El cinturón de seguridad de ciberseguridad: la opinión de un ciberpsicólogo sobre el paso de la conciencia a la preparación

Raghu Nandakumara 00:11

Bienvenidos de nuevo, todos, a otro episodio de El Segmento. Es un enorme honor y privilegio estar hoy acompañado por un galardonado educador, empresario, conferencista e investigador de ciberseguridad. Dr. Erik Huffman, ¡Bienvenido a El Segmento!

Dr. Erik Huffman 00:28

Hey. Gracias por tenerme. Se lo agradezco.

Raghu Nandakumara 00:30

Entonces, no voy a poder hacerle justicia a sus maravillosos antecedentes. Todo lo que voy a decir es, es que esta es la primera vez que tengo una conversación con un ciberpsicólogo. Estoy intrigado en cuanto a lo que se trata. Tengo una pequeña idea, haber visto algunos de tus videos de YouTube. Entonces, Dr. Huffman, ¿por qué no nos da un poco de sus antecedentes?

Dr. Erik Huffman 00:52

Sí, así que empezar desde el principio, o, ya sabes, empezar por la ciberpsicología, ¿cosas interesantes?

Raghu Nandakumara 00:59

¿Sabes qué? Creo que es importante empezar desde el principio porque así es como nos damos cuenta de cómo llegaste a la ciberpsicología, ¿verdad?

Dr. Erik Huffman 01:05

La versión abreviada rápida es después de que recibí mi licenciatura en informática y empecé a trabajar para Walgreens, como conducir de tienda en tienda, arreglar impresoras, arreglar redes, arreglar computadoras, y cosas así. ¡Lo disfruté! Sabes, la razón por la que me metí en la informática es por mi papá, para ser honesto. Cuando crecí, obviamente, al igual que mucha gente, no tienes mucha, y pude ver a mi papá ir a la escuela, y realmente se metió en estas computadoras. Entonces vi cambiar nuestra vida. Nos vi pasar de, ya sabes, departamento realmente pequeño, una casa pequeña, a una casa grande. Entonces yo digo: “Oye, esto es bastante genial”, y así decidí seguir ese mismo camino. Y así obtuve mi licenciatura en informática, empecé a trabajar para Walgreens, y cosas así. Después recibí mi maestría en administración con concentración en administración de TI. Y así empezó a hacer algo de ello, la gestión de proyectos. Yo era de la mentalidad al igual que todos los demás. Como, solo hackean a la gente tonta. Por ejemplo, si tu nombre de usuario es admin y tu contraseña es admin, te lo mereces. Ya sabes, cosas así, simplemente súper arrogante. Como, oye, voy a cerrar todo. Nada es malo. Va a suceder. Y luego hubo una violación de datos en mi cabeza. Luego, tres meses después de eso, hay otra violación de datos en mi cabeza. Yo tenía curiosidad: si solo hackean a gente tonta, ¿soy estúpido? Ya sabes, una especie de autorreflexión, como, ¿es eso? ¿Eso es? ¿Soy estúpido? Y entonces realmente comencé a mirar los datos en todo lo que hacíamos porque sé a qué ayudó la tecnología que implementamos. Yo lo sé. Al igual que el firewall, el sistema IDS, el sistema IPS, todas las cosas que tiramos, toda la tecnología que desechamos este problema. Sé que ayudó, pero ¿por qué no estamos viendo ninguno de los resultados? Y entonces comencé algunas investigaciones, y luego solo miré el ritmo de la tecnología, y miré la tasa de brechas de datos, y les gusta reflejarse entre sí. Es como, cuanta más tecnología implementamos, peor era el problema de violación de datos. Pero aún así, en mi corazón, estaba como, lo sé, sé que esto ayuda. Y así empecé a mirar lo común, que somos nosotros, que son las personas. Lo cual desató una cosa completamente diferente porque empecé a mirar la psicología de las personas, la psicología de la ingeniería social. Y luego ahí, ayudamos a fundar este campo de la psicología cibernética. Entonces mi particular mirada a la psicología cibernética, ahora hay un montón de ramas diferentes. Fuera de ella, hay algunas personas que hacen una investigación fantástica. Yo, particularmente, miro la ingeniería social digital en ciberseguridad. Entonces, en la ciberpsicología, también hay personas que buscan la salud mental para los niños, el ciberacoso, y cosas así. Pero yo, particularmente, miro la ingeniería social digital y los ataques cibernéticos y cosas así. Entonces pasé de, ya sabes, conducir tienda en tienda en Walgreens para empezar a dar clases. Empecé a enseñar, y me encantaba la educación en un par de colegios, la educación superior. Entonces contar las historias me hizo perder la razón por la que existían esas historias. Y entonces yo estaba como, “Oye, tengo que salir del aula. Déjeme volver a las trincheras con mis hermanos y hermanas cibernéticos”. Y entonces eso me lleva ahora a hacer una enorme tonelada de investigación para continuar el empuje de la psicología cibernética sin dejar de trabajar en la industria.

Raghu Nandakumara 04:45

Eso es increíble, y tienes toda la razón. El supuesto es, es que, oh, como, gente descuidada, gente estúpida es hackeada, se compromete, ¿verdad? Pero lo cierto es que algunas de las organizaciones mejor financiadas con los programas de ciberseguridad más maduros siguen siendo víctimas de un ataque, ¿verdad? Y has dicho que estabas como en medio de dos ciberataques. ¿Cómo te sentiste en medio de esos incidentes? Al igual que esos incidentes, los descubriste. Estás en medio de ellos. ¿Cómo te sientes?

Dr. Erik Huffman 05:22

Honestamente, el sentimiento es de miedo, y es como, cómo, como, ¿qué hicimos mal? Tienes que calmarte. Tienes que calmar a todos los demás. Porque es como, de inmediato, es como, ¿quién hizo qué? Y puede que no sea que hiciste nada malo. Como, si eres una pequeña empresa a una mediana empresa, si un estado-nación quiere conseguirte, lo más probable es que te vayan a conseguir así, que puedas hacer todo bien y aun así te equivoques. Y así, durante esos incidentes, fue como: “¿Qué hicimos mal? ¿Quién se perdió qué? ¿Quién hizo qué?” Y eso era eso, ese era ese sentimiento, y tenía que salir de eso. Ya sabes, como ser, como persona senior de nivel junior, porque, ya sabes, yo era nuevo, recibí mi maestría, estuve en la industria por bastante tiempo, pero era nuevo en mi puesto. Entonces eres una persona de nivel junior, de nivel senior, tienes que entender que, oye, tienes que entender cómo liderar, y que puede que no sea culpa de nadie, y esa reacción de rodilla de lo que pasó, y luego es por quién hizo qué— eso fue tóxico. Y eso es algo que una lección aprendida para mí fue simplemente concentrarme en la cosa, enfocarte en lo que pasó, enfocarte en cómo, cómo podrías evitar que vuelva a suceder. Y entonces caí víctima de eso fue justo como, ¿quién hizo qué? Esto no debería suceder. Estábamos 100% seguros. En realidad, 100% seguro no existe. Y entonces no pienses quién hizo qué. Basta pensar en lo que pasó, y luego después de eso, en la acción posterior, o algunas personas lo llaman post mortem, averiguar quién hizo qué. Lo que pasó, ya sabes, ¿hicimos algo mal, o simplemente nos pillaron con la vulnerabilidad que ni siquiera sabíamos que existía?

Entonces usaste un término muy poderoso ahí sobre que era, como tóxico. En eso, se trataba más de culpar y culpar a un individuo o a un equipo versus entender cómo se manifestaba el problema en primer lugar. ¿Ves eso? No sé cuántos años atrás fueron estos incidentes, pero ¿ve que ese enfoque ha cambiado en las organizaciones ahora y que hay mucho más enfoque en lo que llevó a eso versus a quién?

No. La desafortunada respuesta es no. Muchas veces, incluso cuando consulto para organizaciones, fue, es quién hizo qué, y es el enfoque en quién hizo algo o qué negligencia existió versus lo que realmente sucedió. Y nosotros como público, como sociedad, también hacemos eso mucho con estas organizaciones, y entonces hay una violación de datos en alguna empresa importante e inmediatamente es como, bueno, hombre, obviamente están haciendo algo mal porque hay una violación de datos. Hasta los ciberprofesionales juegan a sillón ingenieros de ciberseguridad, como: “Oye, esto no hubiera pasado si hubieras hecho esto”, sabiendo que sabemos que no existe 100% de seguridad siempre y cuando las cosas estén conectadas al pozo de internet. Mientras exista esa conexión, no estarás 100% seguro. Entonces no creo que eso haya cambiado todavía, sobre todo en una perspectiva empresarial. Muchas veces, si los negocios piensan que son la percepción pública va a ser malo para los negocios o van a recibir un golpe bursátil o algo así. De inmediato va a quién hizo qué, y luego vuelve a encenderse, como el CISO o algo así. Y entonces el CISO es como, bueno, obviamente no estás haciendo bien tu trabajo, y quién sabe cuál era esa vulnerabilidad. Pudo haber sido día cero. Es como, oye, nadie lo sabía, y aquí somos pacientes cero. Sí, hicimos todo bien y aun así nos equivocamos. Y esa es una lamentable realidad cuando se trata de esta industria. Y soy humilde. Soy un hombre muy humilde. Esa es mi mamá, mi abuela, mi papá, me criaron para ser. Y sabes, yo caí víctima de eso. Y seré honesto con todos y diré: Sí, fui víctima de eso. Cuando había brechas de datos sucesiva en mi cabeza como líder de seguridad, recurriría a, como, ¿quién hacía qué? Como, esto no debería suceder. Bueno, no debería pasar, pero sí sucedió. Y es algo así como, qué vulnerabilidad existía. Todos podemos aprender algo, como que yo pueda poner algo al mundo, y todos aprendan algo. Y es justo en ese punto, como, ¿Quién eres tú el culpable? Como, lo siento, no sabes todo sobre tecnología y cada pedacito de tecnología que podría ser potencialmente explotada. No es una expectativa realista de un líder para sus empleados, y no debería ser una expectativa realista para todos los demás, el CISO o los ingenieros de ciberseguridad. Por no decir, oye, cada violación de datos debe ser excusada. No, pero simplemente no puedes ir ahí de inmediato. Si hay negligencia, descifralo después de solucionar el problema. No apunte inmediatamente hacia la negligencia primero, luego arreglemos el problema. No arregle el problema, luego busque negligencia, si eso existe.

Raghu Nandakumara 10:30

Absolutamente. Creo que es un punto tan importante para hacer porque no debería convertirse en un, la primera reacción no debería ser un ejercicio de CYA. ¿Correcto? Cubre tu parte trasera primero. Eso no debería ser, ¿verdad? También mencionaste el estrés para los CISO, cierto, y el tipo de, este miedo constante en el que viven de “qué va a pasar si hay una brecha en mi reloj”, ¿verdad? Particularmente porque es como, bueno, me van a preguntar, ¿verdad? Bueno, tienes todo este financiamiento para tu programa de seguridad, y sin embargo esto sucedió. Entonces esta debe ser una parte clave porque escuchamos muy a menudo sobre el burnout de CISO. Esta debe ser una razón clave para ello.

Dr. Erik Huffman 11:13

Sí, absolutamente es la última posición en la que estuve. Yo era la persona de seguridad de más alto rango en la organización, y lo es, es un camino hacia el burnout. Estás constantemente preocupado por todo tipo de amenazas a la seguridad y la velocidad que el negocio quiere acelerar porque, ya sabes, la velocidad del negocio no puede ralentizar, lo cual es totalmente comprensible. Pero a medida que la velocidad del negocio sigue avanzando cada vez más rápido, mayor es el riesgo. Sí, entonces estás tratando de equilibrar el riesgo sin ralentizar el negocio, pero en algún momento, necesitas decirle al negocio: “Oye, necesitas reducir la velocidad”. Y nunca, nunca ganarás ese argumento. Y es muy, muy difícil porque todavía te preocupa cualquier brecha que pueda ocurrir, porque puedes ser tú quien tenga la culpa de eso, a menos que tengas una organización madura que te diga: “oye, en realidad, como, debido a esto, probablemente, probablemente no sea tu culpa, pero aún tenemos que seguir invirtiendo en seguridad”. Pero ese es un nivel de madurez que no vemos en muchas organizaciones. Es un nivel de madurez que aún no existe en muchas salas de juntas para decirle al CISO que si hay una violación de datos, puede que no se deba a negligencia. Puede que no sea culpa de los CISO. Puede que no sea culpa del ingeniero de ciberseguridad o de éste o del director de seguridad. Podría ser algo que toda la industria esté aprendiendo de una vez, o podría ser un día cero que simplemente no parcheamos lo suficientemente rápido porque se lanzó cero días el primer día, el tercer día. Pasa que viene, pasa que viene a ti, sobre todo en el entorno empresarial, cosas así existen. No soy como un apólogo de CISO, pero obviamente no es justo el nivel de escrutinio que sucede hasta cierto punto en que se producen algunas de estas brechas de datos. Si eres una organización mediana y un estado-nación va hacia ti, no estás invirtiendo suficiente dinero. Te diré que no estás invirtiendo suficiente dinero para proteger ese CISO. Ese CISO probablemente va a ser explotado. Y si los culpas, puedes contratar a otra persona, y a ellos les va a pasar lo mismo. Como, de verdad, si los recursos están limitados, contrata a quien quieras, y no va a salvar a esa organización de lo que va a pasar. Por lo tanto, debe seguir invirtiendo en seguridad, pero comprender que el 100% seguro no existe, y comprender que, como el hombre, algunas de estas brechas son simplemente buenas del siguiente nivel. Y si estás preparado para ellos o no, y si quieres prepararte para todo y realmente minimizar el riesgo, mejor que esa inversión sea bastante alta. Tiene que ser bastante alto para darle una oportunidad a sus ingenieros de seguridad. No tengas 1,2,3, de ellos en tu empresa vale $50, $60, $100 millones y di, si algo malo pasa, está en ustedes. No conozco a mucha gente lo suficientemente buena para eso, y no lo son. Probablemente no se les paga lo suficiente para que eso sea real, como SOC 24 horas con tres personas, no sé, hombre.

Raghu Nandakumara 14:27

Hay algo ahí dentro que dijiste. No se trata solo de que la junta esté entendiendo completamente la importancia de un programa de seguridad, ¿verdad? Ese tipo de, creo que esa madurez, hemos llegado absolutamente al punto en que la junta directiva, los encargados de tomar las decisiones, entienden claramente el beneficio de un programa de seguridad bien desarrollado y bien ejecutado. Pero lo que estás diciendo es, es que eso es de por sí, eso es bueno, pero realmente, la junta necesita tener la madurez para entender que por mucho que inviertan en seguridad, todavía hay una posibilidad significativa de que un atacante comprometa su entorno. Y no deberían entonces reaccionar diciendo: “Oye, qué demonios”, como que esa no debería ser la reacción. Debería ser como, “Sí, lo conseguimos. Obtenemos que las probabilidades siguen apiladas a su favor”.

Dr. Erik Huffman 15:19

Sí, exactamente porque cada conversación en la sala de juntas para el progreso o el negocio muy probablemente, no voy a decir todo el tiempo, muy probablemente, evolucionará o desarrollará un nuevo riesgo. Y dependiendo de cuál sea ese riesgo, como junta directiva o como CEO, COO, algo así, necesitas entender que cuando tienes estas conversaciones, esos riesgos sí surgen, ¿y vas a mitigar esos o vas a aceptar esos riesgos? Algunas de esas conversaciones de seguridad que ocurren, y usted se frustra a los CISO se deben solo al riesgo aceptado. Y la junta directiva, el CEO, el CEO, y el CFO deben entender que, oye, si esto sucede, esto sucedió porque aceptamos el riesgo de que sucediera. Y si aceptaste el riesgo de que sucediera, y sucede, entonces es solo una especie de control de daños. Ya sabes, si el riesgo existiera, y pensábamos que el impacto, la consecuencia de que ese riesgo sucediera, no iba a ser tan grave. Y sucede, asegurémonos de que no sea tan grave, y luego revisitemos el riesgo. ¿Seguimos aceptando este riesgo? Lo más probable es que la respuesta sea: “No, necesitamos pivote. Tenemos que hacer algo diferente”. Porque no pensamos que la probabilidad de que ese riesgo ocurriera era tan probable, o era bastante probable, y entonces simplemente sucedió tan rápido. Como, ¿creemos que va a pasar de nuevo? Sí, ¿esto va a ser una cosa anual? ¿Es una cosa trimestral? Esperemos que no sea algo semanal, pero podría ser una vez cada cinco años después de que hagas tu post mortem y tu investigación al respecto, luego acepta ese riesgo y responsabiliza al CISO por el riesgo. Este riesgo fue aceptado como: “Bien, si esto sucede, por favor protéjanos de que empeore”. No “Por favor protéjanos de este riesgo lo aceptamos de siempre, siempre, siempre pasando”, entonces solo necesitas mitigar la maldita cosa. Disculpas, solo necesitas mitigar la cosa.

