En els últims anys el ransomware es converteix en un dels incidents de ciberseguritat que més afecta i preocupa a les empreses, independentment de la seva mida i el sector en el que operen. I és que, a mesura que les empreses tornen més digitals, obren noves oportunitats per als ciberdelincuents. Prueba de ello es que el 54% dels ciberataques denuncien per empreses de tot el món durant 2020 va ser causat per ransomware, segons una investigació de Bitsight amb dades de la Universitat de Cambridge.

D’acord amb un estudi d’EY, més del 90% d’incidents de ciberseguritat té el seu origen en un error humà, fonamentalment degut a la sencillez amb la que ciberdelincuents s’aprofiten de les vulnerabilitats humanes al conèixer com funcionen els seus coneixements cognitius, un fenòmen psicològic de la ment, principalment inconscient.

“Totes les empreses ens trobem davant d’un nou escenari que obligem a formar concienzudament a nostres treballadors, a posar-los a prova, a fer-los coneixedors de les darreres tendències en ciberdelincuència, i sempre a través de recursos més originals i realistes que senten dels típics i denostados powerpoints o charlas poco atractivas ”. segons indica Daniel Puente Pérez, CISO en Cirsa.

Segueix reflexionant alguns estudis i investigacions, les persones tomamos alrededor de 35.000 decisiones de media al día de las cuales solo 91 son conscientes. El resto las toma el cerebro con atajos mentales o sesgos cognitivos, entre los que se encuentran haciendo o sin hacer clic en un enlace malicioso en un correo electrónico.

Los sesgos cognitivos forman parte de la naturaleza humana y de la evolución como especie, por ello no es poden eliminar dels equips i organitzacions, però sí és possible dominar-los. Porque como señala Antonio Fernandes, Hacker y Divulgador en ciberseguridad, “Cuándo un grupo criminal escoge un objetivo, ha existido detrás una investigación de ciberinteligencia de la compañía, un perfilado de sus empleados y un estudio de cómo trabajan para, entre otras cosas, definir cómo puedan aumentar las posibilidades de éxito ”.

Conocer cómo funciona el cerebro y cuáles son sus principales vulnerabilidades a través dels sesgos obre una nova dimensió en la detecció i desenvolupament de comportaments. En aquest sentit, el primer estudi sobre Sesgos Cognitivos y Ransomware de Aiwin ha trobat més de 30 sessions cognitives concretes que demuestran que “pensar abans de fer clic”, com a part de la cultura de ciberseguritat d’una empresa, no és tan senzill com a recordar-se una i una altra vegada al empleat. Aquests són alguns d’ells:

Efecto de verdad ilusoria
Al cerebro resulta més senzill processar informació que ja ha experimentat amb anterioritat. Això crea una sensació que pot dur a terme un malinterpretar una senyal com un contingut veritable. De aquesta forma, els ciberdelincuents poden realitzar ataques de phishing aprofitant el principi de col·laboració, reciprocitat i confiança.

Sesgo de percepción selectiva
Se da quan la persona rep una informació i, en funció de les seves expectatives, seleccionarà automàticament un objecte d’atenció i desitjarà la part restant per a no saturar-se. Amb la seva activació, es pot produir pràcticament qualsevol tècnica d’enginyeria social.

Efecto Bandwagon
Teniu lloc quan el cervell té decisions basades en emocions i en l’impuls de grup. Per exemple, es activa quan una persona sigue lo que hacen sus compañeros asumiendo que es seguro o sensato hacerlo. Si algú envia un enllaç a un xat de treball i més persones estan reaccionant a ell, el temor a perdre alguna cosa i quedant “fora” pot superar a la seva formació sobre ciberseguritat i pot fer clic a l’enllaç.

Sesgo d’automatització
Se da quan el cerebro confía más en la información que da un sistema automatizado que la que ofrece un sistema no automatizado, com la recopilació per una persona, fins i tot encara que sea correcta. Amb ello es pot produir pràcticament totes les tècniques d’enginyeria social, però especialment en les que s’aprofiten el principi d’urgència.

Sesgo d’optimisme o il·lusió d’invulnerabilitat
El cervell humà està programat per ser optimista en general i, a menudo, subestima la probabilitat de que produeixi esdeveniments adversos. En la vida cotidiana pot ser beneficiós, però en ciberseguritat es necessita just el contrari, és dir, estar sempre alerta. Un bon exemple dels efectes d’aquest sesgo és quan s’utilitza una piensa “la empresa mai va a ser vulnerable per un clic que faig en un correu”.

Estos son solo 5 sesgos cognitivos que están influyendo de manera automática y irreversible en las 35.000 decisiones que se tomarán al día, incluidas para abrir correos, hacer clic en enlaces ransomware o dar información confidencial a los ciberdelincuentes.

Consciències de la important i complexa necessitat de que les organitzacions abordin assumptes com els seus coneixements cognitius, des de Aiwin han desenvolupat Tallafocs Aiwin, una plataforma que automatitza la generació de cultius en ciberseguritat. Aiwin Firewall és l’única solució que metodològicament incideix de manera directa en el comportament dels empleats per medir, protegir i escalar les principals vulnerabilitats humanes davant el creixement augment del ransomware i un altre tipus d’atacs.