El factor humano: ¿Por qué nos siguen "picando los ojos" con el phishing?

PYMES
Escrito por SecAlly

Si ves las noticias de ciberseguridad, parece que los hackers son genios matemáticos bajando códigos verdes al estilo Matrix. Pero la realidad es mucho más mundana y, por lo mismo, más peligrosa. El eslabón más débil de tu empresa no es tu firewall de mil dólares; es el dedo de una persona que tiene prisa.

No es falta de inteligencia, es exceso de estrés

A veces, como directivos, nos desesperamos: "¿Cómo es posible que Juan, de contabilidad, le diera clic a ese correo tan falso?". Pero hay que entender qué pasa en la cabeza de Juan.

El phishing no explota fallas en el software, explota fallas en nuestra biología. Los atacantes usan tres palancas psicológicas que nos nublan el juicio:

  • El sentido de urgencia: "Tu cuenta será bloqueada en 30 minutos". El cerebro entra en modo pánico y bloquea la parte lógica.

  • La autoridad: Un correo que parece venir del CEO o del SAT. En una cultura jerárquica como la nuestra, cuestionar al "jefe" no es lo natural, y ahí es donde nos atrapan.

  • La curiosidad (o el miedo): "Adjunto lista de despidos diciembre". ¿Quién no abriría eso?

El diseño del engaño

Hoy en día, un correo de phishing ya no tiene faltas de ortografía terribles ni promesas de príncipes nigerianos. Son réplicas exactas de las notificaciones de Microsoft Teams, de PayPal o de una factura de un proveedor real.

El problema es que hemos normalizado vivir en "piloto automático". Recibimos 50 correos al día, contestamos Whatsapps y estamos en una llamada al mismo tiempo. El phishing es el arte de pescar en río revuelto: solo necesitan que te equivoques una vez, mientras que tú tienes que estar alerta siempre.

¿Qué hacer? (Más allá del regaño)

No se trata de castigar al que le dio clic, sino de crear una cultura donde esté bien dudar. Si un correo se siente "raro", lo mejor es que el empleado se sienta con la confianza de levantar la mano y preguntar antes de actuar.

Al final del día, la mejor defensa no es un manual de 100 páginas que nadie lee, sino un equipo que sabe que, en el mundo digital, "lo urgente" suele ser la trampa.

SecAlly
Anterior

El 12° Jugador es un Fantasma: Por qué el Super Bowl es el "Dorado" del Cibercrimen
Siguiente

¿Tu empresa es una fortaleza o un castillo de naipes? El costo de "ver qué pasa"