Se ha descubierto una nueva tendencia en el phishing: hay ciberdelincuentes que están elaborando** ataques de ingeniería social personalizados que explotan el sesgo cognitivo del usuario**, según una nueva investigación de Security Advisor. Otro de los datos más interesantes del estudio que veremos es que la gente con mayor formación puede caer más fácilmente en estos ataques.
Primero, hay que saber que el sesgo cognitivo se refiere a los atajos mentales que los humanos toman inconscientemente al procesar e interpretar la información, antes de tomar decisiones. El director general de SecurityAdvisor, Sai Venkataraman, ha explicado a VentureBeat que con esta tendencia, los ciberdelincuentes manipulan los pensamientos y acciones de un destinatario para convencerle de que adopte un comportamiento arriesgado, como acceder a un enlace o introducir información sensible en un sitio web.
Las personas con formación pueden llegar a picar más en los engaños
Algo que hay que tener en cuenta cuando se quiere poder identificar estos ataques más avanzados es que pueden basar en los comportamientos anteriores de los usuarios. El informe examinó datos de malware, phishing, seguridad del correo electrónico y otros ataques en el mundo real y descubrió que las personas con mayor formación pueden acceder a enlaces maliciosos con más frecuencia que los individuos con poca o ninguna formación.
A este respecto, se pudo comprobar que el 11% de los usuarios que habían tenido una sola sesión de formación hicieron clic en un enlace de phishing. Al mismo tiempo, el 14% de los usuarios con cinco sesiones de formación hicieron clic en el enlace.
¿Cómo puede ser esto posible? Hay varias razones. Los sesgos cognitivos que se usan para hacer caer en la trampa a personas con más formación en seguridad informática toman cinco formas.
Cinco tiposd e ataques que aprovechan el sesgo cognitivo
Por un lado está el efecto halo que usa una marca o nombre de empresa en la que el usuario confía o también usan trampas como invitaciones falsas a conferencias de universidades a altos directivos.
En segundo lugar está el llamado "descuento hiperbólico" que ha descubierto que hay cierta inclinación por las personas a elegir una recompensa que dé resultados inmediatos. Aquí aparece el típico ataque de phishing que promete que accediendo a un enlace se puede conseguir un cheque con dinero o un descuento para un equipo informático. De acuerdo con los expertos, esta práctica lleva tiempo existiendo pero sigue atrayendo a las víctimas.
Por otro lado está el efecto de la curiosidad. Se ha localizado en el 17% de los ataques de phishing. En este tipo de ataque, un ejecutivo puede recibir información sobre el acceso exclusivo a un evento sin nombre, y el deseo de saber más sobre el evento podría hacer al ejecutivo caer en la trampa.
Por otro lado, el conocido como efecto de recencia se aprovecha de la tendencia a recordar acontecimientos recientes que aparece en muchos servidores de correo. Por ejemplo, información sobre las vacunas COVID-19 que puede usarse para conseguir que el usuario acceda a un enlace malicioso.
Por último, el sesgo de autoridad se basa en la disposición de las personas a confiar en las opiniones de una figura de autoridad. Un atacante que utilice este sesgo puede hacerse pasar por un alto directivo o incluso por el director general de una empresa.
SecurityAdvisor descubrió que los ejecutivos de la alta dirección son objeto de ataques 50 veces más que los empleados sin cargos altos, seguidos por los miembros de los equipos de seguridad de TI, que son objeto de ataques 43,5 veces más que los empleados normales. Los prejuicios utilizados también son diferentes.
Para dirigirse a ejecutivos de la alta dirección, los ciberdelicuentes tienden a emplear el efecto halo o el sesgo de la curiosidad, mientras que la mayoría de las estafas contra los equipos de seguridad informática emplearon el sesgo de la curiosidad, por poner algunos ejemplos.
