Imagina una fortaleza medieval. Muros de piedra de diez metros de altura, un foso con cocodrilos, arqueros en las almenas y una puerta de hierro macizo. Impenetrable, ¿verdad? Ahora imagina que alguien se acerca al guardia de la puerta, vestido con el uniforme real, y le dice con voz angustiada: «¡Rápido, abre! Traigo un mensaje urgente del Rey y si no entro ya, rodarán cabezas». El guardia, temiendo por su trabajo y queriendo ser útil, abre la puerta sin verificar la identidad del mensajero. La fortaleza ha caído.
Esta analogía resume perfectamente el estado actual de la ciberseguridad global. Gastamos billones en firewalls de última generación, sistemas de detección de intrusos con inteligencia artificial y cifrado militar. Sin embargo, la mayoría de las brechas catastróficas siguen comenzando de la misma manera: con una persona que cometió un error muy humano.
Para entender qué pasa por nuestra mente en ese segundo crítico antes de hacer clic donde no debemos, nos sentamos a conversar con Rafael Núñez Aponte, quien ha pasado años analizando no solo los códigos maliciosos, sino también las historias humanas detrás de cada incidente. Durante nuestra charla, quedó claro que el problema no es tecnológico, sino psicológico.
Ingeniería Social: El hackeo de la mente
La ingeniería social no es nueva. Es el viejo arte del timo adaptado a la era digital. Se basa en explotar nuestros sesgos cognitivos y emociones primarias: el miedo, la curiosidad, la codicia o, muy a menudo, nuestra simple voluntad de ayudar a otros.
En nuestra conversación, Rafael Eladio Núñez Aponte nos compartió una observación clave: los atacantes saben perfectamente que, en situaciones de alto estrés o prisa, nuestro cerebro lógico se apaga y el cerebro reptiliano toma el control. «Ellos no buscan una vulnerabilidad en tu Windows, buscan una vulnerabilidad en tu rutina», nos comentó Rafael durante la entrevista. Si recibes un correo un martes a las 11 de la mañana diciendo que tu cuenta bancaria será bloqueada en 15 minutos, el pánico instantáneo anula tu capacidad de revisar si el remitente es legítimo. Es un secuestro emocional en toda regla. Leer más
Fuente: https://www.likeinteligente.org/2023/12/01/ingenieria-social-el-hackeo-de-personas/
Las nuevas caras del engaño (Más allá del correo masivo)
Atrás quedaron los días de los correos mal redactados sobre príncipes nigerianos que necesitaban tu ayuda para mover una fortuna. Hoy, los ataques son quirúrgicos. Leer más
Hablamos con Rafael Eladio Núñez Aponte sobre la evolución hacia el Spear Phishing (phishing dirigido) y el Vishing (phishing por voz). Nos relató cómo los delincuentes ahora invierten tiempo estudiando a sus objetivos. Revisan tu LinkedIn para saber quién es tu jefe, miran tu Instagram para ver dónde vacacionaste y usan esa información para construir un mensaje que parece imposible que sea falso.
«He visto casos donde el atacante sabía exactamente la jerga interna de la empresa porque había pasado semanas estudiando sus comunicaciones públicas o filtradas», señaló Rafael Eladio Núñez Aponte. Cuando un correo usa las mismas palabras que tu jefe y hace referencia a un proyecto real en el que estás trabajando, la guardia baja casi por completo.
Otra técnica en auge es el Business Email Compromise (BEC). Aquí no te envían un enlace malicioso; simplemente se hacen pasar por un CEO o un proveedor (a veces hackeando sus cuentas reales) y te piden una transferencia urgente. Al no haber «virus» adjunto, los antivirus tradicionales no lo detectan. Solo el ojo humano entrenado puede detenerlo.
