Conozca los trucos psicológicos del “spear phishing”

Trucos psicológicos del spear phishing

Desde que el 2 de noviembre de 1988 hiciese su aparición el “gusano” Morris, considerado como responsable de la primera epidemia que, a través de una incipiente Internet, transmitía un código malicioso,  la sociedad ha vivido bajo la amenaza de los ciberataques.  A partir de ahí, lentamente en principio y multiplicándose con rapidez más tarde estos han alcanzado una enorme variedad. Adware, Gusanos, Spyware, Malware, Troyanos, Ransomware, Denegación de servicio, Phishing…

Ante este panorama y aunque se multiplican los sistemas de defensa, continúan los ataques con mayor o menor éxito. A mayor tráfico informativo, nuevas y mejores posibilidades de ciberataques.  Claro que el campo de actuación se ha ampliado enormemente tras la aparición de las redes sociales. Logrando “golpes” formidables. La filtración de Facebook  de marzo del pasado año lo dejó claro, nosotros ya no elegimos la información, ella nos elige a nosotros. El escándalo de Facebook reveló una vez más, la vulnerabilidad radical del usuario en las redes sociales. En efecto, la empresa Cambridge Analytica se hizo a través de Facebook con datos personales de 50 millones de ciudadanos sin su consentimiento.

Sin embargo conviene hacer hincapié en un elemento infinidad de veces expuesto y que continúa siendo vital en lo que respecta al cuidado de la información del usuario.  Cierto es que las defensas de sus sistema de ciberprotección pueden ser vulneradas. Ejemplos hay. Pero ¿qué responsabilidades le cabe el usuario y por qué?  No olvidemos que nuestra mente está repleta de vulnerabilidades.

Este es el tema que aborda un interesante artículo de Kaspesky Lab. “Cuando hablamos de vulnerabilidades – indica-, normalmente nos centramos en errores de codificación o puntos débiles en los sistemas de información. No obstante, muchas vulnerabilidades vienen de parte de la víctima. No se trata de una falta de concienciación o negligencias de ciberseguridad, por lo que resulta menos evidente cómo enfrentarse a estos problemas. Simplemente, bajo la influencia de la ingeniería social, a veces el usuario actúa diferente a como lo harían los expertos en seguridad informática”.

Ciberseguridad en el puesto de trabajo

Básicamente, la ingeniería social es una fusión de sociología y psicología; un conjunto de técnicas para producir un ambiente que genere un resultado predeterminado. Jugando con los miedos, emociones, sentimientos y reflejos de los usuarios, los cibercriminales pueden conseguir acceso a información muy útil. Y es en gran parte esta “ciencia” la que reside en el núcleo de la mayoría de los ataques dirigidos actuales.

Kaspersky recuerda que, los principales sentimientos que suelen explotar los estafadores:

  • Curiosidad
  • Pena
  • Miedo
  • Avaricia

De todas maneras – subraya – “No sería correcto llamarlas vulnerabilidades, son simplemente emociones humanas. Puede que una definición mucho más acertada fuera “canales de influencia”, a través de los cuales los manipuladores intentan influir a sus víctimas, de tal forma que el cerebro actúe de forma automática, sin el uso del pensamiento crítico. Para conseguirlo, los cibercriminales cuentan con un buen arsenal de trucos bajo la manga. Evidentemente, algunas estrategias funcionan mejor en unas personas que en otras. Pero hemos decidido centrarnos en las más comunes y explicar exactamente cómo se utilizan.

Respeto a la autoridad. Este es uno de los sesgos cognitivos, patrones sistemáticos de desviación de comportamiento, percepción y pensamiento. Está fundamentado en la tendencia de obedecer sin cuestionar a aquellos que tenga cierto nivel de experiencia o poder, ignorando las opiniones propias sobre la propia conveniencia de dicha acción.

En la práctica, puede ser un correo electrónico phishing procedente de su jefe, supuestamente. Evidentemente, si el mensaje le pide que se grabe bailando rock y que envíe el vídeo a diez amigos, debería de pensárselo un par de veces. Pero, si su supervisor le pide que lea la documentación de un nuevo proyecto, puede que esté dispuesto a hacer clic en el adjunto.

