ztevenreal
Incluso con el vasto cúmulo de herramientas de ciberseguridad y la detección de amenazas mejoradas con AI, los atacantes continúan teniendo éxito, no porque la tecnología esté fallando, sino porque el vínculo humano en la dependencia defensiva permanece expuesta. Los cibercriminales casi siempre toman el camino de último resistor para ejecutar una violación, lo que a menudo significa dirigirse a las personas en empleo de un sistema.
Según McKinsey, un asombroso 91% de los ataques cibernéticos tienen menos que ver con la tecnología, y más con la manipulación y utilizar el comportamiento humano. En otras palabras, a pesar de las tecnologías como la IA que avanzan a una velocidad de cuello romperse, los cibercriminales aún tienen más probabilidades de piratear a las personas que a las máquinas.
Desde la perspectiva de un cibercrimen, esto tiene sentido. Es el camino de último resistor. ¿Por qué desembolsar capital pirateando a través de una puerta principal de entrada tecnología y asegurada de IA cuando hay una ventana abierta aproximadamente de la parte posterior? Esto no es mensaje para CISOS: según una sondeo de IBM de 2024, casi tres cuartos (74%) ahora identifican la vulnerabilidad humana como su peligro de seguridad superior. Son conscientes de la ventana abierta, y ahora están tratando de asegurarla.
Director Senior, Ingeniería de Presentas en una identidad.
Más obediente decirlo que hacerlo
Sin incautación, eso es más obediente decirlo que hacerlo. Ya sea un correo electrónico de phishing adecuadamente intermitido, una llamamiento falsificada, un video de Fakefake o un tromba de notificaciones push auténticas diseñadas para desgastar el pleito de un becario, los atacantes se están adaptando más rápido de lo que las defensas pueden compensar.
La efectividad es que, si adecuadamente los proveedores de seguridad corren para aventajar a los atacantes con algoritmos más inteligentes y controles más estrictos, las tácticas que más conducen a infracciones son psicológicas, no técnicas. Los actores de amenaza están explotando la confianza, la pesadumbre, las normas sociales y los atajos de comportamiento, tácticas mucho más sutiles y efectivas que el código de fuerza bruta.
No es una desatiendo de tecnología, dejando a las organizaciones vulnerables a estas técnicas, es una desatiendo de vinculación entre esas herramientas y la forma en que las personas positivamente piensan y operan. En entornos de ritmo rápido y de entrada presión, los empleados no tienen el encantado de pandilla para adivinar cada solicitud o examinar cada aviso.
Confían en los instintos, la amistad y los patrones en los que han aprendido a encargar. Pero esos mismos instintos son lo que los atacantes secuestran, convirtiendo los boletos de la mesa de ayuda en exploits de comunicación, o imitan CFO en atracos multimillonario. A medida que la IA generativa acelera el realismo y el trascendencia de estas tácticas, las organizaciones enfrentan una pregunta crítica: no solo cómo sustentar a los malos actores fuera, sino cómo equipar mejor a su parentela. Porque cuando las violaciones dependen de las decisiones humanas, la ciberseguridad no es solo un problema tecnológico, es humano.
Confianza, sesgo y la psicología de las violaciones de seguridad
El comportamiento humano es una vulnerabilidad, pero incluso es un patrón predecible. Nuestros cerebros están conectados para la eficiencia, no el exploración, lo que nos hace notablemente fáciles de manipular en las condiciones correctas. Los atacantes saben esto y diseñan sus hazañas en consecuencia. Juegan con la aprieto de anular la precaución, se hacen acaecer por cifras de autoridad para desarmar el desconfianza y las pequeñas solicitudes alimentadas por chorreo para desencadenar el sesgo de consistencia. Estas tácticas se calculan despiadadamente, y funcionan no porque las personas sean descuidadas, sino porque son humanas.
A principios de 2024, un trabajador financiero de una empresa de Hong Kong fue engañado para que transfiriera $ 25 millones luego de asistir a una videollamada con lo que parecía ser el CFO de la compañía y otros colegas, cada uno de los cuales era un defake profundo generado por IA convincente. Los atacantes usaron imágenes disponibles públicamente para clonar caras y voces, creando una ilusión perfecta que explotó la confianza y la amistad con el huella devastador.
La parte reveladora es que estas herramientas de Deepfake ahora están fácilmente disponibles. La ingeniería social moderna no depende de las banderas rojas obvias. Los correos electrónicos no están plagados de errores tipográficos, y las suplantaciones no suenan robóticas. Gracias a la IA generativa, la tecnología de defake profundo y el comunicación a grandes datos de capacitación, los atacantes ahora pueden crear personas increíblemente convincentes que reflejan el tono, el comportamiento y el jerga de los colegas de confianza. En este entorno, incluso el empleado mejor capacitado puede ser víctima sin omisión.
