Empezaré con una historia:
Sara echó un vistazo rápido al asunto del correo electrónico: "URGENTE: Pago requerido - Se solicita acción". Eran las cuatro de la tarde de un viernes y el nombre del Director General figuraba en el campo del remitente. El mensaje era directo y directo:
"Hola Sara, tenemos que hacer este pago antes de que finalice el día de hoy, de lo contrario incurriremos en costes legales adicionales. La información sobre el pago está en el archivo adjunto. Esto tiene que ver con el Proyecto Phoenix y la fusión que mencioné en la llamada de resultados de la semana pasada . Estoy en reuniones consecutivas con el departamento legal y otros, así que no tengo tiempo para explicarlo con más detalle. Por favor, resuélvanlo lo antes posible"
Sara empezó a sentirse ansiosa y su corazón se aceleró. Por un momento, tuvo la sensación de haber visto algo así antes, probablemente en la formación sobre ciberseguridad del año pasado. Pero en ese momento, la formación parecía un recuerdo lejano, con diapositivas de PowerPoint sin vida, capturas de pantalla olvidables y tediosas preguntas de opción múltiple llenas de términos difíciles de entender.
Además, el Proyecto Phoenix era real, y la fusión también. El tono del mensaje no difería mucho de las instrucciones breves y directas de las actas de las últimas reuniones internas. Pensó: "¿Quién soy yo para cuestionar las órdenes del director general?". Presionada y vulnerable a la autoridad, Sara ignoró la sensación de incomodidad, hizo lo que le decían y transfirió el dinero.
El lunes, la realidad la sorprendió: unos 200.000 dólares habían desaparecido en una cuenta en el extranjero controlada por estafadores. ¿El correo electrónico? Falso, elaborado con información extraída de comunicados de prensa y publicaciones de LinkedIn. Hoy en día, esto es relativamente sencillo para cualquier estafador experimentado. Al final, la psicología humana primó sobre las políticas de seguridad.
Aunque esta historia es ficticia, describe un escenario que se da a menudo en la pesadilla recurrente que es el fraude por Business Email Compromise (BEC). Estas estafas no se basan en trucos técnicos; en su lugar, explotan aspectos de nuestra naturaleza humana, lo que resulta en enormes ganancias para los estafadores. Según el FBI, entre 2013 y 2023, el fraude BEC costó a las organizaciones de todo el mundo 55.500 millones de dólares.
El impacto de la brecha en la formación en ciberseguridad
La historia anterior revela un problema importante: incluso las personas más atentas son propensas a olvidar lo que "aprendieron" en la formación de ciberseguridad. Los aburridos Power Points, los cuestionarios obligatorios y las comprobaciones de cumplimiento suelen ser olvidables y tediosos. Muchos de estos programas ofrecen resultados mediocres sin abordar la cuestión principal: el comportamiento. Los empleados los soportan para terminarlos rápidamente, reteniendo poco y poniendo aún menos en práctica.
Esto es preocupante, porque la cuestión no es si los empleados se enfrentarán a un ataque, sino si estarán preparados cuando la presión aumente. Y está claro que muchos no lo están, como demuestra, por ejemplo, el último Informe de Verizon sobre Investigaciones de Fugas de Datos (DBIR), que afirma que más de dos tercios de las fugas de datos implican errores humanos. Alguien fue forzado. Alguien hizo clic. Alguien cometió un error. Alguien como Sara.
Imaginemos simulacros de incendio en los que los empleados asisten a una conferencia sobre teoría de la combustión en lugar de evacuar el edificio. Cuando ocurre una emergencia real, podrían morir quemados, aferrándose a sus certificados de finalización. Entonces, ¿por qué "entrenar" a la gente para sobrevivir a los ciberataques con políticas abstractas en lugar de experiencias simuladas e inmersivas? ¿Por qué someter a sus empleados a sesiones de formación monótonas que probablemente fracasarán en cuanto aumente la presión?
¿Cómo resolver el problema?
