La Ley de Coordinación y Gobernanza de la Ciberseguridad (trasposición a España de la directiva NIS2, aún en fase de anteproyecto), otorga especial relevancia y reconocimiento a la gestión del riesgo humano al entenderlo como un factor de riesgo y un elemento clave para impulsar una cultura de seguridad.
La norma, que identifica la gestión de riesgos, la concienciación y la formación como componentes esenciales para minimizar errores que puedan derivar en incidentes de ciberseguridad, consolida el crecimiento que la gestión del riesgo humano ha experimentado en los últimos años, como refleja el incremento significativo de los presupuestos para programas de concienciación y formación en ciberseguridad en las organizaciones.
Pero la realidad es que a pesar de que el gasto global en este ámbito se espera que supere los 10.000 millones de dólares para 2025, parece que las iniciativas realizadas no han sido suficientes ya que entre el 80 por ciento y el 95 por ciento de los incidentes de ciberseguridad siguen siendo atribuibles al comportamiento humano.
Para entender qué podemos hacer para reducir ese porcentaje, debemos preguntarnos cuáles podrían ser las verdaderas razones que subyacen en el comportamiento de las personas para que a pesar de saber que no deben clicar sigan haciéndolo, y tras ello comprender que esas razones, dependen principalmente de nuestra naturaleza como personas en sistemas complejos como las empresas, con sus personas, procesos y tecnología.
Por ello, la disección de esas posibles razones, se hace imprescindible para abordar de manera efectiva el compromiso de los empleados con la ciberseguridad de la organización.
Razón 1: la profundidad de los conocimientos sobre tecnología
A pesar de que las personas utilizamos dispositivos, aplicaciones y redes en nuestras tareas diarias, muchas carecen de conocimiento sobre conceptos técnicos subyacentes que pueden vulnerar estas tecnologías, aunque sea algo no necesario para desempeñar nuestro trabajo.
Esta brecha de conocimiento sobre cómo funciona la tecnología, es una de las primeras causas de comportamientos que ponen en riesgo a la organización.
Una persona puede saber que debe verificar un enlace antes de hacer clic en él, pero no saber sobre qué detalles pueden actuar para determinar si es legítimo, especialmente si está recubierta la URL por algún sistema de seguridad sobre enlaces en el correo electrónico o si debe realizar un whois al dominio con alguna herramienta.
Este problema es natural y persiste a pesar de los esfuerzos de las empresas para mejorar la formación en ciberseguridad.
Razón 2: la ingeniería social, la motivación y lo que nos impulsa a actuar
El cibercrimen no solo explota el desconocimiento técnico de los usuarios, sino también nuestras motivaciones.
Los desencadenantes motivacionales son aquellos estímulos internos o externos que generan una respuesta conductual en una persona. Así, la motivación se divide en dos tipos principalmente: la motivación intrínseca (motivación que surge del interés y la satisfacción interior del usuario) o la motivación extrínseca (motivación que surge de las recompensas o elementos externos para inducir un comportamiento).
Las empresas deben entrenar a sus usuarios también sobre cómo los cibercriminales manipulan sus emociones y motivaciones. Entender cómo la urgencia, la recompensa, el reconocimiento o la curiosidad, influyen de forma directa en la toma de decisiones es esencial para prevenir ataques basados en la ingeniería social.
¿Quién no ha recibido un email requiriendo una acción urgente e inmediata ante un inicio de sesión en un dispositivo nuevo? La motivación es una de las principales palancas que a menudo nublan nuestra capacidad de decisión.
Razón 3: los sesgos cognitivos o automatismos en nuestro día a día
Los sesgos cognitivos, o «automatismos», también tienen un papel clave en las razones humanas que nos hacen vulnerables ante los ciberataques.
Estos sesgos influyen en cómo las personas percibimos, interpretamos y reaccionamos ante un mensaje, de manera automática y sin pensarlo, y los cibercriminales son expertos en explotarlos para llevar a cabo ataques exitosos.
Aunque existen más de 200 sesgos cognitivos según la literatura científica, y no todos están presentes en nuestro día a día, si hay algunos que en el entorno profesional son muy frecuentes.
Un gran ejemplo es el sesgo de autoridad, un automatismo que tenemos las personas para seguir instrucciones de figuras de autoridad sin cuestionarlas. Los cibercriminales aprovechan este sesgo enviando mensajes que parecen provenir de altos directivos o figuras clave dentro de la empresa, lo que aumenta la probabilidad de que las víctimas realicen acciones peligrosas sin verificarlas.
La variable de ceguera es otro de los más frecuentes, y es que las personas podemos no notar detalles importantes en un mensaje porque nuestra atención está enfocada en otra cosa. Este sesgo es explotado por los cibercriminales al utilizar pequeños errores tipográficos o detalles sutiles que pasan desapercibidos, haciéndonos creer que estamos interactuando con una comunicación legítima.
Entender cómo funcionan estos sesgos cognitivos y cómo nos pueden influir, es crítico para diseñar políticas de seguridad más efectivas.
Las empresas deben entrenar a sus usuarios para que sean conscientes de estos sesgos y estén preparados para tomar decisiones o evidenciar comportamientos que puedan desencadenar un incidente.
Razón 4: porque no podemos o no queremos hacerlo bien
A medida que las organizaciones implementan medidas de seguridad más rigurosas, muchas personas perciben que estas interfieren con su capacidad para cumplir con sus objetivos profesionales. Esta «fricción inducida por la ciberseguridad» se refiere al esfuerzo adicional que los usuarios deben realizar para cumplir con las políticas de seguridad, lo que puede llevar a prácticas inseguras.
Según una encuesta de Gartner, el 39 por ciento de los usuarios considera que las políticas de ciberseguridad son difíciles de seguir, y el 38 por ciento las percibe como obstáculos para cumplir con sus objetivos profesionales. Esta percepción genera resistencia, ya que sentimos que debemos elegir entre seguridad y productividad.
Uno de los principales problemas es la complejidad de las políticas de ciberseguridad, que a menudo están escritas en lenguaje técnico y no toman en cuenta las necesidades específicas de diferentes áreas o roles dentro de la empresa.
Además, ciertos requisitos, como cambiar contraseñas periódicamente o utilizar autenticación multifactor, se percibe como una carga adicional en un entorno de trabajo altamente dinámico y rápido.
Cuando los usuarios sienten que las políticas de ciberseguridad interfieren con su capacidad para ser productivos, es más probable que busquen soluciones alternativas, como compartir credenciales o almacenar información en dispositivos no autorizados. Estas decisiones, que priorizan la conveniencia a corto plazo, pueden comprometer gravemente la seguridad de la empresa a largo plazo.
Por otro lado, es importante tener en cuenta que a medida que los usuarios se familiarizan con las tecnologías y las políticas de seguridad, pueden desarrollar una falsa sensación de control y seguridad. Esta «sobreconfianza» puede llevar a comportamientos de riesgo, como no seguir las políticas de seguridad o subestimar la importancia de las amenazas.
Por todo ello, las organizaciones deben diseñar una política de gestión del riesgo humano que no solo forme y conciencie sobre las amenazas digitales, sino que aborde también la influencia de las motivaciones y sesgos cognitivos de la cultura de ciberseguridad de las organizaciones.
Debe incluir además el análisis de los datos para identificar patrones de conducta y vulnerabilidades específicas de cada usuario, integrando y utilizando estos datos para facilitar el aprendizaje. De esta forma, y teniendo siempre presente un enfoque atractivo y relevante que evite que la formación en ciberseguridad se perciba como una carga adicional, crearemos un entorno más robusto y adaptativo, capaz de proteger los activos de la organización.