Raghu Nandakumara 17:26

Absolutamente y justo ese último punto que hiciste, porque al escucharte hablar de esto y tan apasionadamente sobre una especie de entendimiento que si aceptas un riesgo, básicamente has hecho la debida diligencia, y has dicho: "Creo que mis probabilidades están a mi favor. Entonces me lo llevaré aquí. No voy a poner más dinero”, pero te has dado cuenta de que todavía hay ese riesgo que sigue existiendo. Al aceptarlo, verdad, no lo has hecho desaparecer, ¿verdad? Entonces si ese riesgo es exactamente lo que se explota, entonces no se puede decir: “Bueno, pensé que nos defendimos contra esto”. Lo aceptaste, ¿verdad? Y en realidad, hasta ese punto, nuestro evangelista jefe John Kindervag, él en realidad, le dice, el riesgo es el peligro, ¿verdad? Tienes que hacerlo en lugar de aceptar el riesgo, tienes que hacer lo mejor que puedas para mitigar tanto como sea posible.

Dr. Erik Huffman 18:20

Exactamente. Por lo tanto, las placas maduras en seguridad no solo entienden la seguridad. Bueno, ellos sí, pero entienden que la seguridad es administración de riesgos. Todo profesional de seguridad, el trabajo es riesgo. Ya sea que se trate de usar tecnología o de implementar algo, nuestro cumplimiento de normas es solo, es administración de riesgos. Por lo tanto, la junta directiva debe entender, o sus equipos de desarrollo de negocios lo están entendiendo, que todo es administración de riesgos. Y entonces, “Oye, vamos a hacer esto. ¿Entiende este riesgo? Sí.” Y luego ellos, ellos tendrán, con suerte, como un registro de riesgos poblado, y saben lo que están aceptando, y saben lo que están tratando de mitigar. Y luego al equipo de seguridad, sí, se les debe hacer rendir cuentas. Usted es responsable de los riesgos que están en la junta directiva que decide mitigar. Como: “Oye, dijimos que mitigamos esto, y descubrimos que todavía están ejecutando Windows XP por alguna maldita razón”. Sí, por todos los medios, como, por todos los medios. Pero si se acepta este riesgo, y entonces el riesgo ocurre así, solo significa, hey, solo control de daños. Control de daños y asegúrate de que no vuelva a suceder. Aplaudir a todos los hombres y mujeres que lideran organizaciones con ese tipo de relación porque entonces el equipo de seguridad, los CISO, no están enfrentando tanto burnout porque entienden que la junta entiende, como, hey, si pasa algo malo. No estoy en la calle en este duro mercado laboral.

Sabes, ellos entienden que, oye, podemos hacer que sucedan cosas como, y simplemente todos vamos al control de daños, pero ciertas cosas absolutamente no pueden suceder, como, si, la violación ocurrió, y es negligencia absoluta, sí, se te hace responsable de ello, y es justo. Es un argumento justo. el camino. El nombre de usuario era admin, la contraseña era admin, si, Malo. Mal equipo de seguridad. Absolutamente mal equipo de seguridad. O tenías software sin parchear que debería haber sido parcheado hace un año o tres o dos trimestres atrás. El equipo de seguridad probablemente debería ser el dueño de esa si sus procesos se rompen. Pero si se convierte en el software o esto se debe a la necesidad del negocio, implementamos esto, o no estábamos parcheando tan rápido como queríamos porque no tenemos el equipo que necesitamos. Y te dijimos qué riesgo existía, y dijiste: “Oye, podríamos estar un poco atrasados en parches porque necesitamos invertir más dinero en esto", y algo malo sucede. Entonces es como, bueno, tenemos que volver a visitar esto. Este riesgo es demasiado alto; la consecuencia es demasiado alta, y la probabilidad es demasiado alta. Y esa conversación, ahí es donde deberían estar todos los negocios, ese es el sueño de los negocios.

Raghu Nandakumara 23:43

Ese es un resumen increíble de solo una colección de puntos y realmente sobre la mejor manera en que el negocio por un lado y la organización de seguridad para apoyar algo de su lado realmente deberían trabajar juntos para ofrecer los mejores resultados para ambas partes. Entonces, gracias por eso, Dr. Huffman. Quiero como que seguir adelante. Tu campo, y como que hemos sorteado esto, pero estás aquí por tu trabajo como ciberpsicólogo. Danos una definición realmente simple de lo que es la ciberpsicología.

Dr. Erik Huffman 24:14

La ciberpsicología es una mezcla entre seguridad, ciberseguridad, psicología del comportamiento humano, y sociología del comportamiento humano en neurociencia. Pura y simple, pones esas tres cosas juntas, y terminas con la ciberpsicología. Bien,

Raghu Nandakumara 24:30

Entiendo, entiendo eso, ¿verdad? Entonces, ¿por qué es tan importante hoy?

Dr. Erik Huffman 24:36

Porque más del 90% creo, es entre el 94 y el 97% de las brechas de datos involucran el comportamiento humano, involucran al elemento humano, al elemento humano. Y así sé que incluso antes en esta conversación, estamos hablando probablemente del 2-3% del problema -por no decir que la tecnología no importa, la tecnología importa mucho. Estamos hablando del 2 al 3% de las brechas de datos. El otro 95-97% de las brechas de datos involucran el comportamiento humano, implica como un error humano, o involucra ingeniería social desde alguna perspectiva. Cuando comencé mi investigación, saqué a un grupo de más de 300 hackers, autoidentificados. No me dijeron si son sombrero blanco, sombrero negro, sombrero gris, lo que sea. Creo que es como que el 93% de ellos dijeron que empiezan con humanos antes de empezar con la tecnología porque preferirían que me des tu nombre de usuario y contraseña. Ni siquiera es hackear en ese momento. Hace que mi trabajo sea mucho más fácil como amenaza, como actor de amenazas.

Raghu Nandakumara 25:40

Sí, absolutamente. Y creo que ese último punto es probablemente un punto de partida; los atacantes no quieren trabajar duro, ¿verdad? Ellos quieren el camino fácil para el éxito, no el camino, no el camino difícil hacia el éxito. Bueno, la mayoría de las veces, de todos modos, se trata del camino fácil hacia los ingresos.

Dr. Erik Huffman 25:57

Sí, ¡oh, definitivamente! Al igual que ir mano a mano con un firewall de parches, esa es una tarea descabellada. No mucha gente en el planeta puede hacer eso. Entonces, cuando estás hablando de, bien, tienes un sistema IDS completamente parcheado, firewall completamente parcheado, completamente parcheado qué router, hombre, como personas que pueden entrar en eso. Es decir, como, 1% de 1%. Es muy, muy, muy difícil de hacer. Entonces eso limita, como, si estás completamente parcheado, eso realmente limita cuántas personas pueden explotarlo, pero si puedo lograr que contribuyas a tu propia violación de datos, oh, hombre, así es que eso es, eso es amor.