No, no es que nuestros cerebros sean perezosos; de hecho, son bastante eficientes. Cada día, cada uno de nosotros procesa cientos de mensajes, hace clic, comparte y responde con una resistencia mínima. En medio del diluvio de información, nos hemos condicionado a tomar decisiones en fracciones de segundo, a menudo priorizando la velocidad por encima de todo, incluida la seguridad digital.
Pero en lugar de enviar alertas más intensas o repetir los mismos cuestionarios de siempre, la solución pasa por "hackear" cerebros. Para ser más precisos, se trata de utilizar técnicas que pueden ayudar a reprogramar las vías de toma de decisiones y entrenarnos para suspender nuestras reacciones habituales, o incluso incorporar nuevos hábitos a algunos de nuestros comportamientos. Nuestro cerebro tiende a descartar los hechos áridos para conservar energía, pero se encariña fácilmente con las experiencias emocionales y participativas.
aquí es donde pueden ayudar las simulaciones realistas y la gamificación bien pensada, utilizando elementos de los videojuegos que enganchan de forma natural al cerebro. De hecho, ya sean aplicaciones de fitness que convierten los entrenamientos en juegos de estado o aplicaciones de redes sociales que alimentan nuestra necesidad de validación con "me gusta", muchas de las aplicaciones cotidianas ya incluyen algunos de los principios en los que se basa la gamificación. Los mecanismos de juego también se utilizan con gran éxito en las competiciones de tipo capture the flag, en las que participan cada año innumerables profesionales de TI.
Programado para historias
Una forma clave de mejorar la seguridad digital de su organización (no es un juego de palabras) consiste en aprovechar el poder de las historias. Las historias son mucho más que una forma de pasar el tiempo: siempre nos han ayudado a entender el mundo e incluso a compartir estrategias de supervivencia. Activan las regiones del placer y la emoción del cerebro, modificando actitudes y comportamientos.
Así que tiene mucho sentido que el poder de esta herramienta de supervivencia se aproveche cada vez más para sobrevivir en la jungla digital actual, especialmente a través de la gamificación. Cuando los retos de seguridad se incorporan a una narrativa atractiva que presenta las amenazas como personajes, las medidas de seguridad como herramientas y a los empleados como héroes, la formación y el recuerdo pueden aumentar significativamente.
Mientras tanto, las simulaciones realistas de phishing ofrecen un aprendizaje práctico y ayudan a construir la memoria. No se limitan a enseñar, sino que ponen a prueba y refuerzan los comportamientos correctos en contexto y en un entorno seguro. El aprendizaje basado en escenarios y las simulaciones realistas ponen a los empleados en situaciones que imitan amenazas reales y dan vida a los conceptos de seguridad, ayudando a crear anclajes emocionales en la memoria que persisten mucho tiempo después de la formación. Las estafas que implican deepfakes y otros trucos asistidos por IA aumentan aún más la urgencia: basta con considerar este caso de hace apenas unas semanas, cuando un profesional de las finanzas pagó 25 millones de dólares después de una videollamada con versiones deepfake de altos directivos.
Cómo convertir la formación en acción instintiva
Ahora imagina que Sara, cuando se enfrenta a ese correo electrónico urgente, no entra en pánico; al contrario, hace una pausa. Reconoce las señales de alarma porque ya se ha enfrentado a situaciones similares en su formación sobre seguridad. Ha desarrollado la memoria para detenerse, pensar y comprobar antes de actuar. Al final, en lugar de transferir fondos a un ciberdelincuente, alerta al equipo de ciberseguridad de un sofisticado intento de ataque, convirtiendo un error potencialmente embarazoso (probablemente seguido de una cobertura de prensa negativa de un incidente cibernético exitoso) en un poderoso momento de aprendizaje para ella y para toda la empresa.
El objetivo final no es sólo cumplir las normas, sino conseguir que los comportamientos de seguridad se conviertan en hábitos y, de hecho, que sean casi tan instintivos como alejarse del fuego.