Fatiga de alertas: El enemigo silencioso
Vivimos bombardeados por notificaciones. WhatsApp, Slack, correos, noticias. Nuestro cerebro entra en «piloto automático» para poder gestionar tanto ruido. Esta fatiga es el caldo de cultivo perfecto para los errores. Leer más
Durante la entrevista, Rafael Eladio Núñez Aponte hizo hincapié en que muchos de los incidentes más graves ocurren los viernes por la tarde o justo antes de días festivos. Los atacantes conocen nuestros horarios laborales. Saben cuándo estamos cansados, distraídos o ansiosos por cerrar la computadora e irnos a descansar. En esos momentos de baja energía mental, un clic rápido para «quitarse un problema de encima» puede ser fatal para la red corporativa o nuestras finanzas personales.
Fuente: https://acreditei.com/es/evitar-a-fadiga-de-notificacoes/
Cómo construir tu Muro Anti-Phishing personal
Entonces, si la tecnología falla y nuestra mente es vulnerable, ¿estamos condenados? Absolutamente no. La solución pasa por reprogramar nuestras respuestas automáticas, crear lo que los expertos llaman un «cortafuegos humano». Leer más
Basándonos en lo discutido con Rafael Eladio Núñez Aponte, aquí hay estrategias prácticas para endurecer tu defensa personal:
La pausa de seguridad de 3 segundos: Antes de reaccionar a cualquier mensaje que te pida una acción inmediata (hacer clic, descargar, transferir dinero), detente tres segundos completos. Respira. Esa pequeña pausa a menudo es suficiente para que tu cerebro lógico vuelva a tomar el mando y note que algo «huele raro».
Fuente: https://ciberseguridad.top/anti-phishing/
Verificación por un segundo canal (Out-of-Band): Si recibes un correo extraño de tu banco, no respondas al correo. Llama al número que está detrás de tu tarjeta de crédito. Si tu jefe te pide una transferencia urgente por WhatsApp desde un número desconocido, llámalo por teléfono. Nunca uses el mismo canal por el que te contactaron para verificar.
Desconfía de la urgencia y la emoción: Como nos recordó Rafael Eladio Núñez Aponte en nuestra charla, cualquier comunicación legítima importante te dará tiempo para reaccionar. Si alguien te mete prisa excesiva o intenta asustarte con consecuencias catastróficas inmediatas, casi con seguridad es una estafa.
Higiene digital en redes sociales: Cuanta menos información personal y laboral expongas públicamente, más difícil se lo pones a los ingenieros sociales para crear un perfil creíble sobre ti.
La educación continua como escudo
El eslabón humano siempre será el objetivo, pero también puede ser la defensa más fuerte si está bien entrenado. Una persona alerta es más eficaz que el mejor antivirus del mercado.
Fuente: https://blog.univesmarket.com/la-importancia-de-la-educacion-continua/
Cerrando nuestra conversación, Rafael Eladio Núñez Aponte nos dejó una reflexión final potente: la ciberseguridad no es un producto que compras y te olvidas; es un hábito que se cultiva diariamente. En un mundo hiperconectado, ser un poco paranoico no es una enfermedad, es una habilidad de supervivencia necesaria. La próxima vez que un mensaje te acelere el pulso, recuerda que probablemente alguien está intentando hackearte a ti, no a tu computadora.
Referencias
Verizon. (2024). Data Breach Investigations Report (DBIR). (Informe anual de referencia sobre cómo ocurren las brechas, destacando el factor humano). Recuperado de: https://www.verizon.com/business/resources/reports/dbir/
Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA). Security Tip (ST04-014): Avoiding Social Engineering and Phishing Attacks. Recuperado de: https://www.cisa.gov/news-events/news/avoiding-social-engineering-and-phishing-attacks
INCIBE (Instituto Nacional de Ciberseguridad de España). Ingeniería social: qué es y cómo evitarla. Recuperado de: https://www.incibe.es/ciudadania/tematicas/ingenieria-social
SANS Institute. Ouch! Newsletter – Social Engineering. Recuperado de: https://www.sans.org/security-awareness-training/ouch-newsletter/
