Las estafas de phishing se han convertido en una amenaza frecuente y persistente tanto para los particulares como para las organizaciones. Estas estafas están diseñadas para engañar y manipular a las víctimas para que divulguen información confidencial, como datos personales, contraseñas o datos financieros pero, afortunadamente, la educación sobre los ataques de phishing y cómo detectarlos está aumentando. Para combatir eficazmente este problema creciente, es esencial comprender la psicología que subyace a las estafas de phishing. Esta entrada del blog pretende ahondar en los entresijos de por qué funcionan estas estafas y cómo la comprensión de la psicología humana puede ayudar a crear mejores defensas contra ellas.

El arte del engaño

Las estafas de phishing se elaboran con una meticulosa atención al detalle. Los autores se hacen pasar a menudo por entidades de confianza o crean escenarios que desencadenan respuestas emocionales específicas. Al comprender algunos factores psicológicos clave en juego, podemos empezar a comprender por qué estas estafas son tan eficaces.

Miedo y urgencia:

Los phishers suelen utilizar tácticas que inducen al miedo para manipular a sus objetivos. Crean una sensación de urgencia, haciendo creer a las víctimas que deben actuar de inmediato para evitar consecuencias nefastas. Esto desencadena la respuesta de lucha o huida, perjudicando la toma de decisiones racional. Por ejemplo, un correo electrónico fraudulento puede amenazar con la suspensión de la cuenta o con acciones legales, obligando a la víctima a actuar impulsivamente.

Confianza y autoridad:

Los seres humanos tienen una tendencia natural a confiar en las figuras de autoridad. Los phishers se aprovechan de ello haciéndose pasar por instituciones de confianza, como bancos o agencias gubernamentales. Cuando las personas reciben un correo electrónico que parece proceder de una fuente de confianza, es más probable que accedan a las solicitudes de información confidencial.

Curiosidad y codicia:

Algunas estafas de phishing se basan en la curiosidad y la codicia humanas. Prometen ofertas tentadoras, tratos exclusivos o contenidos atractivos, que incitan a las personas a hacer clic en enlaces maliciosos o a descargar archivos infectados sin pensárselo dos veces.

Ingeniería social:

Los phishers suelen utilizar técnicas de ingeniería social para explotar el deseo innato de conexión social. Esto puede implicar hacerse pasar por amigos o colegas, incitando a las personas a compartir información confidencial o a hacer clic en enlaces maliciosos sin sospechar.

El papel de los sesgos cognitivos

Los sesgos cognitivos son atajos mentales que los seres humanos utilizan para procesar la información y tomar decisiones. Por desgracia, estos atajos pueden ser explotados por los phishers en su beneficio. Muchas personas piensan que nunca caerían en un ataque de phishing porque han recibido una rigurosa formación en ciberseguridad. Sin embargo, este exceso de confianza puede conducir a la complacencia, que es aprovechada por los delincuentes .

He aquí algunos sesgos cognitivos comunes que intervienen en las estafas de phishing:

1. Sesgo de confirmación:

Las personas tienden a buscar, interpretar y recordar la información que confirma sus creencias preexistentes. Los phishers aprovechan esta circunstancia elaborando mensajes que se ajustan a las expectativas de la víctima, lo que hace más probable que acepten el mensaje como auténtico.

2. Sesgo de autoridad:

Las personas se inclinan a seguir el ejemplo de quienes perciben como figuras de autoridad. Los correos electrónicos de phishing que se hacen pasar por directores generales o altos cargos de la empresa suelen explotar este sesgo para engañar a los empleados y hacerles tomar medidas que normalmente no tomarían.

3. Sesgo de anclaje:

Este sesgo se refiere a la tendencia humana a confiar en gran medida en la primera pieza de información encontrada a la hora de tomar decisiones. Los phishers entienden esto y lo utilizan en su beneficio presentando a la víctima una primera pieza de información que les lleva a revelar datos más sensibles.

4. Sesgo de escasez:

La gente tiende a asignar mayor valor a las cosas que son raras o de suministro limitado. Las estafas de phishing suelen crear una sensación de escasez presentando ofertas exclusivas o plazos para actuar, obligando a las víctimas a actuar con rapidez y sin la debida diligencia.

Protegernos de las estafas de phishing

Comprender la psicología que hay detrás de las estafas de phishing es sólo una parte de la solución. Para protegernos a nosotros mismos y a nuestras organizaciones de forma eficaz, debemos aplicar medidas de seguridad sólidas y cultivar una cultura concienciada con la ciberseguridad. El Informe sobre Delitos en Internet 2021 del FBI analizó los datos de 847.376 ciberdelitos denunciados y descubrió un fuerte repunte en el número de ataques de phishing, que aumentó de 25.344 incidentes en 2017 a 323.972 en 2021.

  • Es fundamental formar a las personas para que reconozcan los intentos de phishing y las tácticas psicológicas implicadas. Eduque regularmente a los empleados y a las personas sobre los riesgos y las consecuencias de caer en estafas de phishing.

  • Despliegue sistemas avanzados de filtrado de correo electrónico y software antiphishing para identificar y poner en cuarentena los correos electrónicos potencialmente dañinos. Estas herramientas pueden reducir significativamente el número de correos electrónicos de phishing que llegan a las bandejas de entrada.

  • Implemente la MFA para añadir una capa adicional de seguridad, haciendo más difícil que los atacantes obtengan acceso no autorizado incluso si las credenciales de inicio de sesión están comprometidas.

  • Mantenga actualizados el software y los sistemas para minimizar las vulnerabilidades que puedan aprovechar los phishers. El software desactualizado puede ser un eslabón débil en su defensa de ciberseguridad.

  • Establezca procedimientos claros y directos para informar de correos electrónicos o incidentes sospechosos. Anime a los individuos a informar de cualquier cosa que parezca sospechosa, por insignificante que parezca.

Las estafas de phishing siguen evolucionando y adaptándose, pero también debe hacerlo nuestra comprensión de la psicología que hay detrás de ellas. Reconocer los desencadenantes emocionales, los sesgos cognitivos y las técnicas de ingeniería social empleadas por los phishers es el primer paso para construir defensas más sólidas. Fomentando una cultura de concienciación sobre la ciberseguridad, aplicando herramientas de seguridad avanzadas y educándonos a nosotros mismos y a nuestras organizaciones, podemos protegernos mejor contra estos ataques engañosos. En un mundo digital plagado de amenazas, el conocimiento es realmente poder.