Los científicos del comportamiento han demostrado que, en ciertas circunstancias, los humanos actuamos sistemáticamente dejando de lado el juicio racional. Son justamente estos sesgos cognitivos los que los hackers utilizan para robar información y atacar a las empresas. Prevent es una solución empresarial basada en Inteligencia Artificial (IA) para prevenir fraudes y cuentas falsas.
Por Ailyn Hidalgo
Durante la pandemia, fueron comunes los correos electrónicos, mensajes de texto y whatsapp que ofrecían información sobre el Covid que resultaron ser fraudulentos. En Chile, muchos de ellos parecían incluso venir de fuentes oficiales para postular a bonos del gobierno, engañando a miles de usuarios para abrir links destinados a robar su información.
Y es que las técnicas de los ciberatacantes para estafar a las personas han avanzado no solo en línea con lo técnico: también apuntan a aprovechar lo que los científicos del comportamiento han identificado como sesgos cognitivos, y que evidencian que los humanos, en ciertas circunstancias, muestran un patrón sistemático de desviación del juicio racional.
Este tipo de investigaciones “está ayudando a las empresas a entender por qué sus propios empleados o clientes caen fácilmente en las infracciones cibernéticas”, explican desde Mastercard. Un informe de la compañía, llamado Cyber’s Human Condition (CHC) [ANA1] y elaborado por SecurityAdvisor, detalla cuáles son esos sesgos cognitivos que los hackers utilizan para hacer caer a los usuarios en potenciales estafas y que es necesario tener en cuenta para poder evitar los fraudes.
Los sesgos más comunes que usan los piratas informáticos incluyen el amor de las personas por marcas de consumo específicas, la disposición a hacer clic cuando se le ofrecen cosas gratis o interesantes, y la tendencia a seguir hábitos diarios.
También están el uso de la autoridad, simulando por ejemplo correos del CEO de la empresa; la aversión a la pérdida, con frases que llaman a actuar para evitar un perjuicio; el optimismo, con anuncios positivos pero falsos; la curiosidad, con frases como “tu oferta secreta, haz clic aquí”; la actualidad, con gancho en informaciones contingentes; y, por supuesto, el temor, con mensajes alertando fallas en la seguridad que requieren cambios de contraseña urgentes.
“Para evitar ser víctima de este tipo de estafas, las organizaciones deben fortalecer a sus empleados y ayudarlos superar sus sesgos cognitivos, además de identificar soluciones de prevención de fraudes que logren detectar este tipo de estafas y detener la transacción antes de que ocurra”, explican desde Mastercard.
Enfrentar el tema dentro de las empresas es clave, donde es especialmente relevante la capacitación del capital humano. “Como los usuarios finales tienden a ser el eslabón más comprometido en la cadena de seguridad cibernética, las organizaciones deben invertir para hacer que sus empleados sean defensores de la ciberseguridad y eliminar los malos hábitos que afectan negativamente la postura cibernética de la organización. La fuerza laboral debe ser capaz de reconocer las amenazas, cómo funcionan y el papel que juega cada uno para contrarrestarlas”, explican desde Mastercard.
En paralelo, existen alternativas para anticipar este tipo de ataques. Una de ellas es Prevent, una solución de Mastercard basada en Inteligencia Artificial (IA) para prevenir fraudes y cuentas falsas vinculadas con lavado de dinero en transacciones cuenta a cuenta. Mediante un sistema de puntajes o scores ayuda a mitigar riesgos identificando qué tan propensa a ser un fraude es una transacción bancaria antes que suceda.
“En el contexto actual es fundamental contar con la posibilidad de acceder a este tipo de soluciones preventivas, ya que resuelven problemas que afectan a gran parte de la población”, detalla Bruno Pisani, director de Desarrollo de Negocios de Mastercard. “Tengamos en cuenta que la complejidad en este tipo de estafas es que la víctima es quien cede su información o transfiere su dinero de forma manual y consciente, sin imaginar que está siendo engañada. Este tipo de estafas se conoce como authorized push payment y es el más difícil de detectar”, agrega.
De hecho, el director de la Alianza Chilena de Ciberseguridad (ACC), Hugo Galilea, advierte que hoy un 5% de los correos electrónicos son phishing, y que en las empresas las formas más comunes de engañar a los empleados vienen desde anunciar un beneficio de fin de año, hasta liquidaciones de sueldo o un bono entregado por el Estado.
Galilea explica que los temas noticiosos son frecuentemente usados para filtrarse, y por estos días un ejemplo son informaciones sobre cómo entender el conflicto entre Rusia y Ucrania. “O cuando apelan a la curiosidad del usuario. Simulan ser una red social que solicita acceder a su perfil porque ha sido visto por un significante número de personas”, describe el ejecutivo.
Desafío conductual
El efecto negativo de caer en trucos cognitivos de los hackers llevó a que el FBI registrara US$ 1.700 millones en pérdidas para las organizaciones en 2019, que reportaron más de 23 mil quejas relacionadas con phishing en sus correos empresariales. Por esto, desde el informe CHC, los expertos creen que “la ciberseguridad no es solo un desafío tecnológico, sino cada vez más social y conductual”.
Revisar el remitente del correo con cuidado, no abrir archivos adjuntos si hay dudas de su procedencia, verificar enlaces antes de hacer clic, tener mesura frente a mensajes urgentes o alarmistas, así como de premios, sanciones o multas, y reportar al departamento correspondiente sobre cualquier correo sospechoso, son las sugerencias de seguridad que, a juicio de Galilea, pueden ayudar a evitar caer en estos engaños.
Así, con tecnología basada en IA, la ciencia del comportamiento y el esfuerzo humano concertado, las organizaciones pueden reducir las estafas cibernéticas.