¿Por qué la gente pincha en enlaces maliciosos? Esta es una de las preguntas más recurrentes sobre ciberseguridad, ya que es uno de los comportamientos más habituales por parte de los usuarios que aumenta el riesgo de ataque en las organizaciones.
En España hacer clic en estos links o descargar archivos comprometidos se sitúa como la vulnerabilidad humana más común para un 47% de los CISOs y CSOs encuestados por Proofpoint a finales del año pasado.
“Todavía hay quien piensa que los ciberdelincuentes son esos individuos algo siniestros que se atrincheran en un sótano oscuro, delante de su ordenador, para confabular contra el mundo y romper la seguridad de grandes empresas. Pero lo cierto es que detrás de la mayoría de los ataques hay un error humano”, aclara Andrew Rose, CISO interno de Proofpoint en la región de EMEA. “La tecnología es hoy lo bastante eficaz como para resistir los ataques, por lo que los atacantes han decidido centrarse en el eslabón más vulnerable: los usuarios”.
En Proofpoint se ha constatado que el 94% de los ciberamenazas comienza a través del correo electrónico, y más del 99% requiere de la interacción humana para activar y habilitar ataques.
Se han visto infinidad de casos de phishing relacionados con fortunas en el extranjero, suscripciones a Netflix o retrasos en mensajería, por lo que la compañía especializada en ciberseguridad y cumplimiento normativo ve conveniente investigar acerca de las técnicas y la psicología de estos ataques en profundidad. Según Rose, “esto permite conocer las razones por las que siguen siendo efectivos, pese a que los atacantes recurren una y otra vez a los mismos clichés como cebo y a toda la inversión que hacen las organizaciones en formación y concienciación de seguridad a sus empleados”.
Las intenciones de los atacantes
Para entender de qué manera los ciberdelincuentes intentan conseguir sus objetivos, hay que observar en primer lugar cómo estos explotan el factor humano. Existen tres principales métodos con los que los atacantes buscan llevar la ventaja, es decir, qué hacen para que el usuario ejecute un código, entregue sus credenciales, o bien haga una transferencia directa de dinero o datos.
Recientemente se ha visto una tendencia al alza de añadir más complejidad a los ataques, en un intento de poner cierta distancia entre el correo electrónico inicial y el malware, para tratar de eludir su detección. Aun así son ataques que necesitan una acción por parte del usuario, ya que de ello dependerá su éxito o fracaso. El ser humano es en sí mimo el objetivo de ataque.
“Lo que persiguen los ciberdelincuentes es que los empleados de distintas organizaciones se olviden de todo lo que han aprendido sobre ciberseguridad y tomen una mala decisión que les ayude a avanzar en su intento de ataque. Para ello se aprovechan de factores como las emociones, la confianza o, incluso, el cansancio que tienen esos usuarios”, afirma el experto de Proofpoint.
No es de extrañar, por tanto, que el día en que suelen producirse más ataques contra organizaciones sea el viernes por la tarde, ya que los atacantes tienen todo el fin de semana por delante para explotar accesos, mientras que la empresa víctima funciona con una menor vigilancia. Los usuarios son más propensos a cometer fallos cuando están más cansados, y qué mejor momento que atacarlos después de una dura semana. De hecho, cuando se está más fatigado, el cerebro delega cualquier elección simple a funciones cerebrales más bajas y automatizadas, como así ocurre cuando se coge el coche para volver a casa después de un largo día de trabajo.
Después de haber leído miles de emails, puede que el usuario reaccione de manera diferente ante un correo con un archivo adjunto malicioso. Desde Proofpoint comentan que esto tiene que ver con la amígdala cerebral que provoca una reacción en tiempo real y apenas es capaz de evaluar el contexto de una situación, algo fundamental a la hora de identificar un mensaje fraudulento. También entra en juego el que muchos atacantes «agobian» a la posible víctima con falsas alarmas hasta que terminan por “insensibilizarla” para lanzar entonces el verdadero ataque.
