“Hackeo” psicológico
Póngase en guardia ante engaños que utilizan los ciberdelincuentes para obtener de sus víctimas acceso a información confidencial.
El jaqueo psicológico es una forma de engaño que permite cometer un ciberdelito “sin programas sofisticados ni tecnología punta, y a veces ni siquiera con ordenador. EFE/EPA/CIRO FUSCO
Muchas veces los ciberdelicuentes utilizan recursos digitales complejos para “hackear” nuestros ordenadores y dispositivos aprovechando las vulnerabilidades de esos sistemas informático, pero en otras ocasiones se introducen de forma no autorizada en nuestros equipos y cuentas de Internet, aprovechando las vulnerabilidades de nuestra propia psicología.
Utilizan el denominado “psicohacking”, “hacking psicológico” o “hackeo” psicológico, una modalidad delictiva que consiste en una mezcla de ataque y de ciencia que utiliza recursos psicológicos, habilidades sociales y conocimientos técnicos para hacer que una persona efectúe una acción o revele información que, sin esa influencia social, no hubiera efectuado ni revelado.
Mediante esta modalidad, que la analista de operaciones de influencia y desinformación Cristina López Tarrida describe como una forma de ingeniería social.
“El atacante consigue que las personas actúen de forma voluntaria y con la sensación de haber hecho lo correcto”, señala por su parte María Laura Mosqueda, directora ejecutiva (CEO) y fundadora de TechHeroX.
Esta compañía (www.techherox.com/es) de EdTech (tecnología educativa) ayuda a las empresas a formarse en diferentes ámbitos, entre ellos la ciberseguridad, por medio de microhistorias formativas “que le gustan a la gente y que los profesionales reciben a través de una aplicación (app) móvil”, indica.
Para esta experta, el “hackeo” psicológico es una forma de engaño que permite cometer un ciberdelito “sin programas sofisticados ni tecnología punta, y a veces ni siquiera con ordenador”.
“El “psicohacking” busca robar o suplantar identidades y tener acceso a información confidencial y recursos protegidos de más alto nivel, y es el medio ideal para perpetrar un ataque mayor porque proporciona una puerta a la información de una empresa u organización, a priori más accesible de la que proporcionaría el “hacking informático” convencional”, según Mosqueda.
Explica que este “hackeo” “se relaciona más con la psicología que con la tecnología”, por lo que la formación en ciberseguridad y protección de datos incluya el autoconocimiento personal, ya que el factor humano puede ser el mejor antivirus si uno se hace consciente de sus propias vulnerabilidades”.
En este sentido, y “para evitar ser víctimas de ciberdelitos mediante estos sistemas necesitamos entender cómo funcionan nuestros sesgos cognitivos, aquellas interpretaciones erróneas o distorsionadas de la información, que nos llevan a procesar los pensamientos, emitir juicios y tomar decisiones de forma incorrecta, inexacta o ilógica”, según Mosqueda.
“Es importante estar atentos a cualquier “anzuelo” que provoque ira, enfado, miedo, curiosidad, compasión, morbo o urgencia, para inducirnos a actuar o a revelar información y ser conscientes de los sesgos cognitivos” indica a Efe, describiendo algunos de los “boicots mentales” para no caer en la trampa que nos tienden.
SESGO DEL PUNTO CIEGO.
“El denominado sesgo del punto ciego es un sesgo cognitivo por el cual no nos damos cuenta de nuestros propios prejuicios o nos creemos mejor que los demás, lo que provoca que nos confiemos demasiado”, según Mosqueda.
Un ejemplo es nuestra actitud frente a nuestra ciberseguridad que se ve reflejada en el pensamiento de “eso a mí nunca me va a pasar” y que se aplica en este correo electrónico:.
“Hola,
Mi nombre es Armando, nos conocimos el pasado jueves en las XXII jornadas de inteligencia artificial. Me comentaste que estabais buscando un técnico superior en esta materia. Te envío mi Curriculum vitae (CV) por si os puede interesar mi perfil.
Un saludo, Armando”
“La persona que recibe ese email no se acuerda de Armando, pero como estuvo en aquellas jornadas, fue uno de los ponentes y saludó a más de cien personas, entonces abre el archivo Word que contiene su CV y ¡Zas! Cae en el engaño”, señala la experta.
SESGO DE DISPONIBILIDAD.
“Este otro sesgo representado en la idea “esto me suena, seguro que es verdad”, se usa en ciberdelincuencia con titulares de actualidad, como la pandemia o con el pago de impuestos como señuelo”, según Mosqueda.
Señala que es uno de los recursos de “psicohacking” más usados en ciberdelincuencia y nos impulsa a recordar mejor la información que nuestro cerebro ha almacenado recientemente, por ejemplo, las noticias relacionadas con el coronavirus.
“Imagina que recibes en tu email corporativo un correo del departamento de Recursos Humanos pidiéndote que hagas clic en un enlace para pedir una cita para la prueba de covid-19 antes de incorporarte físicamente a las oficinas. ¿Sospecharías?”, señala.
SESGO DE REPRESENTATIVIDAD.
Esta otra distorsión cognitiva, que se refleja en la idea de que “el uniforme gris y la caja de herramientas hacen al técnico”, facilita la entrada de extraños a áreas de información sensible, de acuerdo a la CEO de TechHeroX.
Señala que este sesgo se produce cada vez que clasificamos en una categoría social a una persona, por el simple hecho de tener atributos que pertenecen al prototipo de esa categoría.
“Esto sucedió hace años en un congreso internacional sobre el sida con unos jóvenes e inocentes ayudantes que repartieron, sin levantar sospechas, unos dispositivos USB con presunta información sobre la enfermedad”, recuerda.
“Sus víctimas desconocían que en realidad esos dispositivos USB contenían un “malware” (programa malicioso) que cifraba su disco duro, y que luego los hackers usarían para secuestrar los archivos y pedir dinero a cambio de liberarlos”, explica Mosqueda.
SESGO DE ANCLAJE.
Este sesgo basado en que “la primera impresión es lo que cuenta”, representa nuestra tendencia a sobrevalorar una pieza inicial de información, estableciéndola como base para realizar juicios posteriores”, describe Mosqueda.
Indica que suele usarse en el “phishing”(engañar a las personas para que compartan información confidencial), por ejemplo replicando una imagen corporativa conocida para usarla como ‘anzuelo’.
Recuerda que una gran compañía sufrió un ciberataque de este tipo que pasó inadvertido durante tres meses, y para el cual los “hackers” enviaron un correo a sus empleados, con un link a una página idéntica a la de una multinacional informática, para que cambiaran su contraseña.
“Muchos mordieron el anzuelo y, al cambiar la clave, les abrieron las puertas a sus bases de datos y a toda su información”, lamenta.
