1 204 Table of Contents 206 244

Seguritecnia 505

Opinión las interacciones cotidianas. Estos inci- dentes subrayan la interconexión de las medidas de seguridad cibernética y físi- ca, y el papel esencial que desempeñan las estrategias psicológicas en la salva- guarda de ambas. En un mundo en el que las líneas en- tre lo digital y lo físico se difuminan, la ciberseguridad conductual, la ingeniería social y sus implicaciones para la seguri- dad física serán un aspecto de obligado análisis por parte de los departamentos de seguridad. Ciberseguridad conductual La ciberseguridad conductual sugiere que las vulnerabilidades digitales a las que nos enfrentamos a menudo se de- rivan de comportamientos humanos pre- decibles y sesgos cognitivos (Hadnagy, 2018). La importancia de la ciberseguridad conductual se ve subrayada por el reco- nocimiento de que el error humano es un factor significativo en las brechas de seguridad. Por ejemplo, la tendencia a priorizar la comodidad sobre la seguri- dad conduce a comportamientos como la reutilización de contraseñas en múlti- ples plataformas o la selección de con- traseñas sencillas y fáciles de recordar (y de quebrantar). Estos hábitos crean vulnerabilidades sistémicas que pueden ser explotadas por los ciberatacantes (Acquisti, Brandimarte y Loewenstein, 2015). Además, sesgos cognitivos como el sesgo de optimismo (por el que los in- dividuos creen que corren menos riesgo de experimentar acontecimientos nega- tivos en comparación con otros) pue- den llevar a subestimar las amenazas a la ciberseguridad y a sobreestimar las medidas de ciberseguridad personales (Kahneman, 2011). Otro concepto importante será la vali- dación social, un fenómeno psicológico en el que las personas imitan las accio- nes de los demás en un intento de refle- jar el comportamiento correcto en una situación determinada. Los atacantes suelen utilizar la prueba social en los ataques de phishing elaborando men- sajes que parecen proceder de fuentes legítimas, aprovechándose así de los procesos de toma de decisiones heurís- ticos de la víctima (Cialdini, 2006). Para hacer frente a estas vulnerabili- dades, la ciberseguridad conductual se centra en el desarrollo de protocolos de seguridad y programas educativos basa- dos en conocimientos psicológicos. Esto incluye el diseño de interfaces de usua- rio que fomenten un comportamiento seguro, la creación de una formación en ciberseguridad más eficaz que tenga en cuenta la psicología humana y el empleo de la gamificación para mejorar el com- promiso y la retención del aprendizaje (Dhamija, Tygar y Hearst, 2006). Todo ello realizado desde el entendimiento del comportamiento humano real. Un humano que no lee las advertencias, un humano que piensa que no le ocurrirá a él, un humano estresado que no tiene tiempo de cambiar contraseñas, un hu- mano, en definitiva, muy humano. Ingeniería social La ingeniería social explota el eslabón más débil de cualquier sistema de segu- ridad: el elemento humano. A diferencia de los ciberataques basados en explo- tación de vulnerabilidades técnicas, los ataques de ingeniería social manipulan a los individuos para que comprometan voluntariamente la seguridad mediante el engaño, la persuasión y la manipu- lación psicológica (Mitnick & Simon, 2002). La ingeniería social aprovecha los ins- tintos humanos básicos (como la con- fianza, la autoridad y el deseo de ser útil) para engañar a las personas para que infrinjan los procedimientos normales de seguridad. Una táctica común es el co- nocido phishing , en el que los atacantes envían correos electrónicos fraudulentos imitando a organizaciones legítimas para engañar a los destinatarios para que re- velen información confidencial o descar- guen malware (Hadnagy, 2018). El éxito del phishing depende en gran medida de la explotación de sesgos cognitivos, como el principio de escasez, según el cual es más probable que los individuos actúen si creen que pueden perder una oportunidad limitada (Cialdini, 2006). Otra táctica, el pretexting, consiste en crear un escenario inventado (el pretex- to) para captar a una víctima objetivo de forma que aumente la probabilidad de revelar información o conceder acceso a recursos restringidos. Este método suele basarse en la construcción de una historia creíble que requiere una inves- tigación exhaustiva de los antecedentes y un profundo conocimiento del contex- to personal u organizativo del objetivo (Gragg, 2003). Los baiting attacks , de forma similar, prometen a la víctima una recompensa En la ciberseguridad conceptual, el error humano es un factor significativo en las brechas de seguridad / Enero-Febrero 2024 197

RkJQdWJsaXNoZXIy MTI4MzQz