Los atacantes, no quieren, no quieren trabajar duro porque las tecnologías evolucionan, los parches están saliendo. Las vulnerabilidades existen, y luego se van, pero tú eres un objetivo. Y así cuanto más tiempo lleva, más difícil puede llegar a ser. Pero si consigo conseguir que me hables, si puedo conseguir que contribuyas a tus propias faltas, entonces me facilita mucho mi trabajo. Y puedo obtener muchos más datos si me conviero en un usuario privilegiado si puedo convertirme en ti en tu sistema, me hace mucho más fácil mi trabajo. Y así la mayoría de los hackers empiezan ahí. Empiezan contigo, empiezan conmigo, antes de que terminen como, Oye, déjame ir mano a mano con Microsoft o con Apple o con Cisco o Palo Alto, no tenerlo, y ellos no quieren. Ellos no quieren hacer eso. En su mayor parte, la mayoría de los hackers no lo hacen. La mayoría de ellos solo quieren los datos lo más rápido posible, tan fácilmente como puedan.

Raghu Nandakumara 27:36

Y es exactamente por eso que gran parte de la formación de concientización en seguridad que todos conocemos y amamos está tan enfocada casi en abordar esa tendencia humana a ser curiosos, ¿verdad? Entonces, si la educación está por ahí como, ¿cómo puedes validar que un sitio web al que vas sea confiable, verdad? ¿Cómo evitas hacer clic en ese enlace en un correo electrónico cuando te ofrecen boletos para el Super Bowl por $5 en la suite VIP? Entonces, a pesar de todo eso, seguimos haciendo clic derecho. Seguimos yendo a esa página web a la que no deberíamos ir, ¿verdad? Todavía damos nuestros datos en una llamada telefónica cuando la persona está siendo nuestro mejor amigo. Entonces, ¿por qué, a pesar de toda esta educación, por qué todavía no lo es? ¿Por qué no has llegado a un punto en el que nos hayamos detenido?

Dr. Erik Huffman 28:30

Sí, creo que mi opinión honesta, es que pasamos tanto tiempo en concientización sobre ciberseguridad que ni siquiera hemos explorado la preparación para la ciberseguridad. Nos hemos esforzado tanto para concientizar a la gente del problema que no hemos preparado a la gente para los problemas que existen. Al igual que en este punto voy a decir que la mayoría de la gente es consciente como, así que no debes enseñar conciencia. Tenemos que empezar a avanzar hacia la preparación. En ingeniería social digital y, phishing, no es más que marketing malicioso. Y todas las empresas saben que el marketing funciona. Por eso invertimos miles de millones de dólares en ella. Mercadotecnia funciona. Y tan malicioso marketing, ¿por qué no funcionaría eso? Porque se está depredando, se está atacando al humano. Es apegarse de los principios de influencia para ese humano. Y todos tenemos estos principios de influencia que existen para nosotros, y así solo depende de cómo el atacante esté eligiendo llegar a la persona. Tus principios de influencia son diferentes de mis principios de influencia. Entonces las cosas en las que haría clic son diferentes a las cosas en las que haría clic. Y ni siquiera hemos empezado a preparar a la gente para la conversación de que ellos, como persona, van a ser atacados. Hemos hecho que la gente sea consciente de las amenazas técnicas. Y encima de eso, esas amenazas técnicas suenan muy difíciles de hacer. Suena muy difícil para una persona a la que no le gusta la tecnología; suena como, oye, tienes que- ni siquiera como revisar encabezados de correo electrónico- eso es fácil, pero empezamos a hablar de puertas traseras y cosas así. Pero si desglosamos el problema y dijimos, lo que van a tratar de hacer es engañarte como persona. Y para que usted nos ayude con el problema de seguridad, necesitamos que no se deje engañar. Lo que van a tratar de hacer es jugar con tu principal influencia del gusto. Juega con tu principio de influencia, de reciprocidad, de curiosidad. Cosas así entonces sonarán como para una persona, como un empleado promedio, o una persona financiera, o una persona de marketing, como: “Oh, puedo conseguir esto. Yo puedo hacer esto. Como, no lo soy, no soy un experto técnico, pero puedo protegerme de este tipo de ataques”. Entonces, comenzamos a inclinarnos hacia la preparación. Empezamos a preparar a la gente para el problema porque la conciencia, no creo, es una pérdida de tiempo. Creo que aún debemos seguir haciéndolo, pero tiene que haber un paso por delante de eso. Tenemos que ir un paso adelante y comenzar a preparar a las personas para los tipos de amenazas que existen, cómo van a apuntarlas específicamente, y qué vulnerabilidades tienen como persona, y realmente inclinarse hacia eso. como ahora mismo, es muy difícil encontrar un trabajo, y la gente tiene miedo de perder sus trabajos, especialmente en tecnología. Los despidos tecnológicos se están volviendo locos. Te garantizo que si envías un mensaje con respecto a los despidos en una campaña de phishing, la gente va a hacer clic. No es porque sean estúpidos. Es que estas personas tienen miedo por sus trabajos. Están preocupados por esto. Y esos son los tipos de amenazas que empezamos a ver que son más exitosas. Se han ido los días del príncipe nigeriano. Ya sabes, la gente todavía envía cosas así, pero cuando se trata de apuntar a la persona intencionalmente, la gente tiene miedo y no quiere pensarlo dos veces. Simplemente quieren ayudar al CEO porque le tienen miedo al CEO porque tienen miedo de perder sus empleos; esa es una vulnerabilidad humana. Y todo el mundo tiene uno. Esto es, como, mala persona, como, no buena persona, muy vulnerable en este momento. Y para citar, descotizar, parchear esa vulnerabilidad podría necesitar ser un mensaje del CEO. Como, si, si solo hubiera un despido, la gente necesita escucharlo del CEO, y necesitan escuchar honestidad. Si acabas de despedir como 20% de tu empresa, te garantizo que el otro 80% de tu empresa tiene miedo del próximo despido. Y entonces, ¿dónde está esa vulnerabilidad de phishing? ¿A dónde se empata esa vulnerabilidad de ingeniería social digital? Probablemente su nombre, señor, señora, señorita CEO. Porque si envías un mensaje a otra persona. Te garantizo que van a vivir. Ellos van a escuchar y no quieren cuestionarte porque tienen miedo por su trabajo, que es la naturaleza humana.

Raghu Nandakumara 33:09

Sí, sí. Así que solo creo que una cosita en la que voy a estar en desacuerdo contigo es que no creo que el príncipe nigeriano se haya ido. Dice que el príncipe ahora está armado con un modelo de lenguaje grande que es capaz de generar correos electrónicos tan dirigidos y tan personalizados, cierto, que en realidad lo ves para otra cosa, y piensas que es genuino y un truco por ello. Pero quiero hablar de vulnerabilidad, de vulnerabilidad humana y preparación. Entonces lo que dijiste es que tenemos muy buenos en concientización, ¿verdad? Y estoy de acuerdo, ¿verdad? Y puedes ver que ha ido más allá del entorno laboral, y ahora es más o menos como los niños de cuando casi están en el jardín de infantes, están educados en la conciencia cibernética, ¿verdad? Y es realmente importante. Y dijiste que tenemos que centrarnos en la preparación. Entonces mi pregunta para ti es, es que cuando todo es justo y encantador, ¿verdad? Somos capaces de tomar muy tipo de decisiones relativamente racionales y objetivas. Pero como saben que atacantes, hackers, delincuentes están apuntando. Han perfilado sus objetivos de tal manera que los atacan cuando están en su punto más vulnerable. Entonces, ¿cómo construye la preparación para una preparación similar a un estado para una situación cuando está en su punto más vulnerable, y cómo puede seguir actuando de una manera que garantice que se está protegiendo adecuadamente?

