¿Por qué algunas personas, incluso advertidas por las herramientas de seguridad y los antivirus, siguen haciendo clic en un enlace falso? ¿Qué nos hace creer más un correo electrónico que nos promete una gran recompensa que una advertencia que nos llama a tener cuidado?
Cada día, millones de correos electrónicos intentan engañar a sus destinatarios utilizando técnicas como el phishing, un tipo de ciberataque que intenta obtener información confidencial -contraseñas, datos bancarios o credenciales corporativas- mediante manipulación psicológica. Si bien la tecnología puede detener entre el 90% y el 99% de estos ataques, el pequeño porcentaje que logra superar las barreras técnicas suele ser suficiente para poner en peligro tanto a las organizaciones como al eslabón más débil de la cadena: las personas. Así que el próximo gran avance es entender ese 1% (y protegerlo).
El análisis del comportamiento de los usuarios fue precisamente el centro de investigación del proyecto EVE (Emotions and Vulnerabilities Exposed and Protected), del que resultó un algoritmo capaz de incrementar nuestra ciberprotección. Integrado en una plataforma de neurociberseguridad, este algoritmo predice la vulnerabilidad del factor humano ante un ciberataque, en función de diversas variables psicológicas. Se trata de un nuevo y pionero enfoque de la ciberseguridad que une la neurociencia, la tecnología y la psicología para predecir el riesgo humano en caso de un ataque digital y así protegernos de nosotros mismos.
Un cerebro listo para sobrevivir… pero no en Internet
Nuestros cerebros están programados para reaccionar rápidamente ante amenazas físicas. Cuando percibimos un peligro (un ruido repentino o una sombra inesperada), la amígdala se activa y desencadena una respuesta defensiva automática. Este mecanismo, conocido como negatividad, nos ha permitido sobrevivir durante millones de años.
Sin embargo, en el entorno digital el sistema no se activa porque no tenemos factores de supervivencia: no hemos generado una respuesta instintiva ante las amenazas, que es lo que ocurre cuando escuchamos el rugido de un león, aunque nunca hayamos estado en la sabana. Dado que leer el correo electrónico claramente no pone en peligro nuestra supervivencia, el cerebro no activa una alarma emocional. Y cuando lo hace, suele ser en la dirección equivocada: el miedo se dirige hacia las consecuencias de la inacción, no hacia el ataque.
Mensajes como “Tu cuenta será bloqueada si no actualizas tus datos” o “Has perdido 1.000 € de tu cuenta bancaria, haz clic aquí para recuperarlos” provocan miedo al castigo, no al fraude. Ese miedo “secuestra” la atención y deja todo el peso de la decisión al pensamiento racional, más lento y exigente. Si además estamos cansados, distraídos, estresados o bajo presión, nuestra capacidad de analizar el mensaje disminuye y el clic se vuelve casi inevitable.
Personalidad y contexto
El modelo científico que subyace al algoritmo EVE se basa en tres variables psicológicas y personales clave, a las que se suman variables contextuales, como la carga de trabajo, la multitarea, la presión del tiempo o el nivel de implicación en el asunto del correo electrónico. Todo esto puede aumentar o disminuir nuestra capacidad para procesar información de manera crítica.
La primera de estas variables es el Sistema de Inhibición del Comportamiento (BIS). Mediados por la ansiedad, los puntuadores altos reaccionan con miedo ante posibles castigos y son más vulnerables a mensajes como “si no actúas ahora, perderás algo”.
Otro elemento a considerar es el Sistema de Activación Conductual (BAS). Se asocia con la impulsividad y la búsqueda de recompensas, y los usuarios responden más fácilmente a mensajes que prometen beneficios inmediatos (“ganar un premio”, “aprovechar una oferta”).
Finalmente interviene la necesidad de cognición (CN), que mide la tendencia a disfrutar del pensamiento complejo. Las personas con NC tienden a analizar más y a caer menos, aunque pueden ser víctimas de correos electrónicos que apelan a la curiosidad intelectual (“más información”, “lea este informe exclusivo”).
Al integrar estos componentes, EVE ha creado un perfil de vulnerabilidad dinámico, que no pretende etiquetar a las personas, sino comprender en qué condiciones específicas es más probable que caiga cada individuo. Lejos de ser estático, el algoritmo se entrena en función de la toma de decisiones y el comportamiento humanos. Si el nivel de vulnerabilidad cambia, el usuario y la organización son alertados de la transformación, ya que lo que se pretende es un círculo virtuoso.
Este comienza por confirmar el autodiagnóstico de cómo somos, variables psicológicas y rasgos de personalidad. A partir de ahí, se aplica un mecanismo basado en simulaciones de phishing para validar continuamente esa hipótesis. De esta forma se genera un sistema de alerta, llamado semáforo, que es contrarrestado por una serie de microrrelatos que explican los procesos cognitivos por los cuales alguien cayó o no en esa simulación. Y empezar de nuevo. En este círculo virtuoso, el algoritmo siempre está entrenado y aprende del comportamiento del usuario.
Ciencia aplicada a una mayor ciberseguridad humana
Nuestro equipo probó el modelo en dos etapas: primero con estudiantes y luego con empleados de la empresa, para acercarnos a contextos laborales reales. Cada participante completó pruebas de personalidad y se enfrentó a simulaciones de phishing, mientras los investigadores midieron el tiempo de reacción, las emociones evocadas y las decisiones tomadas. Con esos datos, el algoritmo aprendía a predecir patrones de comportamiento y puntos débiles, y el usuario recibía tabletas personalizadas para aprender sobre ciberseguridad.
Pero no todo el mundo necesita la misma formación para hacer frente a una amenaza por correo electrónico. Una persona con mucha ansiedad no debería recibir el mismo entrenamiento que alguien que es más impulsivo. Por tanto, una formación adaptada al perfil psicológico puede reducir significativamente el riesgo de caer en una trampa y, sobre todo, evitar la falsa sensación de seguridad que crean los cursos genéricos.
De esta manera, el proyecto EVE marca un cambio de paradigma: entender la ciberseguridad no sólo como un desafío técnico, sino también como un fenómeno profundamente humano. Los ciberdelincuentes no atacan a las máquinas: atacan a las emociones. Por lo tanto, los sistemas del futuro deben aprender a protegernos también de nuestras propias vulnerabilidades.
La versión original de este artículo fue publicada en la revista Telos, de Fundación Telefónica.
Descubre más desde USA TODAY NEWS INDEPENDENT PRESS US
Suscríbete y recibe las últimas entradas en tu correo electrónico.
Spanish 