El riesgo invisible

Si no ha visto este vídeo en atención, hágalo, dura poco más de un minuto.

El vídeo es de Christopher Chabris y Daniel Simons, ambos autores del libro Invisible Gorila», en el que revelan las numerosas formas en que nuestras intuiciones pueden engañarnos.

En esencia, al igual que reaccionamos ante el vídeo anterior, nos damos cuenta de que nuestra mente no funciona como creemos. Creemos que nos vemos a nosotros mismos y al mundo como realmente son, pero en realidad nos estamos perdiendo muchas cosas.

En su mayor parte, nuestros cerebros no procesan muy bien el caos. Por eso, nuestros cerebros intentan tomar cualquier información y convertirla en algo con lo que estemos cómodos y familiarizados.

Es posible que hayas visto frases como ésta en Internet:

Y0UR M1ND 15 R34D1NG 7H15 4U70M471C4LLY W17H0U7 3V3N 7H1NK1NG 4B0U7 17.

Eso es tu cerebro añadiendo orden y familiaridad a una cadena de letras y números que de otro modo sería aleatoria.

Durante los escaneos cerebrales, los investigadores han descubierto que si escuchamos un sonido que nos hace sospechar fuertemente que otro sonido está en camino, el cerebro actúa como si ya estuviéramos escuchando el segundo sonido.

En psicología, la Ley del Cierre explica nuestra tendencia a formar conexiones imaginarias entre cosas que de otro modo estarían separadas.

Por ejemplo, en la imagen de arriba, hay fotos alternadas de mi colega, Erich, y de mí. Es probable que veas columnas alternadas de Erich y de mí con más facilidad que filas de fotos simples y alternadas.

Cuanto más fuertes sean las conexiones que podamos establecer entre los elementos (como entre fotos similares o incluso idénticas), menos caótico parecerá el conjunto.

Los delincuentes también lo saben, y comprenden el poder de poder estafar o defraudar a la gente simplemente creando un entorno de familiaridad.

Por ejemplo, en el fraude por correo electrónico empresarial (BEC) o fraude al director general, un delincuente que se hace pasar por el director general u otro alto ejecutivo pedirá al departamento de finanzas que realice un pago a un nuevo tercero. Este ataque tiene una mayor probabilidad de éxito si el correo electrónico imita el estilo o el tono del auténtico director general. De este modo, los atacantes pueden cegar al destinatario de señales de advertencia que pueden ser tan evidentes como el gorila del vídeo.

Recientemente, el La BBC informó que dos hombres nigerianos fueron detenidos por una estafa con EPIs en Alemania. Los delincuentes clonaron el sitio web de una empresa holandesa para obtener un pedido de un estado alemán por valor de 2,3 millones de dólares. Cuando el EPP no apareció, un representante del gobierno alemán visitó las oficinas de la empresa en los Países Bajos, sólo para que le dijeran que nunca habían hecho ningún negocio con ellos.

Al igual que el invisible gorila, una vez que sabes buscarlo, es fácil ver las señales de advertencia. Tal vez el sitio web tenía errores ortográficos, tal vez la URL era diferente, o tal vez los datos de la cuenta bancaria parecían sospechosos.

La cuestión es que, a menos que la gente sea consciente de las amenazas potenciales y de las técnicas que utilizan los estafadores y los delincuentes, hay pocas posibilidades de que detecten las amenazas que se presentan a la vista.

En marzo de 2020, el Departamento de Policía de la ciudad de Oklahoma compartió las imágenes de las cámaras de seguridad de un delincuente que entró en una tienda de conveniencia con una camiseta con el logotipo de la tienda y convenció a la empleada de la tienda de que estaba allí para hacerse cargo de su turno.

Una vez detrás de la caja registradora, siguió revisando a los clientes durante varios minutos antes de cerrar la puerta y robar todo el dinero, los cigarros y los billetes de lotería.

Es la manifestación física de un ataque de phishing en el que la amenaza fue invisible. Los dependientes de las tiendas suelen estar atentos a las personas que pueden robar o blandir un arma. Incluso están acostumbrados a comprobar si hay moneda falsa, pero pocos han sospechado que un delincuente entre descaradamente diciendo que es un empleado.

Si no se sabe lo que se busca, no se va a detectar. Sin embargo, tampoco basta con informar a la gente sobre las amenazas. Hay que reforzar la concienciación con una formación real que ponga a la gente en situaciones incómodas para condicionarla a reaccionar de forma positiva.

Para ilustrar el punto, vamos a terminar echando un vistazo a una variación de la invisible prueba del gorila, y ver si completa el ejercicio de manera diferente, o si su cerebro normaliza la escena.

Por eso es importante la formación continua en materia de seguridad, que debe impartirse de forma que capte la atención del receptor sin que su cerebro normalice el mensaje hasta el punto de que el gorila, o en nuestro caso, la amenaza, se convierta en invisible.