Dr. Erik Huffman 34:38

Sí, esa es una pregunta fantástica ahí porque ese es el paso que las organizaciones deben tomar. Mucho de eso es sobre autorreflexión, pero mucho de eso es entender el medio ambiente. Entonces cuando se trata de entender entornos, como si fueras a ir a un país en el que nunca has estado antes, te garantizo, si tienes mochila, vas a estar mucho más pendiente de lo que pasa alrededor de esa mochila. Si eres mujer o hombre y llevas una bolsa o un bolso de algún tipo, te garantizo que te vas a asegurar ese bolso un poco más apretado. Sin embargo, cuando estás en línea, el entorno físico que te rodea no cambia, pero en tu entorno digital, es posible que estés en tierra de nadie en absoluto. Puede que estés en algún lugar extraño, extraño, pero debido a que tu entorno físico a tu alrededor no cambia, tu cerebro como persona, biológicamente, tu cerebro no está viendo las amenazas. No ve exactamente las amenazas de la misma manera. Especialmente algunas organizaciones, muchas organizaciones con las que estoy de acuerdo mucho, ya sabes, trabajan desde casa. Si trabajas desde casa, estás mucho más cómodo. Entonces tu estado más vulnerable como persona en línea es diferente a tu estado más vulnerable como persona físicamente. Como si estás cómodo, eres más hackeable. Es como, si estás cómodo en tu entorno físico, es más probable que estés como, oye, voy a tener mi mochila, y podría dejar mi mochila en alguna parte. Y volver a como, Oh hombre, lo olvidé totalmente. Pero si estás en un país extranjero, probablemente no te estés olvidando de esa mochila. Pero en línea, digitalmente, si te sientes cómodo, no estás como, “Oye, déjame revisar esto. Permítanme verificar esto”. Porque como humano, como el predeterminado como, si es lenguaje escrito, la voz predeterminada en la que lees es la tuya, y porque estás leyendo con tu propia voz. Estás recibiendo todos estos mensajes, todos estos comandos, en una voz amigable, de confianza, porque la mayoría de las personas, confían en sí mismas, se gustan de sí mismas. No lo estás leyendo con la voz de la persona que lo envió, a menos que veas el nombre de un ser querido o de alguien que conoces, entonces empiezas a leerlo en su voz. Y así como atacante, puedo conseguir que quien diga lo que quiera decir, porque a eso me gusta llamar autenticación de factor humano. Ves el nombre, luego ves el mensaje y luego confías en el mensaje. Sabes que tienes que poder comprobar esas cosas. Entonces, a medida que comenzamos a pasar de la conciencia a la preparación, gran parte va a comprender el entorno y comprender el yo. Y si entiendes el entorno en el que te encuentras, estás en un poquito mejor, mejor posición. Y si te entiendes a ti mismo y cómo recibes información y las vulnerabilidades que tienes como persona, entonces estás en un lugar mejor. Como mucho de esto empezó fue que recibí un mensaje de un impostor, imponente como mi mamá. Y así, ya sabes, conozco la voz de mi mamá, mujer y hombre negro sureño, la voz más amable en mi cabeza. Y así cuando veo que recibo esa información, y estoy recibiendo esa información en su voz. Y eso es difícil ser como, “no”. Ya sabes, así es como es. Y AI está tomando eso, y está volteando eso como una locura en este momento.

Raghu Nandakumara 38:11

Sí, absolutamente. De hecho, para aquellos de ustedes que no han escuchado al Dr. Huffman contar esta historia, de verdad los animo a que vayan a ver el video de su charla TEDx, y está contada de la manera más brillante, brillante. Pondremos el enlace en las notas del programa. Entonces cuando estamos pensando en una especie de preparación y poder estar, supongo, poder estar preparados incluso en tiempos de estrés y vulnerabilidad, ¿verdad? Entonces, todas esas cosas, y esas son cosas difíciles de desarrollar, ¿cómo construimos entonces un sólido programa de preparación cibernética?

Dr. Erik Huffman 38:49

Sí, entonces haz eso, tienes que hacer dos cosas, de verdad. Tienes que hacer una tasación de amenazas y una tasación de afrontamiento. Y animo a cada persona a hacer esto por sí misma, por no decir, oye, cada organización necesita hacerlo en una organización con objetivos de alto valor. Puedes hacer esto con ellos. Puede hacer una evaluación de amenazas y una evaluación de afrontamiento. ¿Qué es una evaluación de amenazas, qué vulnerabilidades o amenazas existen para esta persona en particular y qué riesgo existe para esta persona en particular? Y entonces la evaluación de afrontamiento es, qué habilidades y cómo reaccionarían si ocurrieran estos riesgos. Y entonces mientras haces tu evaluación de amenazas, solo dices, oye, ¿cómo trato con este riesgo en particular? ¿Cómo trato con esta instancia en particular? ¿Qué amenazas existen de manera realista, no solo para el trabajo, sino para la persona y ellos mismos que existen? Entonces, si lo haces personalmente, puedes ser mucho más realista, o puedes ser mucho más personal con algunas de las amenazas que existen para ti. Y luego en base a eso, puedes hacer una tasación de afrontamiento. Sí, y entonces esa evaluación de afrontamiento es, qué habilidades tiene la persona, o qué sistema de apoyo necesita la persona para prepararse mejor para estos riesgos que existen ahí fuera. Hacer esas dos tasaciones te pondrá años luz por delante de la mayoría de las organizaciones, porque estas son cosas psicológicas que las personas deberían hacer, como cuando enfrentan un trauma o están en terapia, la mayoría de los psicólogos te dirán, oye, que hagas una evaluación de amenazas. Haz una tasación de afrontamiento para ver dónde estás, y igual de rápido, como un ejemplo rápido. Entonces, si fuera a hacer una evaluación de amenazas, la pregunta que puede hacerse es, ¿qué podría o debería hacer para reducir este riesgo particular de este problema? Inserte allí como espacios en blanco, sea cual sea el riesgo que exista. ¿Cuál es su experiencia de esta amenaza en particular o de esta cosa en particular que existe ahí fuera? Y luego otra pregunta que te puedes hacer, un poco fuera de mi cabeza, es, ¿cómo evitas lidiar con este riesgo particular que existe? Y entonces a partir de ahí, estás obteniendo una comprensión integral de la persona y el riesgo que existe tal como esa persona es, ya que esa persona está trabajando dentro, dentro de la organización, si quieres profundizar, si estás haciendo una sobre ti mismo, o si quieres hacerle una pregunta profunda a alguien mientras estás haciendo una evaluación de amenazas es, ¿cómo sabes que estás molesto? Y cuando estás molesto, ¿te lo escondes a ti mismo? Y entonces si son realistas, digamos, ¿Cómo sé que estoy molesto? Sabes, por lo general, empiezo a pellizcarme los puños o las palmas de las manos, a sudar, o algo así. Como, hay algunos signos revelador para mí personalmente cuando me enojo. ¿Te lo escondes a ti mismo y a los demás? Como, sí, sí. Por lo general, yo simplemente guardo eso, entonces es como, así que si tú, si estás en un momento de mucho estrés, lo más probable es que no estés mostrando el estrés del todo, y lo estés ocultando de ti mismo. Entonces entiende ese riesgo, entiende esa amenaza que existe para esa persona, y luego la evaluación de afrontamiento con esa misma amenaza podría ser, y cuando esa amenaza ocurre, ¿cómo podría ver esa situación en particular? Y luego se pasa de, se llama pensamiento de capa de prueba. Va de lo que es la amenaza a ¿qué podría hacer con la amenaza? ¿A cuáles son las posibilidades correctas? Como, ¿de qué otra manera podría ver esta amenaza? Como que esa amenaza no puede desaparecer. ¿De qué otra manera podría ver esta amenaza? Y luego le estás dando a la persona herramientas sobre cómo evaluar y hacer frente mejor a las situaciones que puede enfrentar en el trabajo. Y luego es uno ser como, ¿cómo podrías cambiar tu respuesta a este tema? Quiero decir, si estás cambiando tu respuesta al problema, en realidad les estás dando herramientas para cambiar su comportamiento. Entonces, en lugar de hacerte consciente de las cosas que ocurren, como la Conciencia de Ciberseguridad, te estoy preparando. Te estoy mostrando lo que existe ahí fuera para ti, y te estoy dando las herramientas para prepararte para cuando ocurran. Si la amenaza no puede desaparecer, debe comprender cómo la ve y cómo puede cambiar la situación de esta amenaza para estar mejor preparado para ella. Entonces, si está recibiendo correos electrónicos específicos, o si está recibiendo mensajes específicos o llamadas dirigidas, o si está recibiendo deepfakes de IA de personas en particular, puede prepararse mejor para cuando vea esas cosas que existen, hay mucho que puede hacer. Por lo tanto, las evaluaciones de afrontamiento, las evaluaciones de amenazas que serán así, serían el punto de cambio absoluto para las organizaciones debido a las amenazas que existen, si solo está seleccionando amenazas, no elija cualquier amenaza aleatoria. Elija amenazas con valor. Como que hay 1000 amenazas por cada persona. Todos sabemos que, como cualquier cosa puede suceder, elija amenazas con valor. Después de elegir las amenazas con valor, ayude a la persona a entender cuál es su gravedad percibida de esta amenaza, porque puede que no vea la gravedad, o puede pensar que la amenaza es mucho más grave de lo que realmente es, y si piensa que la amenaza es mucho más grave que en realidad esa es la zona de Goldilocks, para alguien que va a hacer clic en algo o ser víctima de la ingeniería social, la amenaza ni siquiera es tan grave. Al igual que el CEO, probablemente no te van a despedir. No debes tener miedo de tu trabajo, pero la amenaza percibida, la gravedad de esa amenaza está ahí arriba, entonces la vulnerabilidad percibida de que tienen profesionales de ciberseguridad, somos víctimas de eso todo el tiempo. Entiendo la tecnología, así que no voy a ser víctima de la ingeniería social digital para percibir que la vulnerabilidad es una locura. Como si, lo harás, supongo que sí, puedes, porque no es un tema de tecnología. Se trata de una cuestión humana, y luego los beneficios asociados que se producen. A partir de eso. Entonces, el afrontamiento es todo lo que expliqué. Y entonces una cosa que agregar al afrontamiento es solo en base a tu tasación de afrontamiento, lo que vas a construir es más autoeficacia, porque lo que hemos encontrado es gente que odia la microgestión, gente que se automonitoriza, como, probablemente tú y yo odiamos la microgestión. Estoy muy motivada. No necesito ser como, mirado. Caemos víctimas de la ingeniería social mucho más que las personas que dependen de otras personas. Porque estoy ahí fuera, estoy ahí sola, como, solo déjame hacer mi trabajo. Estoy bien, y por eso, estoy confiando en mí mismo. Estoy más aislado. Y como estoy más aislado, voy a tener que tomar decisiones por mi cuenta. Y entonces ingeniería social, realmente vas, realmente estás tomando y yendo uno a uno con el ingeniero social y el actor de amenazas. Entonces es más probable que seas víctima de un intento de ingeniería social, al igual que, tal como lo haría yo, y con esa evaluación de afrontamiento. Lo que ibas a conseguir después de eso es control percibido. ¿Puedes controlar la situación? Y si tienes control percibido, y si puedes alinear todas estas cosas juntas, y le das el control de la amenaza a la persona, ya no están mirando al equipo de seguridad como, oye, vas a salvarme de cada error que pueda cometer. Absolutamente no puedo salvarte de cada error porque si empiezas a unirte al actor de amenazas y les das las llaves del reino, no hay nada que pueda hacer para salvarte. Y así ese control percibido ahora has percibido el control con precisión de la situación. Porque ahora mismo, si tu control percibido como usuario es el equipo de seguridad me va a salvar, ¿me van a salvar los filtros de spam? Tenemos todas estas herramientas de seguridad por ahí como, no tengo que preocuparme por la ingeniería social. Sí, lo haces. Tu control percibido de la situación es que no tienes control, y te prometo, sí lo tienes. Lo siento, esa fue una respuesta larga que. Me apasiona.