La heurística – atajos mentales – son explotados con frecuencia por atacantes que saben qué apañarse. El “sesgo de autoridad” lleva a las personas a seguir las instrucciones de los líderes percibidos, como un correo electrónico falsificado de un CEO. El “principio de escasez” aumenta la presión al crear una aprieto falsa, haciendo que los empleados sientan que deben efectuar de inmediato.
Y el “sesgo de reciprocidad” juega en los instintos sociales básicos: una vez que algún ha recibido un visaje aparentemente bondadoso, es más probable que respondan positivamente a una solicitud de seguimiento, incluso si es malvado. Lo que a menudo parece un curso de pleito a menudo es solo un resultado esperado de sobrecarga cognitiva y el uso global de heurísticas cotidianos.
Donde la política se encuentra con la psicología
Las estrategias tradicionales de diligencia de identidad y comunicación (IAM) tienden a responsabilizarse que los usuarios se comportarán de modo predecible y racional, que analizarán cada aviso, cuestionarán cada anomalía y seguirán la política de la carta. Pero la efectividad adentro de la mayoría de las organizaciones es mucho más desordenada. Las personas trabajan rápidamente, cambian contextos constantemente y son bombardeados con notificaciones, tareas y solicitudes.
Si los controles de seguridad se sienten demasiado rígidos o gravosos, los usuarios encontrarán soluciones. Si las indicaciones son demasiado frecuentes, serán ignorados. Así es como se ve socavada la buena política, no por negligencia, sino porque el diseño del sistema choca con la psicología de sus usuarios. Los buenos mecanismos de seguridad no deberían asociar fricción; Deben pilotar a la perfección a los usuarios cerca de mejores opciones.
Aplicar principios como cero confianza, menos privilegio y comunicación amoldonado a tiempo puede achicar drásticamente la exposición, pero solo si se implementan de modo que expliquen la carga y el contexto cognitivos. La automatización puede ayudar aquí: otorgar y revocar el comunicación basado en señales de peligro dinámico, hora del día o cambios de roles sin requerir que los usuarios realicen constantemente llamadas de pleito.
Hecho adecuadamente, la diligencia de identidad se convierte en una red de seguridad invisible, adaptándose silenciosamente en segundo plano, en empleo de exigir una interacción constante. Los humanos no deben ser retirados del rizo, pero deben liberarse de la carga para atrapar lo que el sistema ya debería detectar.
Construyendo una civilización de seguridad
La tecnología puede hacer cumplir las políticas de comunicación, pero la civilización determina si las personas las siguen. Construir una estructura segura debe ser más que simplemente hacer cumplir el cumplimiento. Eso comienza con el entrenamiento de seguridad que va más allá de los ejercicios de phishing y la higiene de contraseña para encarar cómo las personas positivamente piensan y reaccionan bajo presión. Los empleados deben distinguir sus propios prejuicios cognitivos, comprender cómo están siendo atacados y sentirse empoderados, no penalizados, por desacelerar y hacer preguntas.
Igualmente importante es eliminar la fricción innecesaria. Cuando los controles de comunicación son intuitivos, conscientes del contexto y mínimamente perjudiciales, es más probable que los usuarios se involucren correctamente con ellos. Los modelos de comunicación basados en roles y basados en atributos, combinados con permisos amoldonado a tiempo, ayudan a achicar el sobreprovisionamiento sin crear cuellos de botella frustrantes en forma de ventanas emergentes e interrupciones. En otras palabras, los sistemas IAM modernos deben apoyar y empoderar a los empleados en empleo de hacer que salgan constantemente a través de los aros para obtener de una aplicación o ventana a otra.
El firewall humano no va a ninguna parte
La conclusión más amplio aquí es que la ciberseguridad no es solo una prueba de sistemas, impulsados por la IA o no, es una prueba de personas. El firewall humano es posiblemente la viejo amor de una estructura, pero con las herramientas y políticas adecuadas en su empleo, puede convertirse en su viejo fortaleza. Nuestro objetivo no debe ser eliminar el error humano o cambiar la naturaleza innata de los humanos, sino diseñar sistemas de identidad que hacen que el comportamiento seguro sea el valencia predeterminado: obediente, intuitivo y sin fricción.
Enumeramos el mejor software de examen de empleados.
Este artículo fue producido como parte del canal de Insights Expert de TechRadarpro, donde presentamos las mejores y más brillantes mentes de la industria de la tecnología en la presente. Las opiniones expresadas aquí son las del autor y no son necesariamente las de TechRadarpro o Future PLC. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro
