Según el grupo de trabajo de AntiPhishing, más conocido como APWG por sus siglas en inglés, el año 2022 las industrias más afectadas por la amenaza de Phishing fueron la industria financiera con un 23,6%, las empresas que ofrecen soluciones SaaS y WebMail con un 20,5% y la industria del retail con un 14,6%, solo por mencionar las 3 primeras, aun cuando todos sabemos que no hay industria que no tenga el riesgo de ser víctima de esta u otra amenaza asociada al ciber espacio.
Por otro lado, según la empresa proofpoint, las unidades de negocio que más veces han sido víctimas de ejercicios de ethical Phishing, son las áreas de desarrollo con un 13%, compras, investigación, mantenimiento y calidad con un 12%, y las unidades de administración, logística y ventas con un 10%. Es Importante mencionar, que las áreas de seguridad de la información poseen un 8% y las de tecnologías de información un 7% de ratios de falla o, mejor dicho, de víctimas de este tipo de ejercicios. A pesar de que inicialmente uno creería que estas podrían tener una mejor cultura en ciberseguridad y una mejor capacidad para poder detectar correos falsos, pero las estadísticas no reflejan eso.
La pregunta es: ¿por qué el Phishing ha sido y es la amenaza más utilizada por los delincuentes para cometer delitos cibernéticos? Quizás, y desde una mirada económica, cuando el negocio es lucrativo, atractivo y con un buen retorno, continuará creciendo, tanto así que muchas personas que están en el negocio del narcotráfico están moviendo sus dineros a esta industria, que al parecer es bastante lucrativa.
Si estuviéramos realizando un análisis de las fuerzas de Porter, veríamos que las barreras de entrada de nuevos actores prácticamente no existen. Hoy, una persona sin conocimientos podría crear un phishing por medio de un video en youtube.
Esta columna tiene la finalidad de explicar y entender la relación que existe entre la neurociencia y los ejercicios de phishing. Tratando de buscar la conexión, podríamos mencionar que la neurociencia se enfoca en el estudio del sistema nervioso y su función, por otro lado, los ejercicios de ethical phishing son una técnica de ingeniería social que se utiliza para obtener información de manera fraudulenta. En este sentido, el punto de intersección es que la neurociencia tiene implicancias indirectas en la seguridad de la información y ciberseguridad por medio de la prevención del Phishing.
A nivel general, la aplicación de la neurociencia a la ciberseguridad se puede focalizar en comprender cómo funciona el cerebro humano y la toma de decisiones. Por otro lado, también es un foco de comprensión de cómo los ataques cibernéticos afectan la mente humana, explotando las debilidades cognitivas, tales como la tendencia a confiar en la autoridad o la falta de atención. La neurociencia puede ser una herramienta valiosa para la ciberseguridad, ya que puede ayudar a desarrollar técnicas de autentificación más seguras, sistemas de detección de fraude más efectivos y estrategias para contrarrestar ataques cibernéticos que explotan debilidades cognitivas.
Finalmente, el neurophishing aprovecha los mecanismos del cerebro humano para influir en la toma de decisiones y en la percepción del riesgo de los colaboradores, además se basa en la idea de que el cerebro humano está programado para responder a ciertos estímulos y a tomar decisiones rápidas y automáticas en situaciones de emergencia. Las técnicas más utilizadas para que las personas hagan click a un correo electrónico falso, son la utilización de imágenes impactantes, el sentido de urgencia, el sentido de autoridad, la confianza, la curiosidad y el llamado a la acción.
La sicología del error humano nos dice que todos cometemos errores, que los errores pueden ser de carácter intencional y no intencional, y que aquellos de carácter intencional deben tratarse y gestionarse en una zona maliciosa, lo cual terminará en resultados negativos. Aquellos errores no intencionales, deben ser tratados en la zona de la negligencia, donde un comportamiento no deseado o accidental, conduce a resultados negativos también.
Pero ¿por qué los colaboradores muchas veces erramos en la distinción de un correo real o una falso? Antes de contestar o intentar responder esta difícil pregunta, observemos otros datos estadísticos realizados por TESSIAN Research, que mencionan que 1 de cada 4 trabajadores ha hecho click en un correo electrónico de Phishing en su trabajo, el 57% de los empleados se distraen cuando trabajan desde casa, 1 de cada 5 empresas han perdido clientes después de enviar un correo electrónico equivocado, 43% de las personas han cometido errores en el trabajo que comprometía la ciberseguridad y por último, más del 50% de los trabajadores comente errores cuando están cansados.
Una revisión rápida de la literatura menciona que hay distintos aspectos que pueden hacer que las personas tomemos malas decisiones, o errores, o que simplemente no podamos distinguir entre un correo real y uno falso. Dentro de estos elementos encontramos los siguientes: El tipo de personalidad, la aversión al riesgo, el tecnostress, la susceptibilidad hacia el phishing, la propia capacidad de detección del phishing, la motivación, el clima laboral, el nivel de awarness de los colaboradores y la fatiga en ciberseguridad, entre los más importantes.
A modo de ejemplo, si conocemos el tipo de personalidad, el nivel de susceptibilidad, la aversión al riesgo y todos los factores mencionados, lo cual es posible hacer por medio de una aplicación de encuestas y posterior validación, podríamos generar un modelo a la medida de la organización y saber por ejemplo las características de las personas que han sido víctimas de phishing. Por ejemplo: Phishing de autoridad, hipotéticamente realizando una regresión logística, se podría concluir que son personas de personalidad abierta, con alta aversión al riesgo, baja capacidad de detección y alto nivel de fatiga en ciberseguridad.
En este caso, la utilización de machine learning, específicamente de algoritmos supervisados como la propia regresión logística, redes neuronales, árboles de clasificación, nos permitirá obtener cual es el modelo más eficiente y, lo más importante, poder predecir quienes serán los próximos colaboradores víctimas de este tipo de ejercicios. Con esta información, las organizaciones podrán tomar medidas mucho más directas y focalizadas, tratando el real problema del phishing, en este caso, el error no intencional de los colaboradores.
Jose Lagos
Managing Partner and CEO