Raghu Nandakumara 47:09

No, me encanta. Creo que es una gran respuesta. Y creo que es realmente importante porque, de nuevo, me gustaría resumir, ¿verdad? Es ese cambio de la conciencia a la preparación, ¿verdad? La conciencia es genial, pero es básicamente inútil si no estás preparado para actuar sobre esa conciencia. Y creo que eres amable de ti después de resumir, entonces los caminos que nos llevan a una mejor preparación.

Dr. Erik Huffman 47:35

Sí, exactamente porque, como, ser consciente es como, si conduces en un auto, ocurren accidentes automovilísticos, estar preparado es ponerte el cinturón de seguridad, sí, y cuando conduces, creo que la mayoría de la gente, todo el mundo debería estar preparado para un accidente. Ya sabes, obviamente, quieres tener, quieres tener puesto el cinturón de seguridad, por si acaso algo sucede. Y también, la preparación de la industria automotriz es, oye, tenemos airbags y todas estas cosas. El auto está diseñado para, diseñado para ser más seguro si algo sucediera, y te pones el cinturón de seguridad, estás preparado para si algo sucede. Esperamos que lo haga, pero estás preparado para ello. Y ahora mismo, no tenemos cinturón de seguridad. No tenemos cinturón de seguridad de ciberseguridad. Simplemente tenemos un montón de videos y un montón de conciencia por ahí de lo que puede pasar, y lo que hemos hecho a finales de manera innata es psicológicamente, asustamos a todos los que deberíamos haber preparado. Sí, todo el mundo tiene miedo de esta amenaza que existe, pero tenemos que prepararlos para ello, porque la velocidad de los negocios no va a disminuir. No podemos decir “internet se va”. Es demasiado peligroso no pasar. No es realista. Entonces necesitamos prepararte para el entorno en el que sin duda vas a tener que vivir y vas a tener que operarlo igual que con los autos. Podrías probar otros medios para llegar al trabajo, medios más seguros, pero lo más probable es que, si quieres mantener tu trabajo, no quieras empezar a pedalear una bicicleta a, ya sabes, medianoche para llegar al trabajo en un momento decente, vas a tener que prepararte para un posible, potencial accidente automovilístico. Espero que no suceda. Pero si por casualidad te enfrentas a ese tipo de amenaza que existe, lleva puesto el cinturón de seguridad para que estés bien. Y ahora lo es si terminas enfrentando a un actor de amenazas muy bien equipado, especialmente ahora que la IA y los deepfakes están saliendo para todos, podemos entrar en eso y decir, como si viniera para todos, necesitas prepararte mejor sobre los tipos de amenazas que vas a enfrentar como persona. Y no incluye ir de manos como codificar, ir de código a código con un actor de amenazas como si lo perdieras. Pero si puedes prepararte, si puedes prepararte psicológicamente, puedes evitar que ellos vayan tan lejos. Puedes evitar que te exploten como persona. Porque ahora mismo, el 90% del problema no es solo como. El ser humano es el eslabón más débil. Eso no es cierto. Yo creo que, como humanos, simplemente tenemos la mayor cantidad de vulnerabilidades. Simplemente tenemos la mayor cantidad de vulnerabilidades. No somos el eslabón más débil. Nosotros mismos bloqueamos muchas amenazas, pero tenemos una enorme cantidad de vulnerabilidades únicas de las que la tecnología no puede salvarnos. Eso es

Raghu Nandakumara 50:17

fascinante. Me encanta la analogía del cinturón de seguridad. Y de hecho, si no te importa, voy a ver qué tipo de porque, como dijiste, la razón por la que llevas cinturón de seguridad, la razón por la que el auto tiene todos los diversos como características de seguridad que tiene, es porque está diciendo que en caso de un accidente, queremos que estés lo más seguro posible, ¿verdad? Entonces, con eso, crees que una estrategia Zero Trust, un enfoque Zero Trust, y hemos hablado de cómo, como un ataque, es una inevitabilidad, ¿verdad? El atacante encontrará la manera de tener éxito, justo en la forma en que nunca podremos obliterar todos los accidentes de tránsito en ese escenario. ¿Crees que adoptar una estrategia de Confianza Cero es como tener esas características de seguridad en un auto? Prepara mejor a una organización para ese inevitable ciberataque.

Dr. Erik Huffman 51:10

Definitivamente creo que sí. Entonces, si su organización, porque lo que somos, de lo que hemos estado hablando, es tratar de construir un comportamiento como Zero Trust en las personas mientras leen cosas o cuando interactúan con personas u otras entidades en línea, y así como organización, si construyen una infraestructura Zero Trust, ese es el mejor escenario para las organizaciones. Ni siquiera es confianza sino verificar. Es verificar. Ya sabes, porque hemos empezado a decir, oye, confía, pero verifica. Puedes confiar en él, pero verifica que sea cierto. Como, no, no confíes en absoluto. Ya sabes, solo verifica, verifica todo. Porque Cero Confianza de lo que es. No es un producto. Es una mentalidad o un concepto que toda una organización tiene que seguir. Simplemente no puedes comprar algo y decir: Oye, ahora somos Zero Trust. Tienes que implementar un montón de comportamientos diferentes. Y entonces yo diría a algunos que no eres completamente Zero Trust, a pesar de que lo has hecho desde una perspectiva técnica si no has mirado a la gente y les has dado el poder de ser Zero Trust. Y así, si eres tan autoritario en tu comportamiento como organización donde no pueden cuestionarte, les estás diciendo que confíen de forma innata en cualquier cosa que venga de ti. Eso no es Zero Trust. Y entonces creo que uno tiene que suceder con el otro, como que tienes que ser Zero Trust como organización en tu comportamiento, y tienes que ser Zero Trust como organización desde una perspectiva técnica.