La confianza, en el punto de mira
Otra de las palancas en las que se basan los atacantes es la confianza que, a su vez, sirve de atajo en el cerebro humano en la toma de decisiones. Si el usuario ve una marca o persona de su confianza, el mensaje adquiere mayor credibilidad y el umbral necesario para que interactúe se reduce. “Esa es la razón por la que circulan emails fraudulentos supuestamente en nombre de compañías como DHL o Amazon, por citar algunos ejemplos. A los ciberdelincuentes les gusta apoderarse de esa confianza depositada en terceros, y lo hacen comprometiendo cuentas de personas conocidas en una determinada empresa para luego utilizarlas para fines maliciosos. Si recibes el correo electrónico de alguien de tu empresa, es mucho más probable que hagas clic en él que si te llega de un remitente extraño. Y lo mismo ocurre con la ubicación del malware”, comenta Rose.
En Proofpoint aseguran que los usuarios son cuatro veces más propensos a hacer clic en enlaces maliciosos si dirigen a Microsoft SharePoint, y diez veces más si lo hacen a Microsoft OneDrive. Los atacantes se fijan en estos comportamientos, de ahí que coloquen el malware en sitios que den confianza a las potenciales víctimas.
Pero, por encima de todo, están las emociones. Existen dos sistemas de pensamiento bien diferenciados en constante lucha: por un lado, el emocional e intuitivo y, por otro, la lógica racional. El cerebro emocional es increíblemente poderoso, actúa rápido y a menudo proporciona una recompensa inmediata. En cambio, el cerebro racional necesita tiempo y esfuerzo para llevar a la persona a tomar mejores decisiones y más estratégicas. Esto no resulta en absoluto ajeno a los ciberdelincuentes, quienes se empeñan en provocar respuestas emocionales que lleven a sus usuarios objetivo a tomar decisiones ligeras, dejando a un lado el pensamiento racional, que aumenten la probabilidad de hacer clic en un enlace malicioso.
Algunos de los mensajes que desencadenan esas respuestas emocionales rápidas llaman la atención al usuario alertando de que su cuenta en Netflix va a ser cancelada, el paquete que espera va a ser devuelto o que un pago ha sido rechazado. En estos asuntos la parte racional del cerebro no suele actuar al momento y, por eso, el usuario termina haciendo clic sobre el correo fraudulento.
Desde las organizaciones es importante preparar a los profesionales para que sepan hacer frente a los ataques. En primer lugar, haciéndoles ver que los atacantes se dirigen específicamente a sus emociones y que las partes menos racionales del cerebro toman el control cuando uno está más cansado o distraído. “Los empleados tienen que desconfiar inmediatamente de aquellos correos electrónicos que susciten una respuesta emocional y, cuanto más fuerte sea el impulso, deben ser aún más cuidadosos y reflexivos. Hay que permanecer en alerta , pero también hay que impulsar que los usuarios verifiquen por otros canales y medios la solicitud de esos emails ante la menor sospecha. Al final, lo importante es recordar que la ciberdelincuencia no es más que un delito y, como tal, trata de aprovecharse de las personas”, concluye el experto de Proofpoint.
La compañía insta a las empresas a centrarse en las personas como su principal línea de defensa, recordando que los atacantes se dirigen a estas y no a la tecnología, ya que podrán protegerse mejor. Cada usuario tiene el poder de dejar o no que el atacante manipule sus emociones y abuse de su confianza. No obstante, tiene que actuar de forma precavida, consciente y reflexiva cuando lea correos electrónicos, buscando cualquier desencadenante emocional y verificando la solicitud para evitar hacer clics no deseados.
Me interesa
- Los 10 ciberataques de phishing en los que más suelen «picar» los empleados
- ¿Qué es el Spear Phishing?
- Los 6 errores más comunes que comprometen la seguridad de las empresas y cómo prevenirlos
- 10 buenas prácticas para navegar seguros por Internet
- De los datos personales a la ciberguerra: nuevos modelos para mejorar la ciberseguridad.