Ciberseguridad conductual

José Vila
Statistician | Behavioural-Experimental Economist | Team Leader and Project Manager

Las organizaciones se enfrentan al reto de la ciberseguridad desde un punto de vista eminentemente tecnológico, centrándose en la adopción de soluciones técnicas como antivirus, cortafuego y sistemas de detección de intrusiones. Sin embargo, más allá de la actividad de hackers y cibercriminales, una gran parte de las brechas de ciberseguridad que sufren las empresas tienen su origen en el factor humano. Según el informe de Ponemon Institute – IBM Security (2020)[1], el comportamiento humano no malintencionado ha sido la causa última un 24% de los problemas de ciberseguridad. Así, el comportamiento humano se puede considerar como el eslabón más débil de esta cadena, convirtiendo la intervención conductual en una estrategia fundamental para la mejora de los niveles de seguridad en los mercados y sociedades digitales.

La Ciberseguridad Conductual (Behavioural Cybersecurity) aplica la economía conductual, en particular modelos no convencionales de toma de decisiones bajo incertidumbre, para estudiar los elementos racionales y no racionales que afectan al nivel de ciberseguridad de nuestro comportamiento y a la formación de creencias relacionadas con ciber-vulnerabilidad. La ciberseguridad conductual se convierte en una herramienta altamente efectiva para el diseño de nudges dirigidos a mejorar el nivel de ciberseguridad de nuestro comportamiento cotidiano. En los últimos años se han publicado numerosos trabajos sobre en esta disciplina, que apuntan a dos tipos de intervenciones conductuales como las más efectivas para incrementar el nivel de ciberseguridad.

Por una parte, iniciativas como el proyecto BICYBER[2] financiado por el Joint Research Centre de la Comisión Europea, han integrado modelos psicológicos (como la teoría de la protección-motivación o PMT[3] por sus siglas en inglés) y de economía conductual para diseñar y calibrar con datos experimentales diferentes modelos predictivos de toma de decisiones relacionadas con la ciberseguridad.   Como principales conclusiones, estos estudios establecen que las intervenciones que intentan promover cambio conductual a base de destacar los peligros y consecuencias negativas de determinados comportamientos (como las posibles consecuencias de revelar contraseñas bancarias a terceras partes respondiendo inadecuadamente a un phising) no son efectivas y resultan incluso contraproducentes. Estas intervenciones, generan una sensación de bloqueo y pueden minar la confianza del sujeto en su capacidad de comportarse de forma segura e incluso en la efectividad de lo que puede llegar a hacer, como la generación de contraseñas seguras (‘si los ciberdelincuentes tienen tanta capacidad, podrán vulnerar la seguridad de cualquier contraseña que yo pueda crear’). Ante este escenario, los modelos basados en PMT recomiendan intervenciones basadas en proporcionar instrucciones sencillas en el momento preciso (por ejemplo, como generar contraseñas seguras o como identificar mensajes de phising) que ayuden al sujeto a saber exactamente lo que puede hacer y reduzcan el coste de comportarse con seguridad, desincentivando la procrastinación.  

El segundo tipo de intervenciones recomendadas buscan limitar el papel de los sesgos cognitivos a la hora de generar creencias sobre el nivel de ciber-vulnerabilidad, sobre todo frente a ataques intencionales y acciones cibercriminales. En este sentido, se puede destacar el proyecto europeo de investigación CYBECO[4], que ha desarrollado modelos de formación de creencias sobre las posibilidades y consecuencias de recibir ataques intencionales utilizando instrumentos como el análisis adversarial[5], la teoría de las perspectivas de Kahneman y Tversky[6] y la PMT antes citada. Los resultados de estos modelos sugieren que la carga cognitiva de evaluar el nivel de ciber-riesgo es excesiva para nosotros. Esto nos lleva a aplicar heurísticas que tienden en general a subestimar los niveles reales de riesgo. Para reducir dicha carga y evitar falsas sensaciones de seguridad, estos modelos proporcionan mecanismos para descomponer el proceso de evaluación de riesgos y formación de creencias en una serie de pasos intermedios más sencillos, liberando al sujeto de la necesidad de evaluar situaciones complejas. De esta forma, ha sido posible diseñar y validar experimentalmente herramientas de apoyo al comportamiento seguro que liberen al sujeto de la necesidad de formar creencias en situaciones complejas y calcular las decisiones óptimas que se derivan de su nivel de ciber-riesgo (como decidir el nivel de esfuerzo, tiempo e inversión en incrementar la seguridad con medidas de protección o seguro idóneas para su nivel percibido de vulnerabilidad). Además, estas herramientas integran de forma efectiva estrategias de nudging e ingeniería social para influenciar el comportamiento del usuario a través de su Sistema 1 y ayudarle a comportarse de forma más segura en su vida privada o como miembro de una organización o empresa.    

En resumen, la ciberseguridad conductual tiene la capacidad de convertir el eslabón más débil de la cadena de ciberseguridad, el comportamiento humano, en un generador de seguridad informática. Las empresas y organizaciones están empezando a ser conscientes de la importancia y potencialidad de este enfoque. Por desgracia, los hackers y cibercriminales han sido conscientes hace ya bastante tiempo de dicha importancia y vienen lanzando ataques muy efectivos de ingeniería social con base conductual contra individuos y empresas. Es el momento de aplicar toda la potencialidad de la ciberseguridad conductual para defendernos de estas amenazas.

[1] Ponemon Institute and IBM Security (2020). Cost of a data breach report.

[2] van Bavel, R., Rodríguez-Priego, N., Vila, J., & Briggs, P. (2019). Using protection motivation theory in the design of nudges to improve online security behavior. International Journal of Human-Computer Studies, 123, 29-39.

Rodríguez-Priego, N., van Bavel, R., Vila, J., & Briggs, P. (2020). Framing effects on online security behavior. Frontiers in Psychology, 11, 2833.

[3] Tsai, H.-y. S., Jiang, M., Alhabash, S., LaRose, R., Rifon, N. J., and Cotten, S. R. (2016). Understanding online safety behaviors: A protection motivation theory perspective. Computers & Security, 59:138–150.

[4] Insua, D. R., Baylon, C., & Vila, J. (Eds.). (2020). Security Risk Models for Cyber Insurance. CRC Press.

[5] Banks, D. L., Aliaga, J. M. R., and Insua, D. R. (2015). Adversarial risk analysis. CRC Press

[6] Kahneman, D., & Tversky, A. (2013). Prospect theory: An analysis of decision under risk. In Handbook of the fundamentals of financial decision making: Part I (pp. 99-127).