Raghu Nandakumara 52:43

Sí, absolutamente. Creo que eso es perfecto. Entonces, pasando de ahí. Y hemos mojado los dedos de los pies aquí y allá en IA, justo durante el proceso de esta conversación. Entonces, quiero decir, estoy volviendo a la raíz de esto en la ciberpsicología por todo lo que hemos hablado. Si entonces ahora nos basamos en el hecho de que la IA es una realidad, ¿verdad? Lo usamos en el día a día, en nuestros trabajos, ¿verdad? En nuestras vidas. Pero si pensamos en esto desde una perspectiva de psicología, realmente arroja una llave masiva en las obras porque ahora, como nuestra capacidad de discernir la realidad de la ficción, es súper duro, ¿verdad? Sí, es que la dificultad ha subido a lo grande. Entonces, ¿cómo juega eso en tu campo?

Dr. Erik Huffman 53:37

Oh, se necesitaron muchas cosas en las que trabajé durante años, y lo destrozó. No, todos los chistes a un lado. Agrega tanta complejidad. Porque de un humano, cuando digo que estás leyendo tu propia voz, eso es justo lo que pasa. Entonces, si alguna vez te gusta, viste una película, lees un libro, un libro realmente bueno, y luego ves la película, y estás decepcionado de todos los tiempos, porque todos se ven mal, todos suenan mal, y la persona que creó esa película fue una de las personas que escribió el libro, y les estás diciendo que están equivocados, porque cuando construyes, cuando lees, construyes este personaje en tu cabeza, y luego solo tú, empiezas a leer en su voz, y lo aceptas como la norma. Cuando se trata de IA, ahora puedo tomar todo ese trabajo mental que haces y tirarlo a la basura. Puedo hacerte ver lo que quiero que veas, y puedo hacerte escuchar lo que quiero que escuches de la manera que quiero que lo escuches. Anteriormente, es por eso que los memes nunca se enviaban como ataques de amenaza. Ya sabes, como que no están enviando memes porque lo ves, y luego solo todas tus defensas biológicas se levantan, y luego simplemente te gusta, Nah, eso no es real. Pero como IA ahora, puedo aplicar como me gusta, el principio de gustar. Puedo mostrarte un hombre atractivo, una mujer, o quien sea, y entonces es más probable que recibas parte de esa información. Puedo tener un video de tu CEO diciéndote, en su voz, que hagas lo que ellos hacen y lo que quiero que hagas, y es más probable que lo recibas. Puedo tener una pose falsa profunda como tú y enviársela a otra persona, y es más probable que la reciban. Se lleva las defensas biológicas ese peligro extraño cuando miras a alguien y poco a poco va disolviendo esas cosas, y a medida que seguimos evolucionando, porque el objetivo de la IA es no ser detectable por humanos que sea IA. Y lo que es eso, desde una perspectiva de seguridad, es como, necesito que sea lo suficientemente falso como para saber. Y ahora mismo, se está poniendo demasiado bueno, y es difícil de decir, como que hemos tenido CFO mandando dinero a otros CFO vía deep fake porque los escucharon decirlo por teléfono. Eso ya pasó. Y la IA ni siquiera es tan genial en este momento. Sigue en su embajada. Pero cuando se pone muy, muy bien, esas defensas biológicas que tenemos cuando vemos la canción se van a hacer añicos porque ahora no puedes confiar en lo que lees, no puedes tocar, no puedes confiar en lo que ves, no puedes confiar en lo que escuchas. Será mejor que seamos Zero Trust para ese momento porque va a dar mucho miedo ahí afuera.

Raghu Nandakumara 56:32

Y creo que también hasta ese punto, todas las cosas de preparación, es de repente estamos de vuelta al punto de partida, sí, bien, teniendo que reiniciar completamente y empezar de nuevo.

Dr. Erik Huffman 56:44

Definitivamente, porque actores de amenazas, porque todo lo que hemos construido anteriormente, los actores de amenazas han encontrado una manera brillante de usarlo en nuestra contra. Entonces, el cifrado es que fue diseñado para ser una herramienta de seguridad, y es una herramienta de seguridad porque fue diseñado para mantener nuestra información confidencial. Lo que hicieron los actores de amenazas, lo tomaron y crearon ransomware, y dijeron: Oye, vamos a usar cifrado, y vamos a encriptar tus propios datos, y vamos a hacer que compres tus propios datos de nuevo. Y así, cuando se trata de IA, todavía estamos, hemos visto que algunos ataques de IA comienzan a ocurrir. Pero a medida que los actores de amenazas comienzan a entender la IA y cómo aprovecharla contra el comportamiento humano, eso va a ser enorme cuando se trata de ingeniería social digital. Como, oye, ahora puedo hacer que esta persona vea lo que quiero que vea y escuche lo que oiga como quiero que escuche, ¿Cómo puedo? ¿Cómo puedo aprovechar esto para mi propio beneficio personal? Debido a que las organizaciones ya, están tratando de aprovecharlo para su propio beneficio personal mediante diferentes anuncios y campañas de marketing que existen por ahí. El actor de amenazas va a empezar a aprovechar eso contra nosotros, ya que puedo aprovecharme de estos principios de influencia de las personas, y puedes sentarte en una llamada de Zoom, o puedes sentarte en una videollamada de cualquier tipo con alguien y hablar con una versión deepfake de quien sea. Y sientes que es real, y estás emocionado por ello, pero en realidad, no lo es. Es como, oye, podría ser lo que sea, una marca falsa, una llamada de ventas falsa, podría ser una falsa lo que sea que la gente necesite estar preparada para enfrentar ese tipo de cosas, incluso deepfakes en voz ahora a través de llamadas telefónicas, como, ¿puedes simplemente que estás hablando con quien crees que estás confiando para hablar antes de que sea como, oye, la respuesta era, yo levantaría el teléfono y llamaría a esa persona? ¿Esa es la respuesta? Voy a levantar el teléfono y llamar a esa persona. Oye, ya sabes, Susan, ¿es esto? Te gusta, Sí, ¿estás seguro? Como que pienso, como, sí, tú me llamas. Entonces te gusta, oh, sí, te llamé. Entonces como, en se va a salir, es realmente, realmente va a cambiar el juego en la ingeniería social digital. Y ya estamos empezando a verlo un poco, creo, va a catapultar a, como, la estratosfera en los próximos cinco años.

Raghu Nandakumara 59:06

Creo que es casi hasta el punto en que incluso ese tipo de interacciones no físicas, donde, digamos que es por teléfono, que casi vamos a tener que encontrar una manera en la que podamos usar una especie de diversas formas de validar la identidad, ¿verdad? Vamos a tener que hacer el mismo derecho a decir: “Oye, soy un Dr. Huffman. ¿Puedes validar? ¿Puedes identificarte” por cualquiera que sea tu cara, identificación, etc., para que pueda confirmar que estoy hablando contigo antes de que tengamos el resto de esta conversación? Entonces creo que ahí es donde, como, toda la forma en que abordamos la preparación e incluso la conciencia, hasta cierto punto, va a cambiar tanto en los próximos años. Y creo, quiero decir, estás justo a la vanguardia de esto, que aún debemos estar en la infancia de donde podamos elaborar cómo va a ser esa preparación.

