CIBERSEGURIDAD

El riesgo invisible

Si no ha visto este video sobre la atención, hágalo, solo dura un minuto.

El video es de Christopher Chabris y Daniel Simons, ambos autores del libro «The Invisible Gorilla ”, en el que revelan las numerosas formas en que nuestras intuiciones pueden engañarnos.

En esencia, al igual que reaccionamos al video anterior, nos damos cuenta de que nuestras mentes no funcionan como pensamos. Creemos que nos vemos a nosotros mismos y al mundo como realmente son, pero en realidad nos estamos perdiendo mucho.

En su mayor parte, nuestros cerebros no procesan muy bien el caos. Entonces, nuestros cerebros intentan tomar cualquier información dada y convertirla en algo con lo que nos sentimos cómodos y familiarizados.

Es posible que haya visto frases como esta en Internet:

Y0UR M1ND 15 R34D1NG 7H15 4U70M471C4LLY W17H0U7 3V3N 7H1NK1NG 4B0U7 17.

Ese es su cerebro agregando orden y familiaridad a una cadena de letras y números que de otro modo sería aleatoria.

Durante los escáneres cerebrales, los investigadores han descubierto que si escuchamos un sonido que nos lleva a sospechar fuertemente que otro sonido está en camino, el cerebro actúa como si ya estuviéramos escuchando el segundo sonido.

En psicología, la ley del cierre explica nuestra tendencia a formar conexiones imaginarias entre cosas que de otro modo están separadas.

Por ejemplo, en la imagen de arriba, hay fotos alternas de mi colega Erich y yo. Es probable que veas columnas alternas de Erich y yo más fácilmente que filas de fotos individuales alternas.

Las conexiones más fuertes que podamos hacer entre elementos (como entre fotos similares o incluso idénticas), menos caóticas parecerán en su conjunto.

Los delincuentes también saben esto y entienden el poder de estafar o defraudar a las personas simplemente creando un ambiente de familiaridad.

Por ejemplo, en caso de compromiso de correo electrónico empresarial (BEC) o fraude de CEO, un delincuente que se hace pasar por el CEO u otro ejecutivo senior le pedirá al departamento de finanzas que realice un pago a un nuevo tercero. Este ataque tiene una mayor probabilidad de tener éxito si el correo electrónico imita el estilo o el tono del director ejecutivo genuino. Al hacerlo, los atacantes a menudo pueden cegar al destinatario a las señales de advertencia que pueden ser tan evidentes como el gorila en el video.

Recientemente, el BBC informó que dos hombres nigerianos fueron arrestados por una estafa alemana de PPE. Los delincuentes clonaron el sitio web de una empresa holandesa para obtener un pedido de un estado alemán por valor de 2,3 millones de dólares. Cuando el PPE no apareció, un representante del gobierno alemán visitó las oficinas de la compañía en los Países Bajos, solo para que le dijeran que nunca habían hecho negocios con ellos.

Al igual que el invisible gorila, una vez que sepa buscarlo, es fácil ver señales de advertencia reveladoras. Tal vez el sitio web tenía errores de ortografía, tal vez la URL era diferente o tal vez los detalles de la cuenta bancaria parecían sospechosos.

El punto es que, a menos que las personas sean conscientes de las amenazas potenciales y las técnicas que utilizan los estafadores y delincuentes, hay pocas posibilidades de que se den cuenta de las amenazas que se presentan a simple vista.

En marzo de 2020, el Departamento de Policía de la ciudad de Oklahoma compartió imágenes de CCTV de un delincuente que entró en una tienda de conveniencia con una camisa con el logotipo de la tienda y convenció al empleado de la tienda de que estaba allí para hacerse cargo de su turno.

Una vez detrás del registro, continuó revisando a los clientes durante varios minutos antes de cerrar la puerta y robar todo el dinero, los puros y los boletos de lotería.

Es la manifestación física de un ataque de phishing en el que la amenaza fue invisible. Los empleados de las tiendas suelen estar atentos a las personas que puedan estar robando o blandiendo un arma. Incluso están acostumbrados a buscar dinero falso, pero pocos han sospechado alguna vez que un criminal entraría descaradamente alegando ser un empleado.

Si no sabe lo que está buscando, no lo va a encontrar. Sin embargo, tampoco basta con decirle a la gente sobre las amenazas. Hay que reforzar la conciencia con un entrenamiento real que ponga a las personas en situaciones incómodas para condicionarlas a reaccionar de forma positiva.

Para ilustrar el punto, terminemos echando otro vistazo a una variación de la invisible prueba del gorila y fíjate si completas el ejercicio de manera diferente o si tu cerebro normaliza la escena.

Esta es la razón por la que la formación continua de concienciación sobre seguridad es importante y debe impartirse de forma que capte la atención del destinatario sin que su cerebro normalice el mensaje hasta el punto en que el gorila, o en nuestro caso, la amenaza, se convierta en invisible.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar