La ciberseguridad es un campo cada vez más amplio, en estrecha relación con nuevos conceptos como la desinformación o el hacking psicológico. De todo ello hemos hablado con Cristina López Tarrida ingeniera y especialista en Ingeniería Social y Hacking Psicológico. Ha sido investigadora en la Universidad de Sevilla y actualmente ejerce como consultora y formadora en el ámbito de la inteligencia y la ciberseguridad. Además, en 2018 fue incluida por IDG en su ranking de los Top 25 influencers de ciberseguridad en España.

Escuchamos hablar con frecuencia de los efectos de la desinformación, ¿qué relación existe entre la ciberseguridad y la desinformación? ¿Cómo afecta dicha desinformación a la seguridad de las empresas?_

Cristina López: La desinformación es un fenómeno transversal que afecta a todos los ámbitos, incluido, por supuesto, el de la ciberseguridad y la seguridad de las empresas. Después de todo, no deja de tener un vínculo muy estrecho con el engaño, como el que ha sido utilizado para estafar a numerosas personas con el fraude de las falsas inversiones en bitcoins, que utilizaban el señuelo de rostros famosos para conseguir atrapar a las víctimas.

Por otro lado, una de las caras de la desinformación es la de las campañas de desprestigio. Hasta hace poco los medios tradicionales imponían en cierta forma la agenda política y social, destacando los temas que debían considerarse noticiables. Hoy esa agenda se rellena en numerosas ocasiones a golpe de clic o a criterio de viralidad. No parece lógico despreciar el poder del llamado periodismo ciudadano ni la capacidad de generar corrientes de opinión de las redes sociales. Esto tiene como consecuencia que, actualmente, casi cualquiera tiene la oportunidad de dañar la imagen corporativa o el prestigio de una marca, con muy poca inversión y con mucho rendimiento si se consigue hacer viral el relato. La desinformación es, junto a los ciberataques, el nuevo frente de batalla para las empresas.

Firma-invitada-cristina-lopez

Cristina López Tarrida, ingeniera y especialista en Ingeniería Social y Hacking Psicológico

En 2020 se celebrarán elecciones presidenciales en Estados Unidos, ¿qué papel crees que jugará la desinformación en el proceso? ¿Qué podemos hacer como ciudadanos para hacerle frente?_

C.L: La desinformación es un verdadero reto para los sistemas democráticos. Principalmente, porque la libertad de expresión es la mayor virtud de la democracia, pero también su mayor debilidad. Sobre todo, porque la línea que separa la protección de la veracidad de los contenidos de la censura es muy fina. Además, plantea una segunda derivada, ¿quién ejercerá de tribunal de la verdad? ¿Actores estatales? ¿Grandes tecnológicas? ¿Qué garantías tenemos de que no actuarán en su propio beneficio? En la lucha por decantar la balanza en favor de los intereses propios, es obvio que la desinformación puede jugar un papel determinante. Las noticias falsas no dejan de ser una forma de desinformación mucho más adecuada, a priori, para alcanzar a la población. ¿Por qué renunciar a su uso?

Como ciudadanos, debemos comprender que tenemos una parte de responsabilidad en esto. En este mundo en que parece que nunca hay tiempo para nada, debemos evitar adoptar la postura de absorber toda la información que nos llega sin cuestionarla. Debemos ser críticos y practicar un escepticismo saludable, tomar un poco de distancia de esa información para así poder dudar de ella. Y debemos aceptar que el funcionamiento de nuestra mente presenta una serie de vulnerabilidades que son explotables por quien las conoce: nuestros sesgos, nuestro pensamiento emocional, nuestra memoria reconstructiva, nuestra mente conservadora… ingredientes todos para la receta de la manipulación.

Eres experta en psicoHacking o hacking psicológico, ¿cómo definirías este concepto? ¿Cómo podríamos vincularlo con la tecnología de ciberseguridad?_

C.L: Cuando comencé a especializarme en ingeniería social, me di cuenta de que, en la mayoría de los foros, se asociaba casi exclusivamente con la ciberseguridad, lo que hacía perder perspectiva del enorme potencial que la ingeniería social tiene en otros escenarios. Y ahí es donde vi la necesidad de crear un nuevo concepto: el hacking psicológico o psicoHacking, que defino como la práctica que engloba los principios de psicología , sobre todo de psicología social, sociología y antropología sobre los que se fundamentan las operaciones de influencia y desinformación; con la particularidad de que tiene en cuenta, además, los matices y los retos que introducen en estas operaciones los nuevos paradigmas y comportamientos sociales derivados del uso de las nuevas tecnologías y del auge de las redes sociales.

