post

La psicología detrás del usuario bajo el contexto de Infosec

Esta nota no es más que mi percepción del tema, no me considero ningún experto en psicología.

Ya es casi rutinario el que año con año veamos que el número de brechas y robo de datos a las empresas se incremente. De manera recurrente vemos que el usuario/el humano es el punto más débil eso ya no se discute. Aún así vemos grandes compañías gastar su presupuesto en soluciones que prometen ser la medicina para sus infosec headaches.

Leyendo el Human Factor Report 2016 de Proofpoint me llamó la atención ver que en sus resultados con respecto a los datos del 2015 concluyen que, los “bad guys” han cambiado la dirección que le dedican a su esfuerzo. Resulta que los hackers saben que en lugar de consumir su tiempo tratando de explotar vulnerabilidades técnicas que les pueden llevar mucho tiempo sin mencionar que tienen más probabilidad de ser detectados, pueden ser más efectivos si van sobre las vulnerabilidades humanas.

Claro tiene todo sentido, todos los que llevamos unos cuantos (pocos o muchos) años trabajando en estos temas sabemos que puede ser mucho más sencillo y sin mencionar menos riesgoso realizar un ataque de Ingeniería Social remoto a gastar el tiempo tratando de explotar una falla técnica.

Ya ha pasado de la hora de que los responsables de invertir e implementar seguridad dentro de las empresas se den cuenta de que no basta con caer en las “verdades” de un vendedor de cajas que dice que un appliance va a ser la solución para todos sus problemas. Es hora de que se enfoquen también en sus empleados/usuarios.

Educar a la gente va más allá de solo dar una plática o enviar algunos correos de cuando en cuando.  Desde mi perspectiva es importante conocer y estudiar un poco el comportamiento humano, entender por qué reaccionamos de una manera u otra.

Los del lado oscuro ya se han dado cuenta de que días de la semana somos más susceptibles de caer en estafas vía correo electrónico, incluso conocen en que horarios somos más propensos a abrir un link o un anexo sin poner tanta atención al mensaje.

En las últimas semanas me he encargado de impartir pláticas a empleados de diferentes niveles educativos y de diferentes roles organizacionales y me doy cuenta que, si queremos que el mensaje correcto llegue y haga sentido tenemos que darlo en un lenguaje que cada tipo de usuario pueda entender. El uso de ejemplos reales, situaciones que sabemos que se les puede presentar o que incluso al primo de un amigo le haya sucedido, pueden ser de gran ayuda.

Tenemos que hacer entender a la gente la importancia y las consecuencias que sus acciones tienen. Es la única manera de que hagan las cosas con un poco más de atención y puedan empezar a convertirse en lo que se denomina como Human Firewall.

En estos momento me encuentro leyendo el libro Phishing Dark Waters de Christopher Hadnagy (@humanhacker) y Michele Fincher (@socengineerinc) y me gustó mucho la manera como presentan las razones psicológicas por las cuales los seres humanos tienden a caer en los ataques phishing.  Los autores presentan su explicación por medio de un círculo vicioso al que denominan Emotional Decisión-making Cycle.

En resumidas cuentas no importa si el ataque busca explotar el miedo, la curiosidad, el deseo, la simpatía u cualquier otro sentimiento en la víctima. Todo gira entorno a generar respuestas cerebrales que hagan que las emociones (sin importar cuales) se interpongan a la lógica y conlleven a que se tomen malas o impulsivas decisiones.

Entender ese tipo de cuestiones nos lleva a ideas un poco más claras sobre qué hacer romper ese círculo vicioso, cosas tan sencillas como tomarse un par de minutos antes de responder a algún mensaje sospechoso. Tomarse ese tiempo nos abre oportunidad para:

  1. Analizar si tenemos toda la información necesaria que justifique la toma de una decisión específica.
  2. Identificar si estamos bajo alguna influencia ajena a la situación que pueda perjudicar la decisión.
  3. Buscar alternativas para solucionar el problema tomando en cuenta las posibles consecuencias
  4. Tomar la decisión
  5. Evaluar los resultados de la decisión tomada.

Todas las acciones mencionadas pueden llevarse a cabo a algunos minutos, no se trata de tomar horas para darle respuesta a un requerimiento/correo. Con tan solo seguir el punto 1 podemos darnos cuenta si ese correo que supuestamente es del CEO proveniente de la cuenta ceo@empresa.com es en realidad falso ya que la cuenta del CEO en realidad es sunombre.apellido@empresa.com .

En fin ese es apenas uno de muchos aspectos que podemos descubrir si con vistas a la seguridad de la información estudiáramos un poco más a las personas para tratar de complementar la efectividad de los controles técnicos en los que invertimos grandes sumas de dinero.

Ya saben sus comentarios son siempre bienvenidos.