.png)
La opinión de un ciberpsicólogo sobre la cultura de la culpa de la ciberseguridad
“Sólo las personas descuidadas son atacadas por hackers”. Es una creencia generalizada en materia de ciberseguridad. ¿Pero es cierto?
El Dr. Erik Huffman, un destacado experto en ciberpsicología, pasó años investigando esta cuestión. Su trabajo profundiza en cómo el comportamiento humano impacta la ciberseguridad y por qué los instintos de supervivencia tradicionales no nos protegen en línea.
¿Sus hallazgos? Incluso los más preparados son atacados.
En nuestro último episodio de The Segment: A Zero Trust Leadership Podcast, me senté con Huffman para discutir la realidad de los ataques actuales y por qué Zero Trust es la mejor respuesta para la preparación para violaciones.
Las acusaciones mutuas frenan la ciberseguridad
Según Huffman, una de las reacciones más tóxicas ante una violación de seguridad es el instinto inmediato de culpar a los individuos.
"Cuando ocurre un incidente , todos saltan a '¿Quién hizo qué mal?' en lugar de '¿Cómo sucedió esto y cómo lo evitamos?'", explicó.
Esta cultura de la culpa no solo es contraproducente, sino que está desactualizada. La realidad es que incluso las organizaciones con más recursos y conscientes de la seguridad sufren infracciones.
“La seguridad del 100% no existe”, afirmó. “Si un Estado-nación quiere entrar, lo hará”.
El enfoque debe pasar de la culpa al análisis: comprender lo que sucedió, aprender de ello y adaptar las defensas.
Los hackers explotan el estrés, no la estupidez
Huffman insiste en que la industria dedicó demasiado tiempo a la conciencia cibernética y no lo suficiente a la preparación cibernética.
“Seguimos diciéndole a la gente qué debe tener en cuenta, pero no los estamos preparando para que sepan cómo reaccionar bajo estrés”, afirmó.
Los ciberdelincuentes no atacan a las personas cuando están alertas y cautelosas. Los atacan cuando son vulnerables. Cuando están estresados por los despidos, apresurar para cumplir con una fecha límite o comprometidos emocionalmente en una solicitud que parece urgente.
Huffman dice que la clave es comprender las vulnerabilidades personales. "Necesitamos capacitar a las personas no solo en amenazas genéricas, sino también en las tácticas psicológicas específicas que usan los atacantes. Cada persona tiene desencadenantes únicos".
Espere una nueva ola de ataques impulsados por IA
El aumento de los ataques impulsados por IA solo empeora este problema. El audio y el video deepfake ya se están empleando en ataques cibernéticos, y los actores de amenazas se hacen pasar por ejecutivos para autorizar transacciones fraudulentas.
“¿Qué pasa cuando ya no puedes confiar en lo que ves o escuchas?”, preguntó Huffman. “Estamos entrando en una era en la que ‘verificar, verificar, verificar’ debe convertir en algo natural”.
Los líderes de seguridad deben preparar para un mundo en el que incluso una llamada telefónica de un contacto conocido no puede tomar al pie de la letra. La adopción de los principios de Zero Trust , y una mentalidad de Zero Trust en toda la organización, será crucial para contrarrestar el engaño impulsado por la IA.
Zero Trust es el cinturón de seguridad de la organización
Entonces, ¿cómo pasamos de la conciencia a la preparación?
Huffman sugiere estos pasos clave:
- Evaluación de amenazas: identificar qué vulnerabilidades personales tiene un individuo y cómo es probable que sean explotadas
- Evaluación de afrontamiento: desarrollo de estrategias sobre cómo las personas reconocerán y responderán a las amenazas cuando sean más vulnerables
La preparación significa brindar a los empleados herramientas prácticas para proteger, en lugar de simplemente mostrarles sobre las amenazas en abstracto.
"Necesitamos dejar de asustar a las personas y comenzar a empoderarlas", dijo. "En este momento, la ciberseguridad se siente como manejar un automóvil sin cinturón de seguridad, esperando que no suceda nada malo. Necesitamos darle a la gente sus cinturones de seguridad de ciberseguridad".
A nivel organizacional, Zero Trust cumple la misma función.
"Zero Trust no se trata solo de tecnología. Es una mentalidad", dijo Huffman. "No es 'confiar pero verificar', es 'verificar, luego verificar de nuevo'".
Las organizaciones que adoptan Zero Trust junto con la capacitación en preparación cibernética desarrollan resiliencia contra las vulnerabilidades humanas y tecnológicas. Y en el mundo actual, la resiliencia es el nombre del juego.
El viaje de la TI a la ciberpsicología
El camino de Huffman hacia la ciberpsicología no fue lineal.
Luego de obtener su título en ciencias de la computación, comenzó su carrera en TI, arreglando redes y solucionando problemas de seguridad. Pero su perspectiva cambió significativamente luego de experimentar violaciones de datos consecutivas de primera mano.
"Estaba lanzando todas las medidas de seguridad al problema y, sin embargo, las infracciones seguían ocurriendo", recordó. "Tuve que preguntarme: si solo las personas tontas son hackeadas, ¿entonces soy estúpido?"
Decidido a encontrar respuestas, recurrió a la investigación y descubrió que más del 90% de las violaciones de datos involucran el comportamiento humano, ya sea a través de errores o ingeniería social. Esta comprensión lo llevó a la ciberpsicología, donde desde entonces realizó estudios con más de 20,000 participantes y trabajó con más de 220 organizaciones en todo el mundo para cerrar la brecha entre la ciberseguridad y el comportamiento humano.
Ahora, un educador, empresario, presentador e investigador galardonado, sus ideas se compartieron en NASA-Goddard, ISACA, TEDx y otros foros líderes. Actualmente es colaborador de investigación en el Instituto Nacional de Estándares y Tecnología (NIST).
Escuche, suscribir y revise El segmento: un podcast de liderazgo de confianza cero
¿Quieres escuchar mi discusión completa con el Dr. Huffman? Escuche el episodio de esta semana en Apple Podcasts, Spotify o donde sea que obtenga sus podcasts. También puede leer una transcripción completa del episodio.
.webp)
