Las estafas de phishing se han convertido en una amenaza frecuente y persistente tanto para particulares como para organizaciones. Estas estafas están diseñadas para engañar y manipular a las víctimas para que divulguen información confidencial, como datos personales, contraseñas o datos financieros, pero, afortunadamente, la educación sobre los ataques de phishing y cómo detectarlos está aumentando. Para combatir eficazmente este problema creciente, es esencial comprender la psicología que subyace a las estafas de phishing. Esta entrada del blog pretende ahondar en los entresijos de por qué funcionan estas estafas y cómo la comprensión de la psicología humana puede ayudar a crear mejores defensas contra ellas.
El arte del engaño
Las estafas de phishing se elaboran con una meticulosa atención al detalle. Los autores se hacen pasar a menudo por entidades de confianza o crean escenarios que desencadenan respuestas emocionales específicas. Si comprendemos algunos factores psicológicos clave que entran en juego, podemos empezar a entender por qué estas estafas son tan eficaces.
Miedo y urgencia:
Los phishers suelen utilizar tácticas que inducen al miedo para manipular a sus víctimas. Crean una sensación de urgencia, haciendo creer a las víctimas que deben actuar de inmediato para evitar consecuencias nefastas. Esto desencadena la respuesta de lucha o huida, lo que impide tomar decisiones racionales. Por ejemplo, un correo electrónico fraudulento puede amenazar con la suspensión de la cuenta o con acciones legales, obligando a la víctima a actuar impulsivamente.
Confianza y autoridad:
Los seres humanos tenemos una tendencia natural a confiar en las figuras de autoridad. Los phishers se aprovechan de ello haciéndose pasar por instituciones de confianza, como bancos u organismos públicos. Cuando una persona recibe un correo electrónico que parece proceder de una fuente de confianza, es más probable que acceda a las solicitudes de información confidencial.
Curiosidad y codicia:
Algunas estafas de phishing se basan en la curiosidad y la codicia humanas. Prometen ofertas tentadoras, tratos exclusivos o contenidos atractivos, que incitan a las personas a hacer clic en enlaces maliciosos o descargar archivos infectados sin pensárselo dos veces.
Ingeniería social:
Los phishers suelen utilizar técnicas de ingeniería social para explotar el deseo innato de conexión social. Esto puede implicar hacerse pasar por amigos o colegas, incitando a las personas a compartir información confidencial o hacer clic en enlaces maliciosos sin sospechar.
El papel de los sesgos cognitivos
Los sesgos cognitivos son atajos mentales que los seres humanos utilizamos para procesar la información y tomar decisiones. Por desgracia, estos atajos pueden ser explotados por los phishers en su beneficio. Muchas personas creen que nunca caerían en un ataque de phishing porque han recibido una formación rigurosa en ciberseguridad. Sin embargo, este exceso de confianza puede llevar a la complacencia, de la que se aprovechan los delincuentes.
He aquí algunos sesgos cognitivos comunes que intervienen en las estafas de phishing:
1. Sesgo de confirmación:
La gente tiende a buscar, interpretar y recordar la información que confirma sus creencias preexistentes. Los phishers aprovechan esta circunstancia para elaborar mensajes que se ajusten a las expectativas de la víctima, lo que aumenta las probabilidades de que acepte el mensaje como auténtico.
2. Sesgo de autoridad:
Las personas tienden a seguir el ejemplo de quienes perciben como figuras de autoridad. Los correos electrónicos de phishing que se hacen pasar por directores generales o altos cargos de la empresa a menudo explotan este sesgo para engañar a los empleados para que realicen acciones que normalmente no harían.
3. Sesgo de anclaje:
Este sesgo se refiere a la tendencia humana a confiar mucho en la primera pieza de información encontrada a la hora de tomar decisiones. Los phishers entienden esto y lo utilizan en su beneficio presentando a la víctima una primera información que les lleva a revelar datos más sensibles.
4. Sesgo de escasez:
La gente tiende a asignar más valor a las cosas que son raras o de oferta limitada. Las estafas de phishing suelen crear una sensación de escasez presentando ofertas exclusivas o plazos para actuar, obligando a las víctimas a actuar con rapidez y sin la debida diligencia.
Protegernos de las estafas de phishing
Comprender la psicología que subyace a las estafas de phishing es sólo una parte de la solución. Para protegernos a nosotros mismos y a nuestras organizaciones de forma eficaz, debemos aplicar medidas de seguridad sólidas y cultivar una cultura concienciada con la ciberseguridad. El Informe sobre Delitos en Internet 2021 del FBI analizó los datos de 847 376 ciberdelitos denunciados y encontró un fuerte repunte en el número de ataques de phishing, aumentando de 25 344 incidentes en 2017 a 323 972 en 2021.
- Es fundamental formar a las personas para que reconozcan los intentos de suplantación de identidad y las tácticas psicológicas implicadas. Instruya periódicamente a empleados y particulares sobre los riesgos y consecuencias de caer en estafas de phishing.
- Despliegue sistemas avanzados de filtrado de correo electrónico y software antiphishing para identificar y poner en cuarentena los correos electrónicos potencialmente dañinos. Estas herramientas pueden reducir significativamente el número de correos electrónicos de phishing que llegan a las bandejas de entrada.
- Implemente MFA para añadir una capa adicional de seguridad, haciendo más difícil que los atacantes obtengan acceso no autorizado incluso si las credenciales de inicio de sesión están comprometidas.
- Mantenga actualizados el software y los sistemas para minimizar las vulnerabilidades que puedan aprovechar los phishers. El software obsoleto puede ser un eslabón débil en tu defensa de ciberseguridad.
- Establezca procedimientos claros y directos para notificar correos electrónicos o incidentes sospechosos. Anime a las personas a informar de cualquier cosa que parezca sospechosa, por insignificante que parezca.
Las estafas de phishing siguen evolucionando y adaptándose, pero también debe hacerlo nuestra comprensión de la psicología que hay detrás de ellas. Reconocer los desencadenantes emocionales, los sesgos cognitivos y las técnicas de ingeniería social empleadas por los phishers es el primer paso para construir defensas más sólidas. Si fomentamos una cultura de concienciación sobre la ciberseguridad, implantamos herramientas de seguridad avanzadas y nos formamos a nosotros mismos y a nuestras organizaciones, podremos protegernos mejor contra estos ataques engañosos. En un mundo digital plagado de amenazas, el conocimiento es poder.