante entender cómo funcionan los atajos de nuestro cerebro, pues son muchos los sesgos cognitivos que nos llevan a juicios incorrectos y convertirnos en víctimas de ciberdelitos. Los más destacados serían los siguientes, aunque hay muchos más:

  • El sesgo del punto ciego o “eso no me va a pasar nunca a mí”, que provoca que nos confiemos demasiado.
  • El sesgo de disponibilidad o “esto me suena, seguro que es verdad” que se usa con titulares de actualidad, como la pandemia o el pago de impuestos como señuelo.
  • El sesgo de representatividad o “el mono gris y la caja de herramientas hace al técnico”, que facilita la entrada a extraños a áreas de información sensible.
  • El sesgo de confirmación o “yo tengo razón” que confirma lo que creemos y por ello cedemos sin ejercer resistencia.
  • El sesgo de anclaje o “la primera impresión es lo que cuenta” usada en ataques de phishing, por ejemplo, capaz de replicar una imagen corporativa muy conocida para usarla como pantalla.

Ser conscientes de estos “boicots mentales” y estar atentos ante cualquier anzuelo que provoque ira, enfado, miedo, curiosidad, compasión, morbo o urgencia para inducirnos a la acción o a revelar información, puede reducir los incidentes en ciberseguridad, que son ocasionados por una persona dentro de una compañía.

“El hacking tiene mucho más que ver con la psicología que con la tecnología”, cuenta María Laura Mosqueda, por eso “creemos que la formación en ciberseguridad y protección de datos tiene que ser diferente, en la que sea más importante el autoconocimiento que los tecnicismos, ya que el factor humano puede ser el mejor antivirus si lo haces consciente de sus propias vulnerabilidades”. Con la irrupción del teletrabajo, los ciberataques saltan del ordenador al móvil, y el riesgo, por extensión, a todos los dispositivos de la casa. Ha llegado el momento de integrar hábitos de seguridad personales. Jamás habíamos estado tan expuestos a una “inocentada” los 365 días del año.



Últimas Noticias



Registro:

Eventos: