La Psicología del Cibercrimen

Un buen criminal necesita saber qué hace que la gente funcione. Hay una gran cantidad de psicología involucrada en las actividades delictivas, especialmente cuando se trata de establecer contacto con víctimas potenciales.

Muchos ataques cibernéticos tienen éxito porque los ciberdelincuentes hacen un mal uso de la interacción humana en línea. Por ejemplo, los ciberdelincuentes envían facturas falsas para recuperar contraseñas o mensajes de texto falsos de un servicio de paquetería para engañar a las víctimas sin dinero. Por lo tanto, los humanos suelen ser el eslabón débil. Los ciberdelincuentes lo saben cómo ningún otro y utilizan tácticas psicológicas para engañar a las víctimas; también llamamos a esto ingeniería social.

Pero, ¿por qué la gente hace clic en enlaces peligrosos en masa, cuando conocemos los riesgos? ¿Y por qué somos tan rápidos en dar nuestra información confidencial a los ciberdelincuentes? Según el investigador del comportamiento Robert Cialdini, hay seis principios universales de influencia que determinan el comportamiento humano. Los ingenieros sociales utilizan estos principios de influencia para manipular a sus víctimas potenciales e inducir ciertos comportamientos. Los seis principios de influencia son: reciprocidad, consenso, coherencia, simpatía, autoridad y escasez.

Segunda Ley de Willems

En mi libro ‘Cyberdanger’ (2019, Springer, versión actualizada en inglés de la edición original flamenca ‘Cybergevaar’ publicada en 2013 y también disponible en alemán ‘Cybergefahr’) siempre describí que cualquier problema o problema de ciberseguridad es el resultado directo de una combinación de factores tecnológicos y humanos. La mayoría de los malware y ciberataques no tendrían ninguna oportunidad sin ingenuidad, curiosidad u otras debilidades humanas, como los seis principios establecidos en este artículo.

En mi libro se describe como la (Segunda) Ley de Willems: CSP = TF x MF

Donde CSP significa un problema de ciberseguridad, TF para el factor tecnológico (malware, vulnerabilidad, exploit, etc.) y MF para el factor humano (comportamiento humano).

Los seis principios de influencia

  1. El principio de reciprocidad significa que las personas se sienten en deuda de alguna manera con alguien que ha hecho algo por ellos o les ha ofrecido o dado algo sin esperar explícitamente un retorno. Un posible ejemplo es el enfoque del Buen Samarithan. Imagínese un escenario en el que recibe un mensaje en el trabajo que indica que hace algo que hizo, se causó un problema realmente importante. Pero el remitente afirma «querer mantener esto en silencio» con la esperanza de «resolver la situación sin involucrar a la alta dirección». Aquí es donde entras tú. Es posible que luego se le pida que haga algo, como iniciar sesión en un supuesto sitio web interno con sus datos de inicio de sesión. Entonces, en lugar de dejar que el supuesto problema te explote en la cara, este «buen samaritano» (que en realidad es un criminal) se ha tomado un tiempo de su día para advertirte y ofrecerte una salida a algo que podrías percibir como una vergüenza o incluso una amenaza para terminar con tu carrera. Si esto no crea deuda moral con esa persona, no sé qué lo hace.
  2. Otro principio es el consenso. Cuando las personas no están seguras, tratan de encontrar a otros que les ayuden a formular una opinión. Incluso si están seguros de sus convicciones, las opiniones de consenso pueden ser muy persuasivas. Por ejemplo, cuando hay un desastre, los ciberdelincuentes a menudo se hacen pasar por organizaciones benéficas para recolectar donaciones. Hemos visto esto más recientemente a raíz de la guerra en Ucrania.
  3. El principio de coherencia se basa en el hecho de que nos gusta actuar de manera coherente con nuestros puntos de vista anteriores. A través del compromiso, sentimos una cierta presión para comportarnos de cierta manera. ¿No es así? Si no, nos sentimos incómodos. La mayoría de las personas valoran la integridad debido a esto. Admiramos la honestidad y la fiabilidad en los demás, y tratamos de poner esto en práctica en nuestras propias vidas. Los ciberdelincuentes se aprovechan de esto haciéndose pasar por gerentes de TI y diciendo que necesitan que realices ciertas acciones (como ingresar tus credenciales de acceso en un sitio web interno falso, o descargar y ejecutar un archivo), supuestamente por seguridad cibernética, lo que luego les da fácil acceso a la red.
  4. Simpatía: Los ciberdelincuentes a menudo usan sus encantos. Al parecer comprensivos por teléfono, intentan que las víctimas cumplan con una solicitud de proporcionar información confidencial. Aquí radica el problema: los criminales parecen personajes muy simpáticos con los que quieres chatear.
  5. A veces también juegan con el principio de autoridad enviando un correo electrónico falso de un CEO, por ejemplo, pidiéndole que «solo» transfiera una factura por € 15,000. La gente tiende a cumplir, ya que la solicitud supuestamente proviene de una persona de alto rango. Otro ejemplo clásico: delincuentes que afirman escribirle en nombre de su banco, declarando que para cumplir con las nuevas regulaciones de seguridad debe «verificar» su información a menos que desee arriesgarse a que su cuenta sea suspendida / cancelada.
  6. El último principio es la escasez. Cuando las personas tienen la idea de que o bien un determinado artículo en una tienda web es escaso o que el tiempo para responder a una determinada solicitud es muy escaso, están más dispuestos a cumplir. Un ejemplo son los correos de phishing supuestamente de las autoridades fiscales, solicitando a las personas que respondan rápidamente haciendo clic en un enlace, de lo contrario corren el riesgo de ser multados.

Impacto psicológico en las víctimas

Además de estas tácticas psicológicas, el cibercrimen también tiene un impacto psicológico en las víctimas. La mayoría de la gente piensa que el impacto de un crimen en línea es menor, pero una investigación reciente del NSCR muestra que este no es el caso. Los delitos digitales parecen tener un impacto similar en las víctimas que las formas tradicionales de delincuencia. En general, a las personas les resulta difícil entender que alguien pueda convertirse en víctima de un delito cibernético. Esto mientras que los delitos en línea tienen lugar a gran escala y cualquiera puede convertirse en una víctima. Debido a la falta de comprensión, las víctimas de delitos en línea son más propensas a experimentar la culpabilización de las víctimas. Las víctimas reciben comentarios reprochables de amigos, familiares o colegas, así como de extraños al azar en Internet que son conocidos por subirse a un caballo alto, mientras que en realidad el delito cibernético puede sucederle a cualquiera. Por lo tanto, es importante elevar el nivel de conocimiento sobre la delincuencia en línea para que las víctimas puedan contar con el apoyo y el reconocimiento. Un curso de capacitación de e-learning, como el G DATA Security Awareness Training, es ideal para esto.

No culpes a la víctima

Además, no siempre debemos culpar demasiado a las víctimas. Un usuario es, de hecho, un eslabón potencial débil en su entorno de red. Pero en lugar de señalar con el dedo y lamentar la situación, uno también podría convertir este pasivo percibido en un activo y ofrecer capacitación y educación a los usuarios. Los gobiernos de la UE han creado algunos comerciales anti-phishing y esto puede y debe ser aplaudido.

Como muchos ataques cibernéticos tienen éxito debido a errores humanos, es importante prestar más atención a los aspectos psicológicos. Por ejemplo, se sabe poco sobre el impacto del cibercrimen en las víctimas. Además, se necesita más investigación científica sobre cómo evitar que las personas hagan clic en los enlaces y tomen las decisiones correctas, lo que en última instancia puede reducir el número de víctimas de delitos en línea. Tal vez la solución definitiva podría ser usar la Inteligencia Artificial (IA) para tomar las decisiones correctas para nosotros y hacer que el software sea mucho más seguro por diseño desde el principio. Esto ya está sucediendo, pero todavía tomará mucho tiempo llegar a un mundo más seguro.

Enlace: La psicología del cibercrimen | G DATOS (gdatasoftware.com) Blog de G DATA Eddy Willems