Seguridad en América | Post

Más allá de los entrenamientos y las simulaciones

INTRODUCCIÓN

Son múltiples los estudios y reportes internacionales que insisten y detallan que el 95% de las fallas o brechas de seguridad se deben a “errores humanos” (WEF, 2022). “Errores” que están situados en comportamientos o acciones de las personas en escenarios particulares y contextos específicos, que los reportes poco comentan o detallan al respecto. En este sentido, la denominación “errores humanos” sólo ofrece información o una estadística básica sobre algo que un individuo ejecutó que no estuvo de acuerdo con aquello que se esperaba por parte de la organización y cuya consecuencia se configuró en una brecha o materialización de un riesgo en una empresa.
En este sentido, si se quiere profundizar en esta estadística es necesario explorar un camino distinto a lo que se conoce en la actualidad y encontrar en la esencia de la palabra “error” una posible explicación para el comportamiento de una persona en un momento particular. Mientras las estrategias tradicionales de tratamiento del engaño en el contexto digital (donde se ubica el phishing) insisten en el entrenamiento y en la concientización de las personas, poco se ha explorado lo que rodea a la persona y la comprensión de porqué fallan los controles previamente establecidos para prevenir la materialización del engaño (Reason, 2000).
Entender el “error” no como un resultado, sino como una consecuencia, establece la base de la estrategia para explorar mejor el phishing, ese engaño confiable que invita o motiva a una persona a revelar información personal, sensible o financiera, que termina exponiendo al individuo a los efectos de un código malicioso que puede generar daños irreparables a su información o la de su empresa (Alshammari, 2022).
Si entendemos phishing como una consecuencia de una series eventos previos que ocurren alrededor de la persona, es viable indagar alternativas distintas sobre su tratamiento comoquiera que no es sólo la acción final que detona la brecha, sino todo el proceso previo que se surte y las fallas de los controles para que se concrete de forma efectiva el engaño. En pocas palabras, situar el análisis no en los efectos finales que se tienen, sino en toda la inteligencia previa que adelanta el adversario y la explotabilidad que se deriva al situar el engaño en una zona confiable y conocida para los individuos.
El phishing es el vector de ataque más eficiente, atractivo y ágil que un atacante tiene, si logra concretar un engaño confiable (combinado con una distracción creíble) para atravesar el juicio crítico y dudas razonables que una persona entrenada y formada tiene para resistir este tipo de estrategias desarrolladas por los atacantes (Alkhalil, et al., 2021).
Por tanto, esta breve reflexión busca plantear alternativas no convencionales para hacer más resistente a las personas al engaño confiable que plantean los adversarios, sin perjuicio que tarde o temprano el agresor tendrá éxito y habrá que actuar de forma coherente, coordinada y comprometida para disminuir el impacto y los efectos colaterales que una situación como ésta puede ocasionar en la organización.

¿POR QUÉ SOMOS PROCLIVES AL ERROR, A LA FALLA?

Una explicación teológica nos sitúa en que somos “naturaleza caída”, que permanece todo el tiempo en obra gris y requiere de un perfeccionamiento permanente desde el ejercicio de la cotidianidad, en el marco de un modelo de actuación centrado en el reconocimiento del otro. Si bien es cierto, que es necesario contar y reconocer al otro, sólo en el conocimiento propio y la conquista de los retos individuales, es posible abrir un espacio de transformación que renueva al ser humano y a todos aquellos que lo acompañan en ese ejercicio.
Más allá de esta lectura trascendente la ciencia ha venido estudiando por muchos años el tema del “error” como elemento fundamental para concretar la distinción de seguridad en el contexto industrial. Esto es, en el escenario de la disciplina operativa, de la actuación de las personas en entornos de fábricas o líneas de producción donde diferentes eventos pueden llevar a un individuo a generar accidentes o lesiones que terminen afectan su bienestar y el modelo operativo de las empresas (Kletz, 2001). No es casualidad, que en estos entornos se hable de “cero accidentes” como un mantra que se repite de forma constante para recordar que la vida de una persona es lo más importante y por ende, es necesario “cuidarme, para cuidarte”.
En este escenario, la literatura establece al menos cuatro categorías de errores humanos. Dichas categorías hacen énfasis en las acciones humanas y sus retos, más que en las consecuencias que se derivan de ellos, comoquiera que es natural que el individuo se equivoque y sería muy fácil asignarle una responsabilidad sin mayores análisis. Las categorías son (Kletz, 2001):

• Error: las personas no saben qué hacer, o creen saberlo, y se equivocan.
• Violación: la persona sabe lo que tiene que hacer, pero decide no hacerlo.
• Desajuste: la actividad no se ajusta con la habilidad de la persona, o ésta sabe lo que hay que hacer, y tiene la intención de hacerlo, pero la actividad está por encima de su habilidad física o mental.
• Falta de atención: la persona sabe lo que tiene que hacer, tiene la intención de hacerlo y es capaz de hacerlo, pero no lo hace o lo hace de forma incorrecta.

Al ver estas categorías se puede advertir que no siempre la capacitación o el entrenamiento es la respuesta indicada, pues existen diferentes sabores del “error” que demandan una revisión en profundidad de la persona y su contexto, para comprender qué fue lo que llevó al comportamiento y no sólo hacerlo sentir mal, o señalarlo por haber ejecutado un acción que terminó en un evento no deseado con implicaciones tanto para la persona como para la organización.
Cuando una persona configura un “error”, está atravesando una estructura conceptual interna que inicia con el conocimiento, se sintoniza con la voluntad, se moviliza con el deseo y se nutre de la dinámica del contexto donde ella labora, para crear una amalgama de sentimientos y actuaciones que son únicas en tiempo, modo y lugar que terminan en una condición no esperada o distinta a lo que se tenía prevista por la aquel que evalúa la acción a la luz de un estándar, buena práctica o resultado previsto (De la Torre, 2004).

EL PHISHING. UN ERROR HUMANO EN EL CONTEXTO DIGITAL

A todas luces el engaño en el contexto digital es la tendencia más natural y la estrategia más usada por los adversarios para lograr sus objetivos. En la medida que el engaño sea creíble y confiable, podrá avanzar en sus propósitos y crear la inestabilidad e incierto que caracteriza sus acciones. Los engaños en el contexto digital son cada vez más elaborados y creíbles como quiera que el acceso a la información por parte de los adversarios es abundante y abierta, sin perjuicio de los socios que pueda tener para validar y complementar los datos que tiene disponible en el momento (Steves, et al., 2020).
Si entendemos el phishing como una consecuencia de una serie de consideraciones y elementos alrededor del individuo, es posible considerar estrategias diferentes para hacer más resistente al individuo a este fenómeno (Edmondson, 2011). Si se hace una lectura del phishing desde las categorías del error previamente detalladas, se pueden observar algunas líneas de análisis que pueden sugerir alternativas de tratamiento que conecten la acción del individuo y la postura de apoyo y acompañamiento que se requiere, más que aquella que sólo aconseja e insiste en uno u otro comportamiento.
Si el phishing se entiende desde la categoría del error, se advierte a una persona que ha recibido información, más no entrenamiento sobre el tema, que piensa que conoce los alcances de los engaños y que posiblemente cree saber cómo identificar y actuar frente a una situación como éstas. Este escenario genera una sensación de confianza excesiva que debilita el juicio crítico de la persona, creando una zona de opacidad cognitiva que es aprovechada por la inteligencia confiable del atacante para elaborar de forma confiable el engaño. Frente a este tema, el reto es mantener siempre fuera de la zona cómoda a los que dicen “saber y estar preparados” para generar quiebre permanentes en su cotidianidad que permitan mantenerlos vigilantes y activos para dar respuesta.
Si el phishing se concibe como una violación, se configura un escenario distinto donde es una decisión individual meditada y consciente la que hace la diferencia en la acción final. En este sentido, la intencionalidad del individuo es la que marca la pauta para los análisis, lo cual debe estar articulado por herramientas tecnológicas que permitan validar el comportamiento seguido por la persona y establecer qué condiciones del contexto son las que habilitan y disparan una acción contraria al conocimiento previo que se tiene, que en perspectiva social y cognitiva se sabe que tendrá una afectación nociva para su integridad física y mental, con consecuencias adversas que terminen con llamados de atención o mayor supervisión. Frente a esta lectura, la estrategia es simplificar la acción a ejecutar, aumentar la supervisión y acompañar al individuo desde su realidad y dinámica particular.
Si el phishing se comprende como desajuste, se configura una realidad distinta de tratamiento habida cuenta se requiere expandir y profundizar en la capacidad del individuo para reconocer los diferentes tipos y evolución de los engaños. Como se indicaba previamente la acelerada transformación del phishing, como puede ser el “voice phishing” pone de presente el limitado conocimiento y la poca habilidad desarrollada por un individuo a la fecha, lo que necesariamente implica una actualización de las técnicas de engaño y la alta explotabilidad que se tiene por cuenta de esta realidad. La vulnerabilidad no está en la falta de entrenamiento, ni en la capacidad cognitiva de la persona, sino en la creación de patrones de aprendizaje permanentes que le lleven a interrogarse de forma frecuente frente aquello que no reconozca como conocido o confiable. Tratar el phishing en este contexto, es habilitar ventanas de aprendizaje que prueben y reten el saber previo de los individuos para que elaboren patrones de actuación que se ajusten no sólo a lo que saben, sino a contextos conocidos y modificados que puedan ser inusuales.
Si se revisa el phishing como falta de atención, se reconoce una realidad digital y dinámica social que crea cualquier cantidad de distracciones para los individuos, donde en un mismo instante puede haber diferentes actividades en curso que cambian el foco de concentración de forma permanente. Este contexto, sumado a las presiones naturales de la actividad laboral y la necesidad de lograr resultados, y si a esto se suma, las preocupaciones personales y familiares, se configura un escenario ideal para que la inteligencia realizada por adversario rinda sus frutos con el engaño que ha diseñado. Para tratar el phishing bajo esta perspectiva, se hace necesario disminuir los momentos de stress, rediseñar la actividad para tener menos distracciones y habilitar prácticas de desconexión que permita devolver el control al individuo, sacándolo de la inercia de la dinámica empresarial.
Como se puede observar el phishing tratado como un error humano ofrece una paleta de tratamiento diferenciada, que lleva a los encargados de seguridad y control a estudiar la realidad concreta de las personas para elaborar un perfil de explotabilidad diferenciado, que permite tomar acciones específicas que hagan menos susceptible a las personas a este engaño, y por qué no, crear un efecto disuasivo creíble y concreto que lleve a los adversarios a cambiar o actualizar sus técnicas lo que necesariamente debe ajustar la postura de seguridad y el desarrollo de la cultura organizacional de seguridad de la información.

