.png)
La toma de un ciberpsicólogo sobre la cultura de culpa de la ciberseguridad
“Sólo la gente descuidada es hackeada”. Es una creencia común en la ciberseguridad. Pero, ¿es cierto?
El Dr. Erik Huffman, destacado experto en ciberpsicología, lleva años investigando esta cuestión. Su trabajo profundiza en cómo el comportamiento humano impacta en la ciberseguridad y por qué los instintos de supervivencia tradicionales no logran protegernos en línea.
¿Sus hallazgos? Hasta los más preparados son violados.
En nuestro último episodio de El segmento: un podcast de liderazgo de confianza cero, me senté con Huffman para discutir la realidad de los ataques de hoy y por qué Zero Trust es la mejor respuesta a la preparación para brechas.
Apuntar con el dedo retiene la ciberseguridad
Según Huffman, una de las reacciones más tóxicas ante una brecha es el instinto inmediato de culpar a los individuos.
“Cuando un incidente pasa, todos saltan a '¿Quién hizo qué mal?' en lugar de '¿Cómo sucedió esto y cómo lo prevenimos?'” explicó.
Esta cultura de la culpa no solo es contraproducente, sino que está anticuada. La realidad es que incluso las organizaciones más dotadas de recursos y conscientes de la seguridad sufren brechas.
“La seguridad al 100% no existe”, dijo. “Si un estado-nación quiere entrar, lo harán”.
El enfoque debe pasar de la culpa al análisis: entender lo que sucedió, aprender de ello y adaptar las defensas.
Los hackers explotan el estrés, no la estupidez
Huffman es inflexible en que la industria ha dedicado demasiado tiempo a la conciencia cibernética y no lo suficiente en la preparación cibernética.
“Seguimos diciéndole a la gente qué tener en cuenta, pero no los estamos preparando para cómo reaccionar bajo estrés”, dijo.
Los ciberdelincuentes no atacan a las personas cuando están alertas y cautelosas. Los atacan cuando son vulnerables. Cuando están estresados por los despidos, apresurándose a cumplir con un plazo, o emocionalmente comprometidos en una solicitud que parece urgente.
Huffman dice que la clave es entender las vulnerabilidades personales. “Necesitamos capacitar a la gente no solo en las amenazas genéricas, sino en las tácticas psicológicas específicas que utilizan los atacantes. Cada persona tiene desencadenantes únicos”.
Espere una nueva ola de ataques alimentados por IA
El ascenso de Ataques impulsados por IA sólo empeora este problema. El audio y el video Deepfake ya se están utilizando en ciberataques, con actores de amenazas haciéndose pasar por ejecutivos para autorizar transacciones fraudulentas.
“¿Qué pasa cuando ya no puedes confiar en lo que ves o escuchas?” Preguntó Huffman. “Estamos entrando en un momento en el que 'verificar, verificar, verificar' necesita convertirse en una segunda naturaleza”.
Los líderes de seguridad deben prepararse para un mundo donde ni siquiera una llamada telefónica de un contacto conocido pueda ser tomada al valor nominal. Adoptando Principios de confianza cero — y una mentalidad de confianza cero en toda la organización — será crucial para contrarrestar el engaño impulsado por la IA.
Zero Trust es el cinturón de seguridad de la organización
Entonces, ¿cómo pasamos de la conciencia a la preparación?
Huffman sugiere estos pasos clave:
- Evaluación de amenazas: identificar qué vulnerabilidades personales tiene un individuo y cómo es probable que sean explotadas
- Evaluación de afrontamiento: desarrollar estrategias sobre cómo las personas reconocerán y responderán a las amenazas cuando sean más vulnerables
La preparación significa dar a los empleados herramientas prácticas para protegerse a sí mismos, en lugar de solo enseñarles sobre las amenazas en abstracto.
“Tenemos que dejar de asustar a la gente y empezar a empoderarla”, dijo. “En este momento, la ciberseguridad se siente como conducir un automóvil sin cinturón de seguridad, esperando que no pase nada malo. Tenemos que darle a la gente sus cinturones de seguridad de ciberseguridad”.
A nivel organizacional, Zero Trust cumple la misma función.
“Zero Trust no se trata solo de tecnología. Es una mentalidad”, dijo Huffman. “No es 'confiar sino verificar', es 'verificar, luego verificar de nuevo'”.
Las organizaciones que adoptan Zero Trust junto con la capacitación de preparación cibernética construyen resiliencia contra vulnerabilidades tanto humanas como tecnológicas. Y en el mundo actual, la resiliencia es el nombre del juego.
El viaje de la TI a la ciberpsicología
El camino de Huffman hacia la ciberpsicología no fue lineal.
Después de obtener su licenciatura en informática, comenzó su carrera en TI, arreglando redes y solucionando problemas de seguridad. Pero su perspectiva cambió drásticamente después de experimentar de primera mano violaciones de datos de forma paralela.
“Estaba lanzando todas las medidas de seguridad al problema, y sin embargo las brechas seguían sucediendo”, recordó. “Tenía que preguntarme: si solo hackean a la gente tonta, ¿entonces soy estúpido?”
Decidido a encontrar respuestas, recurrió a la investigación y descubrió que más del 90% de las brechas de datos involucran el comportamiento humano, ya sea a través de errores o ingeniería social. Esta realización lo llevó a la ciberpsicología, donde desde entonces ha realizado estudios con más de 20 mil participantes y trabajado con más de 220 organizaciones en todo el mundo para cerrar la brecha entre ciberseguridad y comportamiento humano.
Ahora un galardonado educador, empresario, orador e investigador, sus ideas han sido compartidas en NASA-Goddard, ISACA, TEDx y otros foros líderes. Actualmente es un Colaborador de investigación en el Instituto Nacional de Estándares y Tecnología (NIST).
Escuche, suscríbase y revise El segmento: un podcast de liderazgo de confianza cero
¿Quieres escuchar mi discusión completa con el Dr. Huffman? Escucha el episodio de esta semana en Podcasts de Apple, Spotify, o donde sea que obtenga sus podcasts. También puede leer un transcripción completa del episodio.
.webp)