La presión del tiempo. Una de las técnicas de manipulación psicológicas más frecuente es generar una situación de urgencia. Cuando se toma una decisión racional e instruida, es una buena idea examinar detenidamente la información relevante. Esto lleva un tiempo y justo eso es lo que los estafadores intentan negar a sus víctimas.

Los estafadores despiertan el miedo en la víctima (“Alguien ha intentado acceder a tu cuenta. Si no has sido tú, haz clic en el enlace inmediatamente…”) o intentan conseguir dinero fácil (“Solo los 10 primeros se harán con el descuento, no te lo pierdas…”). El tiempo corre en su contra y la probabilidad de sucumbir al instinto y tomar una decisión emocional e irracional aumenta. Los mensajes que incluyen “urgente” e “importante” forman parte de esta categoría. Las palabras importantes suelen destacarse en rojo, el color del peligro, para intensificar el efecto.

Trucos psicológicos del spear phishing. Muchas vulnerabilidades que vienen de parte de la víctima, no son falta de concienciación o negligencias de ciberseguridad, por lo que resulta menos evidente cómo enfrentarse a estos problemas.

Automatismos.  En psicología, los automatismos son acciones que se toman sin la intervención directa de la conciencia. Los automatismos pueden ser primarios (innatos, no considerados) o secundarios (ya no se consideran, después de pasar por la conciencia). Además, los automatismos se clasifican como motor, de habla o mental.

Los ciberdelincuentes intentan desencadenar automatismos cuando envían mensajes que en algunos receptores pueden producir una respuesta automática. Como por ejemplo los mensajes “No se ha podido entregar el correo electrónico, haga clic para reenviarlo”, las newsletter con un botón de “Cancelar suscripción” tentador y las notificaciones falsas sobre nuevos comentarios en redes sociales. En este caso, la reacción es el resultado del motor secundario y de los automatismos mentales.

Revelaciones inesperadas. Este es otro tipo muy común de manipulación. Explota el hecho de que la información clasificada como una admisión honesta se percibe menos crítica que si se hubiese descubierto de forma independiente. En la práctica, podría ser algo como: “Lamentamos informarle que hemos sufrido una filtración de contraseñas. Compruebe si se encuentra en la lista de los afectados”.

Qué hacer. Las distorsiones de la percepción, que desafortunadamente juega a favor de los cibercriminales, son biológicas. Aparecen durante la evolución del cerebro para ayudarnos a adaptarnos al mundo y ahorrar tiempo y energía. En gran parte, las distorsiones surgen de la falta de habilidades de pensamiento crítico y muchas adaptaciones no son adecuadas para la realidad actual. Pero no tema, puede evitar la manipulación conociendo la psique humana y siguiendo estos consejos:

1.- Instaure una nueva costumbre: prestar especial atención a los mensajes de los superiores. ¿Por qué quiere su jefe que abras un archivo protegido con contraseña y que le envíes la clave en el mismo mensaje? ¿Por qué un director con acceso a la cuenta le pide que transfiera dinero a un nuevo socio? ¿Por qué iba alguien a asignarle una tarea nueva por correo electrónico, en vez de por teléfono, como de costumbre? Si algo huele mal, intente aclararlo por un canal de comunicación diferente.

2.- No reacciones inmediatamente a los mensajes que te soliciten reacción urgente. Mantenga la calma, sea cual sea el contenido del mensaje. Asegúrate de comprobar el remitente, el dominio y el enlace antes de hacer clic. Si sigue teniendo dudas, póngase en contacto con el equipo informático.

3.-  Si percibe que responde automáticamente a ciertos tipos de mensajes, intente controlar su secuencia típica de acciones. Esto podría ayudarle a dejar de automatizar su respuesta, la clave está en activar la conciencia en el momento correcto.

4.- Recuerde nuestros consejos previos para evitar las consecuencias del phishing y si quiere ampliar información puede consultar estos dos artículos del blog de Kaspesky Lab: Cómo reconocer el spear phishing y 10 consejos contra el phishing

5.- Utilice soluciones de seguridad con tecnologías antiphishing de confianza. La mayoría de los intentos de intrusión caerán en el primer obstáculo.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.