Si la primera puede desarrollar técnicas más efectivas para influir en la toma de decisiones de los colaboradores y estrategias para contrarrestar ataques cibernéticos que explotan debilidades cognitivas; la segunda, podría ayudar a predecir quiénes serán los colaboradores que serán víctima de estos delitos.
En la actualidad, no existe una industria que no tenga el riesgo de ser víctima de phishing u otra amenaza asociada al ciberespacio. En 2022, las tres más afectadas fueron la industria financiera con un 23,6% de ataques, las empresas que ofrecen soluciones SaaS y WebMail con un 20,5% y la industria del retail con un 14,6%, según el Grupo de Trabajo Anti Phishing (APWG, por sus siglas en inglés). Si se considera a las personas, uno de cada cuatro trabajadores ha hecho clic en un correo electrónico de phishing, indican las cifras de TESSIAN Research.
“El phishing ha sido y es la amenaza más utilizada por los delincuentes para cometer delitos cibernéticos. Desde una mirada económica, cuando el negocio es lucrativo, atractivo y con un buen retorno, continuará creciendo, tanto así que muchas personas que están en el negocio del narcotráfico están moviendo sus dineros a esta amenaza, que ya puede ser considerada una industria”, señala José Antonio Lagos, profesor del diplomado en Ciberseguridad de UEjecutivos de la FEN U. de Chile.
Al realizar ejercicios de ethical phishing, las unidades de negocios que más veces son víctimas son las áreas de desarrollo con un 13%; compras, investigación, mantenimiento y calidad, con un 12%; y administración, logística y ventas con un 10%, según la empresa de seguridad Proofpoint.
Contrario a lo que se cree, “las áreas de seguridad de la información y tecnologías de información, poseen un 8% y 7%, respectivamente, de ratios de falla, siendo víctimas de este tipo de ejercicios. Se podría imaginar que tienen una mejor cultura en ciberseguridad y mejor capacidad para poder detectar correos falsos, pero las estadísticas no reflejan eso”, sostiene Lagos.
Neurophishing y machine learning
Los ejercicios de ethical phishing son una técnica de ingeniería social, que se utiliza para obtener información de manera fraudulenta y detectar a los usuarios más vulnerables. Una alternativa que ha surgido tanto para mejorar su efectividad, pero también su detección es la neurociencia, que “puede ser una herramienta valiosa para la ciberseguridad”, asegura Lagos.
En términos simples, la aplicación de la neurociencia a los ejercicios de ethical phishing y, por ende, a la ciberseguridad, que se denomina neurophishing, se focaliza en comprender cómo funciona el cerebro humano y la toma de decisiones ante los ataques cibernéticos, explotando las debilidades cognitivas, como la tendencia a confiar en la autoridad o la falta de atención.
El neurophishing tiene implicancias indirectas en la seguridad de la información y ciberseguridad, para la prevención del phishing. “Aprovecha los mecanismos del cerebro humano para influir en la toma de decisiones y en la percepción del riesgo de los colaboradores, además se basa en la idea de que el cerebro humano está programado para responder a ciertos estímulos y tomar decisiones rápidas y automáticas en situaciones de emergencia”, indica Lagos.
¿Qué factores determinan que una persona no distinga un correo real de uno falso? Lagos señala que los aspectos que pueden hacer que las personas tomen malas decisiones, o cometan errores, se relacionan con el tipo de personalidad, la aversión al riesgo, el tecnostress, la susceptibilidad hacia el phishing, la propia capacidad de detección del phishing, la motivación, el clima laboral, el nivel de awarness de los colaboradores y la fatiga en ciberseguridad, entre otros.
Si la organización conoce estos factores, podría generar un modelo a la medida con el uso de machine learning, para determinar las características de las personas que han sido víctimas de phishing.
“En este caso, la utilización de machine learning, específicamente de algoritmos supervisados, como la propia regresión logística, redes neuronales, o árboles de clasificación, nos permitirá desarrollar el modelo más eficiente, y podrá predecir qué colaboradores serán víctima de este tipo de ejercicios. Con esta información, las organizaciones podrían tomar medidas más directas y focalizadas, para tratar el phishing”, asegura Lagos.
Junto a ello, si se considera que el 43% de las personas comete errores en el trabajo que compromete la ciberseguridad, según cifras de TESSIAN Research, el neurophishing puede ayudar a desarrollar técnicas de autentificación más seguras, sistemas de detección de fraude más efectivos y estrategias para contrarrestar ataques cibernéticos que explotan debilidades cognitivas, explica Lagos.
www.dcs.uchile.cl
Departamento de Control de Gestión y Sistemas de Información
Universidad de Chile, Facultad de Economía y Negocios
Equipo Prensa
Portal Innova