Dr. Erik Huffman 59:58

Oh, sí, definitivamente. No creo que le hayamos echado un vistazo lo suficientemente duro. Hemos pasado tanto tiempo en conciencia. Ni siquiera creo que la mayoría, la mayoría de la gente incluso ha comenzado con la preparación fuera de un técnico, eso cuando empezamos a hablar de amenazas psicológicas. He trabajado con algunas organizaciones, y me preguntaron lo mismo: “Oye, ¿podrías verificarte antes de llamar? Como, ¿qué debemos hacer?” Yo estaba como, si tienes, esto era una entidad gubernamental, como, si tienes algo súper secreto, súper importante, puedes tener, como, una frase clave, como, cuando la vaca salta sobre la luna, me duele el estómago, ya sabes, algo en la línea de eso, algo en lo que deepfakes ni siquiera se ha acercado como que no puedes fingir que si es tan confidencial si es ese secreto, tal vez necesites ve tan lejos, porque si te preocupa eso, Oye, alguien o algo o alguna organización está realmente, realmente, realmente apuntando a ti de esta manera, y no puedes hacer que vaya lejos. Es posible que deba ir tan lejos porque la voz profunda se falsificó ahora se reduce a, se reduce a menos de 20 segundos. 20 segundos de datos vocales entrenarán a un deepfake para que suene bien. Ya sabes, porque escuchamos en la música todo el tiempo. Es como si los músicos ya no murieran. Al igual que puedes conseguir un nuevo disco de Elvis. Puedes conseguir un nuevo Michael Jackson, France Tupac, ya sabes, y suena bien. Y la gente está lanzando música ahora, y la gente, otras personas están como, eso suena como IA, pero en realidad son solo los artistas en su nueva canción. Son personas, sale un artista con una canción, y es como, ese no soy yo, eso es IA. Y a medida que se pone tan bien, y comienza a entrenarse sobre otras personas, en figuras públicas o personas con las que ni siquiera estás familiarizado, va a ser difícil confiar incluso en los datos vocales, y pronto va a ser difícil serlo va a ser difícil confiar en lo que incluso ves en línea, por lo que la postura Zero Trust va a tener que suceder en una perspectiva psicológica también para las personas. Si no ese 90% se va a quedar 90% y se va a quedar solo se va a quedar estancado, o, si no subir, los actores de amenazas van a ir por lo más vulnerable, como, si puedo lograr que me des tus credenciales, no importa lo que puedas hacer. No importa lo que puedas hacer en absoluto. Absolutamente.

Raghu Nandakumara 1:02:24

O sea, hablando de artistas, yo diría que desde los días en que estaba el autotune, se introdujo, no sabemos si estamos escuchando al verdadero artista o no, pero dijiste que vamos a no podemos confiar en lo que vemos.

Marca de tiempo del Dr. Huffman

A medida que la IA y las falsificaciones profundas comienzan a golpear cuando los actores de amenazas comienzan a elegir usar algunas de estas cosas en nuestra contra. Está claro, no se puede decir, pero se puso aún peor cuando empezamos, como, filtros de fotografía, sí, empiezas a agregarle filtros. Es como, oye, es real nuestra IA, pero filtramos a todos. Sí, se deshizo aún más porque la gente simplemente no puede decir. Y esto está en su infancia. Hay una IA mala ahí fuera, porque, ya sabes, mucha gente, se ven como los dedos, ya sabes, hay como, siete ocho dedos en una mano para regalarlo. Pero los buenos que existen ahí fuera, y los modernos, están empezando a mejorar, como las manos empiezan a estar empezando a tener solo cinco dedos, en lugar de extremidades extra saliendo por ahí o algo así. Esto solo nos está llevando a cómo hacemos nosotros como público incluyendo profesionales de seguridad, ¿podemos notar la diferencia? Y porque ahora no podemos notar la diferencia, cómo es ahora, qué y actores de amenazas. Sabemos que esta es una vulnerabilidad donde aunque mires, solo miras, no puedes decir datos vocales es que tenemos videos ahora, es el último estudio en videos de IA que existen que es como 30% 35% en este momento, aún no estamos cerca de la saturación de datos, entonces, pero sigue siendo menos que un lanzamiento de moneda, lo cual me sigue diciendo que no podemos notar la diferencia. Si podemos notar la diferencia como público el número que estaba buscando es como mayor al 70% porque eso significa que es más que un lanzamiento de moneda. Es mucho más que una moneda, en realidad podemos decir que la diferencia es menor que un lanzamiento de moneda, y es mucho menos que un lanzamiento de moneda que no podamos distinguir entre lo que es real y lo que ha sido manipulado por las computadoras.

Raghu Nandakumara MARCA DE TIEMPO

Es decir, Dr. Huffman, sé que hemos grabado desde hace mucho tiempo aquí. Me he tomado mucho de tu tiempo, pero no me dejas con mucha esperanza con ese punto que hiciste, bien que ya hoy, que las probabilidades de que podamos mirar una imagen, mirar escuchar sonido, y que podamos determinar con precisión si es falsa o real, es significativamente menor que un lanzamiento de moneda. Y luego, a medida que alimentamos estos modelos de IA con más datos, ¿verdad? Sólo van a mejorar. Entonces, como simplemente tomar su mensaje sobre, tenemos que repensar, potencialmente, cómo presentamos la conciencia. Absolutamente tenemos que repensar cómo nos hacemos a nosotros mismos. Más preparados a cómo respondemos a si es como individuos o como organizaciones siendo víctimas de ciberataques. Pero creo que el punto clave que estás planteando aquí es que realmente necesitamos pensar como, pero no necesariamente podemos dejar fuera de eso una especie de emoción humana, ¿verdad? Es fundamental para cómo nos preparamos mutuamente cómo reaccionamos en esas situaciones, y esa es la única manera en que vamos a mejorar colectivamente en la gestión de incidentes cibernéticos,

Dr. Erik Huffman MARCA DE TIEMPO

Definitivamente, y yo diría que no toda esperanza está perdida. Creo que hay mucho progreso por hacer por todo. Una cosa de la que me enorgullece con mi investigación es que no estamos vendiendo nada. Y ahí hay una solución. Hay como psicológicas, formas en las que podríamos abordar esto donde no tenemos que ser el 90%. Si recortamos el 90% al 70%, le hemos quitado cientos de miles de millones de dólares a los ciberdelincuentes. Entonces, entender que el problema no es la tecnología no significa, como, Oye, tenemos que innovar algo nuevo. Es que tenemos que cambiar la forma en que entrenamos. Tenemos que cambiar nuestra forma de pensar. Nos pusimos a entender un poco más el entorno y cómo eres psicológicamente más vulnerable en línea que cara a cara. Como, nadie ha dado la información de su tarjeta de crédito cara a cara, nadie le ha dado la información de su cuenta bancaria. Simplemente no está sucediendo. Lo hacemos en línea, y es como, bueno, yo nunca haría eso. Como, sí, lo hacemos es como, el tráfico, todos apestan al conducir, pero nadie es un mal conductor. Si les preguntas, como, sí, supongo que sí, pensarás que hay una manera de llegar a todos. Así que absolutamente podemos arreglar esto, y podemos abordar esto, y es absolutamente gratis de hacer, absolutamente gratis de hacer.

Raghu Nandakumara MARCA DE TIEMPO

Absolutamente. Creo que esa es la belleza de ello. Entonces, Dr. Huffman, ha sido un placer y tal educación tenerlo en el podcast. Sé a la hora de prepararme. Sé que eres un gran fan de Will Smith, y tú y yo somos grandes fans de Fresh Prince of Bel Air. Habíamos planeado incorporar una especie de lecciones en cibernética de Fresh Prince, pero solo tendremos que dejar eso para cuando seas el próximo en nuestro podcast. Pero muchas gracias. Dr. Huffman.

Dr. Erik Huffman MARCA DE TIEMPO

No hay problema en absoluto. No hay problema en absoluto. Muchas gracias. Amor. Apreciarlo. Es fantástico.

Raghu Nandakumara MARCA DE TIEMPO

Gracias por sintonizar el episodio de esta semana de The Segment. Para obtener aún más información y recursos de Zero Trust, consulte nuestro sitio web en illumio.com. También puedes conectarte con nosotros en LinkedIn y Twitter en Illumio, y si te gusta la conversación de hoy, puedes encontrar nuestros otros episodios donde sea que consigas tus podcasts. Soy tu anfitrión, Raghu Nandakumara, y volveremos pronto.

‍