.png)
La opinión de un ciberpsicólogo sobre la cultura de la culpa de la ciberseguridad
“Sólo las personas descuidadas son atacadas por hackers”. Es una creencia generalizada en materia de ciberseguridad. ¿Pero es cierto?
El Dr. Erik Huffman, un destacado experto en ciberpsicología, pasó años investigando esta cuestión. Su trabajo profundiza en cómo el comportamiento humano impacta la ciberseguridad y por qué los instintos de supervivencia tradicionales no nos protegen en línea.
¿Sus hallazgos? Incluso los más preparados son atacados.
En nuestro último episodio de The Segment: A Zero Trust Leadership Podcast, me senté con Huffman para discutir la realidad de los ataques actuales y por qué Zero Trust es la mejor respuesta para la preparación para violaciones.
Las acusaciones mutuas frenan la ciberseguridad
Según Huffman, una de las reacciones más tóxicas ante una violación de seguridad es el instinto inmediato de culpar a los individuos.
“When an incident happens, everyone jumps to ‘Who did what wrong?’ instead of ‘How did this happen and how do we prevent it?’” he explained.
Esta cultura de la culpa no solo es contraproducente, sino que está desactualizada. La realidad es que incluso las organizaciones con más recursos y conscientes de la seguridad sufren infracciones.
“La seguridad del 100% no existe”, afirmó. “Si un Estado-nación quiere entrar, lo hará”.
El enfoque debe pasar de la culpa al análisis: comprender lo que sucedió, aprender de ello y adaptar las defensas.
Los hackers explotan el estrés, no la estupidez
Huffman insiste en que la industria dedicó demasiado tiempo a la conciencia cibernética y no lo suficiente a la preparación cibernética.
“Seguimos diciéndole a la gente qué debe tener en cuenta, pero no los estamos preparando para que sepan cómo reaccionar bajo estrés”, afirmó.
Los ciberdelincuentes no atacan a las personas cuando están alertas y cautelosas. Los atacan cuando son vulnerables. Cuando están estresados por los despidos, apresurar para cumplir con una fecha límite o comprometidos emocionalmente en una solicitud que parece urgente.
Huffman dice que la clave es comprender las vulnerabilidades personales. "Necesitamos capacitar a las personas no solo en amenazas genéricas, sino también en las tácticas psicológicas específicas que usan los atacantes. Cada persona tiene desencadenantes únicos".
Espere una nueva ola de ataques impulsados por IA
The rise of AI-driven attacks only makes this problem worse. Deepfake audio and video are already being used in cyberattacks, with threat actors impersonating executives to authorize fraudulent transactions.
“¿Qué pasa cuando ya no puedes confiar en lo que ves o escuchas?”, preguntó Huffman. “Estamos entrando en una era en la que ‘verificar, verificar, verificar’ debe convertir en algo natural”.
Security leaders must prepare for a world where even a phone call from a known contact can’t be taken at face value. Adopting Zero Trust principles — and a Zero Trust mindset throughout the organization — will be crucial in countering AI-powered deception.
Zero Trust es el cinturón de seguridad de la organización
Entonces, ¿cómo pasamos de la conciencia a la preparación?
Huffman sugiere estos pasos clave:
- Evaluación de amenazas: identificar qué vulnerabilidades personales tiene un individuo y cómo es probable que sean explotadas
- Evaluación de afrontamiento: desarrollo de estrategias sobre cómo las personas reconocerán y responderán a las amenazas cuando sean más vulnerables
La preparación significa brindar a los empleados herramientas prácticas para proteger, en lugar de simplemente mostrarles sobre las amenazas en abstracto.
"Necesitamos dejar de asustar a las personas y comenzar a empoderarlas", dijo. "En este momento, la ciberseguridad se siente como manejar un automóvil sin cinturón de seguridad, esperando que no suceda nada malo. Necesitamos darle a la gente sus cinturones de seguridad de ciberseguridad".
A nivel organizacional, Zero Trust cumple la misma función.
"Zero Trust no se trata solo de tecnología. Es una mentalidad", dijo Huffman. "No es 'confiar pero verificar', es 'verificar, luego verificar de nuevo'".
Organizations that adopt Zero Trust alongside cyber preparedness training build resilience against both human and technological vulnerabilities. And in today’s world, resilience is the name of the game.
El viaje de la TI a la ciberpsicología
El camino de Huffman hacia la ciberpsicología no fue lineal.
Luego de obtener su título en ciencias de la computación, comenzó su carrera en TI, arreglando redes y solucionando problemas de seguridad. Pero su perspectiva cambió significativamente luego de experimentar violaciones de datos consecutivas de primera mano.
"Estaba lanzando todas las medidas de seguridad al problema y, sin embargo, las infracciones seguían ocurriendo", recordó. "Tuve que preguntarme: si solo las personas tontas son hackeadas, ¿entonces soy estúpido?"
Decidido a encontrar respuestas, recurrió a la investigación y descubrió que más del 90% de las violaciones de datos involucran el comportamiento humano, ya sea a través de errores o ingeniería social. Esta comprensión lo llevó a la ciberpsicología, donde desde entonces realizó estudios con más de 20,000 participantes y trabajó con más de 220 organizaciones en todo el mundo para cerrar la brecha entre la ciberseguridad y el comportamiento humano.
Now an award-winning educator, entrepreneur, speaker, and researcher, his insights have been shared at NASA-Goddard, ISACA, TEDx, and other leading forums. He’s currently a Research Collaborator at the National Institute of Standards and Technology (NIST).
Escuche, suscribir y revise El segmento: un podcast de liderazgo de confianza cero
Want to hear my full discussion with Dr. Huffman? Listen to this week’s episode on Apple Podcasts, Spotify, or wherever you get your podcasts. You can also read a full transcript of the episode.
