Hacer clic en enlaces o descargar archivos maliciosos son los fallos humanos más comunes

Recomendados:  2021, ¿el año de la ciberdefensa? Webinar Trabajo seguro desde cualquier lugar: adaptándonos a la "nueva normalidad" Leer Threat Hunting Report 2020: así son las campañas de intrusiones hoy en día Leer

¿Por qué la gente pincha en enlaces maliciosos? Esta es una de las preguntas más recurrentes sobre ciberseguridad, ya que es uno de los comportamientos más habituales por parte de los usuarios que aumenta el riesgo de ataque en las organizaciones. Según datos de Proofpoint, en España hacer clic en estos links o descargar archivos comprometidos se sitúa como la vulnerabilidad humana más común para un 47% de los CISOs y CSOs.

“Todavía hay quien piensa que los ciberdelincuentes son esos individuos algo siniestros que se atrincheran en un sótano oscuro, delante de su ordenador, para confabular contra el mundo y romper la seguridad de grandes empresas. Pero lo cierto es que detrás de la mayoría de los ataques hay un error humano”, aclara Andrew Rose, CISO interno de Proofpoint en la región de EMEA. En Proofpoint se ha constatado que el 94% de las ciberamenazas comienza a través del correo electrónico, y más del 99% requiere de la interacción humana para activar y habilitar ataques.

Los atacantes buscan explotar el factor humano para que el usuario ejecute un código, entregue sus credenciales, o bien haga una transferencia directa de dinero o datos. Recientemente en Proofpoint han visto una tendencia al alza de añadir más complejidad a los ataques, en un intento de poner cierta distancia entre el correo electrónico inicial y el malware, para tratar de eludir su detección. Aun así, son ataques que necesitan una acción por parte del usuario, ya que de ello dependerá su éxito o fracaso.

“Lo que persiguen los ciberdelincuentes es que los empleados de distintas organizaciones se olviden de todo lo que han aprendido sobre ciberseguridad y tomen una mala decisión que les ayude a avanzar en su intento de ataque. Para ello se aprovechan de factores como las emociones, la confianza o, incluso, el cansancio que tienen esos usuarios”, afirma Andrew Rose.

Los usuarios son más propensos a cometer fallos cuando están más cansados, por tanto, no es de extrañar que el día en que suelen producirse más ataques contra organizaciones sea el viernes por la tarde. También entra en juego el que muchos atacantes "agobian" a la posible víctima con falsas alarmas hasta que terminan por “insensibilizarla” para lanzar entonces el verdadero ataque.

Otra de las palancas en las que se basan los atacantes es la confianza que, a su vez, sirve de atajo en el cerebro humano en la toma de decisiones. Si el usuario ve una marca o persona de su confianza, el mensaje adquiere mayor credibilidad y el umbral necesario para que interactúe se reduce.

En Proofpoint aseguran que los usuarios son cuatro veces más propensos a hacer clic en enlaces maliciosos si dirigen a Microsoft SharePoint, y diez veces más si lo hacen a Microsoft OneDrive. Los atacantes se fijan en estos comportamientos, de ahí que coloquen el malware en sitios que den confianza a las potenciales víctimas.

Pero, por encima de todo, están las emociones. Existen dos sistemas de pensamiento bien diferenciados en constante lucha: por un lado, el emocional e intuitivo y, por otro, la lógica racional. Esto no resulta ajeno a los ciberdelincuentes, quienes se empeñan en provocar respuestas emocionales que lleven a sus usuarios objetivo a tomar decisiones ligeras, dejando a un lado el pensamiento racional. Algunos de los mensajes que desencadenan esas respuestas emocionales rápidas llaman la atención al usuario alertando de que su cuenta en Netflix va a ser cancelada, el paquete que espera va a ser devuelto o que un pago ha sido rechazado. En estos asuntos la parte racional del cerebro no suele actuar al momento y, por eso, el usuario termina haciendo clic sobre el correo fraudulento.

“Los empleados tienen que desconfiar inmediatamente de aquellos correos electrónicos que susciten una respuesta emocional y, cuanto más fuerte sea el impulso, deben ser aún más cuidadosos y reflexivos. Hay que permanecer en alerta, pero también hay que impulsar que los usuarios verifiquen por otros canales y medios la solicitud de esos emails ante la menor sospecha. Al final, lo importante es recordar que la ciberdelincuencia no es más que un delito y, como tal, trata de aprovecharse de las personas”, concluye el experto de Proofpoint.