Los trucos psicológicos del spear phishing

25 Ene 2019

Cuando hablamos de vulnerabilidades, normalmente nos centramos en errores de codificación o puntos débiles en los sistemas de información. No obstante, muchas vulnerabilidades vienen de parte de la víctima.

No se trata de una falta de concientización o negligencias de ciberseguridad, por lo que resulta menos evidente cómo enfrentarse a estos problemas. Simplemente, bajo la influencia de la ingeniería social, a veces el usuario actúa diferente a como lo harían los expertos en seguridad informática.

Básicamente, la ingeniería social es una fusión de sociología y psicología; un conjunto de técnicas para producir un ambiente que genere un resultado predeterminado. Jugando con los miedos, emociones, sentimientos y reflejos de los usuarios, los cibercriminales pueden conseguir acceso a información muy útil. Y es en gran parte esta “ciencia” la que reside en el núcleo de la mayoría de los ataques dirigidos actuales.

Los principales sentimientos que suelen explotar los estafadores:

  • Curiosidad
  • Pena
  • Miedo
  • Avaricia

No sería correcto llamarlas vulnerabilidades, son simplemente emociones humanas. Puede que una definición mucho más acertada fuera “canales de influencia”, a través de los cuales los manipuladores intentan influir a sus víctimas, de tal forma que el cerebro actúe de forma automática, sin el uso del pensamiento crítico. Para conseguirlo, los cibercriminales cuentan con un buen arsenal de trucos bajo la manga. Evidentemente, algunas estrategias funcionan mejor en unas personas que en otras. Pero hemos decidido centrarnos en las más comunes y explicar exactamente cómo se utilizan.

Respeto a la autoridad

Este es uno de los sesgos cognitivos, patrones sistemáticos de desviación de comportamiento, percepción y pensamiento. Está fundamentado en la tendencia de obedecer sin cuestionar a aquellos que tenga cierto nivel de experiencia o poder, ignorando las opiniones propias sobre la propia conveniencia de dicha acción.

En la práctica, puede ser un correo electrónico phishing procedente de tu jefe, supuestamente. Evidentemente, si el mensaje te pide que te grabes bailando twerking y que envíes el vídeo a diez amigos, deberías pensarlo un par de veces. Pero, si tu supervisor te pide que leas la documentación de un nuevo proyecto, puede que estés dispuesto a hacer clic en el adjunto.

La presión del tiempo

Una de las técnicas de manipulación psicológicas más frecuente es generar una situación de urgencia. Cuando se toma una decisión racional e instruida, es una buena idea examinar detenidamente la información relevante. Esto lleva un tiempo y justo eso es lo que los estafadores intentan negar a sus víctimas.

Los estafadores despiertan el miedo en la víctima (“Alguien ha intentado acceder a tu cuenta. Si no has sido tú, haz clic en el enlace inmediatamente…”) o intentan conseguir dinero fácil (“Solo los 10 primeros obtendrán el descuento, no te lo pierdas…”). El tiempo corre en tu contra y la probabilidad de sucumbir al instinto y tomar una decisión emocional e irracional aumenta.

Los mensajes que incluyen “urgente” e “importante” forman parte de esta categoría. Las palabras importantes suelen destacarse en rojo, el color del peligro, para intensificar el efecto.

Automatismos

En psicología, los automatismos son acciones que se toman sin la intervención directa de la conciencia. Los automatismos pueden ser primarios (innatos, no considerados) o secundarios (ya no se consideran, después de pasar por la conciencia). Además, los automatismos se clasifican como motor, habla o mental.

Los ciberdelincuentes intentan desencadenar automatismos cuando envían mensajes que en algunos receptores pueden producir una respuesta automática. Como, por ejemplo, los mensajes “No se ha podido entregar el correo electrónico, haga clic para reenviarlo”, las newsletter con un botón de “Cancelar suscripción” tentador y las notificaciones falsas sobre nuevos comentarios en redes sociales. En este caso, la reacción es el resultado del motor secundario y de los automatismos mentales.

Revelaciones inesperadas

Este es otro tipo muy común de manipulación. Explota el hecho de que la información clasificada como una admisión honesta se percibe menos crítica que si se hubiera descubierto de forma independiente.

En la práctica, podría ser algo como: “Lamentamos informarle que sufrimos una filtración de contraseñas. Compruebe si se encuentra en la lista de los afectados”.

Qué hacer

Las distorsiones de la percepción, que desafortunadamente juegan a favor de los cibercriminales, son biológicas. Aparecen durante la evolución del cerebro para ayudarnos a adaptarnos al mundo y ahorrar tiempo y energía. En gran parte, las distorsiones surgen de la falta de habilidades de pensamiento crítico y muchas adaptaciones no son adecuadas para la realidad actual. Pero no temas, puedes evitar la manipulación conociendo la psique humana y siguiendo estos consejos:

Comienza una nueva costumbre: prestar especial atención a los mensajes de los superiores. ¿Por qué quiere tu jefe que abras un archivo protegido con contraseña y que le envíes la clave en el mismo mensaje? ¿Por qué un director con acceso a la cuenta te pide que transfieras dinero a un nuevo socio? ¿Por qué iba alguien a asignarte una tarea nueva por correo electrónico, en vez de por teléfono, como de costumbre? Si algo huele mal, intenta aclararlo con un canal de comunicación diferente.

No reacciones inmediatamente a los mensajes que te soliciten una respuesta urgente. Mantén la calma, sea cual sea el contenido del mensaje. Asegúrate de comprobar el remitente, el dominio y el enlace antes de hacer clic. Si sigues teniendo dudas, ponte en contacto con el equipo informático.

Si percibes que respondes automáticamente a ciertos tipos de mensajes, intenta controlar tu secuencia típica de acciones. Esto podría ayudarte a dejar de automatizar tu respuesta, la clave está en activar la conciencia en el momento correcto.

Recuerda nuestros consejos previos para evitar las consecuencias del phishing:

Utiliza soluciones de seguridad con tecnologías antiphishing de confianza. La mayoría de los intentos de intrusión caerán en el primer obstáculo.