Teniendo en cuenta que los ataques de ingeniería social en el ámbito de la ciberseguridad son en realidad acciones dirigidas a influir en el comportamiento de las víctimas para que revelen una información, realicen una acción o tomen una decisión que favorezca al atacante, el hacking psicológico es fundamental para comprender ese engranaje. La ingeniería social es uno de los vectores de ataque preferidos por la ciberdelincuencia: por su bajo coste, tanto a nivel de conocimientos como a nivel económico, y por su menor barrera de entrada.

¿Juega el hacking psicológico algún papel en la ciberguerra? ¿Son las personas un asset dentro de estas guerras entre estados o se limitan al uso de la tecnología existente y a la explotación de las vulnerabilidades?_

C.L: Rotundamente sí. El hacking psicológico no sólo juega un papel en la ciberguerra, sino también en las guerras convencionales y en las no declaradas. Muchos de los conflictos a día de hoy se libran ya en la mente de los individuos. Aunque la información ha sido siempre parte esencial de las estrategias de seguridad nacional y de política exterior de las grandes potencias, es evidente que las nuevas tecnologías han propiciado que sea mucho más fácil acceder a la mente del individuo e influir directamente sobre sus percepciones y voluntades, induciendo actitudes, comportamientos o decisiones favorables al promotor de dichas acciones de influencia.

El alcance, impacto e inmediatez de cualquier operación de este tipo en la era digital multiplica con creces cualquier efecto producido hasta ahora. El ámbito cognitivo, junto al del ciberespacio, constituye el nuevo dominio de operaciones, siendo transversal a los de tierra, aire, mar y espacio. Ya se están librando batallas que escapan a estos dominios tradicionales y que pueden derivar en iguales o peores consecuencias que las de una guerra al estilo convencional; eso sí, sin implicar la necesidad de baja alguna.

Los empleados siguen siendo el eslabón más débil de la ciberseguridad, ¿qué medidas deben tomar las empresas para intentar que deje de ser así?_

C.L: Soy una firme defensora de reescribir esa frase: el ser humano es el eslabón fundamental de la cadena. Que sea el más débil o no es una consecuencia, no una causa. Por eso creo que debemos hacer hincapié en la relevancia del factor humano en la cadena de la ciberseguridad y no tanto en su vulnerabilidad, para así no transmitir la falsa sensación de que no es posible revertirla.

Es probable que la primera medida sea hacer entender a las empresas que, aunque inviertan una gran cantidad de tiempo, esfuerzo y dinero en implantar los últimos sistemas de seguridad, antivirus y cortafuegos, si uno solo de sus empleados tiene un comportamiento despreocupado o irresponsable, o es víctima del desconocimiento o del engaño, toda esa inversión habrá tenido retorno negativo. La ciberseguridad no es únicamente una cuestión técnica, y si olvidamos esto estamos despreciando una parte importante del horizonte de soluciones.

La medida más importante es la concienciación y formación de los empleados. Debemos proporcionarles las herramientas necesarias para reconocer un ataque de phising, de ransomware, de whaling… Pero también hemos de enseñarles a reconocer a qué emociones apelan estos ataques, qué sesgos cognitivos explotan, qué vulnerabilidades en nuestra forma de razonar y decidir aprovechan. La ciberseguridad tiene su componente psicológico y sociológico y no podemos seguir obviándolo. Lo decía Sun Tzu hace más de dos mil años: “Conoce a tu enemigo y conócete a ti mismo y en cien batallas nunca serás derrotado”.

El año pasado fuiste incluida por IDG entre los 25 profesionales españoles más influyentes en ciberseguridad. En esta lista solo figurabais cuatro mujeres, ¿cómo crees que está evolucionando la presencia femenina en el sector?

C.L: Como cualquier cambio que pretenda ser perdurable: lentamente. Pero que la evolución sea lenta no significa que no se esté produciendo. Soy muy optimista con esto, creo que las mujeres tenemos potencial y carácter suficiente como para conquistar cualquier terreno en el que queramos estar. Por tanto, considero que es únicamente una cuestión de tiempo que la presencia femenina, de forma natural, sea más numerosa y las proporciones actuales se reviertan. La ciberseguridad no tiene género, no se trata de hombres o mujeres, sino de personas. En ciberseguridad y en todos los ámbitos de la vida, se trata de personas.