REFLEXIONES FINALES

A la fecha se han reportado en la literatura marcos completos de trabajo denominados “anti-phishing” que establecen una estrategia de tratamiento que cubren controles tecnológicos, aspectos organizacionales y los factores humanos, los cuales recaban en posturas tradicionales que terminan en la aplicación de los estándares y buenas prácticas que entienden el comportamiento no esperado de la persona como un resultado y no como una consecuencia (Frauenstein & Von Solms, 2013).
En la medida que las técnicas de phishing avanzan hacia ataques menos perceptibles, más simulados y encubiertos, las “recetas conocidas” comienzan a perder su efectividad comoquiera que están situadas en aquellos elementos conocidos y básicos del engaño digital que se espera una persona pueda reconocer. Por tanto, al entender el phishing como una consecuencia es posible explorar alternativas desde las categorías del error, que generen patrones de comportamiento y aprendizaje, que se instalen en la reflexión cognitiva del individuo, no como un llamado a la ejecución por insistencia, sino a la postura vigilante por experiencia, que no es otra que aquella que viene acompañada por tres realidades:

• Tarde o temprano se va a caer en el engaño.
• Habrá consecuencias negativas que habrá que atender y manejar.
• La confusión estará presente para distraer y actuar de forma errática.

Frente a estas tres realidades los profesionales de seguridad y control deberán cambiar su postura por una más de acompañamiento y orientación, que busque disminuir o limitar las consecuencia negativas del comportamiento efectuado, y sobremanera estar presentes y solidarios frente al incierto que se desata en la persona, que no lo estigmatice o vuelva a revictimizar, sino que lo ayude a crear una zona de estabilidad y confianza que lo traiga de vuelta a la realidad y lo vuelva parte de resiliencia empresarial que absorbe rápidamente el evento adverso, aprende de él y rebota ágilmente para continuar con su operación (Brumfield, 2022).
El phishing más que una amenaza contra la seguridad o ciberseguridad empresarial es una amenaza racional y mental que se aprovecha de las vulnerabilidades cognitivas, las cuales están situadas en las vulnerabilidades sociales, propias de la dinámica del contexto y que son habilitadas y potenciadas desde las vulnerabilidades tecnológicas. Así las cosas, la respuesta a esta amenaza en constante evolución no es siempre entrenamiento o simulaciones, que revelan la debilidad o exposición personal que crean señalamientos directos o indirectos (que pueden terminar con efectos contrarios a los que se esperan) para aquellos que terminan “haciendo click”, sino una postura y visión de tratamiento diferenciado que hace la diferencia cuando es posible situar alguna categoría del error en una situación o dinámica específica de la organización.