En busca del phishing perfecto capaz de engañarte incluso a ti

ElevenPaths  4 marzo, 2019
En busca del phising perfecto capaz de engañarte incluso a ti
Lanzas al aire una moneda (sin trucar) seis veces seguidas: ¿cuál de las tres secuencias siguientes crees que es más probable, representando “cara” con un 1 y “cruz” con un 0?

    1. 1 0 1 0 1 0
    2. 1 1 1 1 1 1
    3. 1 0 1 1 0 1

La mayoría de la gente elige la tercera secuencia, 1 0 1 1 0 1, porque parece más aleatoria. Las dos primeras parecen demasiado ordenadas y no coinciden con nuestra idea intuitiva de aleatoriedad. En realidad, las tres secuencias son equiprobables, con una probabilidad de (1/6)6. Pero como estamos más acostumbrados a ver secuencias desordenadas que ordenadas (porque de hecho hay más), de alguna manera la tercera secuencia es la que mejor representa nuestra imagen preconcebida de cómo debe ser la aleatoriedad.

Este error de pensamiento lleva precisamente por nombre heurística de la representatividad: asumimos que un ejemplo pertenece a una clase en función de lo bien que ese ejemplo represente a nuestro estereotipo (idea preconcebida) de la clase. Por ejemplo, si ves por la calle a un joven con melena, vestido de cuero y muñequera de pinchos, te resulta más fácil imaginar que le gusta la música Heavy que si va vestido de traje y corbata con el pelo engominado.

Recuerda que una heurística es un atajo de pensamiento: en lugar de responder a una pregunta complicada respondemos a otra equivalente, pero más sencilla. En el ejemplo de la moneda, en lugar de responder a la pregunta de interés, “¿cuál es la probabilidad de cada secuencia?”, nos preguntamos: “¿cuál es la secuencia que parece más aleatoria?”. El uso de la heurística de la representatividad refleja la presunción implícita de que lo similar va con lo similar. Pensamos erróneamente que un miembro de una categoría dada debería parecerse al estereotipo de la categoría, que un efecto debería parecerse a su causa. 

Como ocurre con todas las heurísticas, también la representatividad nos sirve bien en la mayoría de las situaciones: si un deportista es delgado y mide más de dos metros es más probable que juegue a baloncesto que a fútbol, si un hombre viaja con un maletín con forma de guitarra es más probable que transporte dentro una guitarra que una ametralladora y si recibes un correo de tu jefe es más probable que te lo haya enviado tu jefe a que sea un ataque de phishing.

Pero por desgracia, no siempre es así.

Si oyes ruidos de cascos, no esperes cebras

Marcos es un joven de España de unos 30 años, con gafas, desaliñado, viste camisetas negras con dibujos de películas y series frikis y usa Linux. ¿Qué crees que es más probable?

     A. Trabaja como programador en ElevenPaths en Madrid
     B. Trabaja de reponedor en un supermercado

Arrastrados por la heurística de la representatividad, muchos se sienten tentados de señalar la A como más probable. Sin embargo, en España existen muchas, muchas más personas trabajando en un supermercado que en ElevenPaths en Madrid, por lo que, aunque posiblemente haya una proporción mayor de amantes de Linux entre los empleados de ElevenPaths que entre los reponedores, su número total seguirá siendo muy inferior al de linuxeros en supermercados.

Probabilidad supermercasdos España imagen

El problema surge porque un fuerte estereotipo nos está cegando hacia otras fuentes de información, como por ejemplo la tasa base: el conocimiento de la frecuencia relativa de un subconjunto con respecto al total. Cuanto más se parece un individuo al estereotipo de la clase general, con mayor obstinación ignoramos la tasa base. 

De hecho, en las escuelas de medicina de EEUU circula el siguiente aforismo: “si oyes ruido de cascos, no esperes cebras”. Lo que viene a decir que a la hora de diagnosticar una enfermedad hay que pensar primero en las causas más probables, en lugar de en las más exóticas. En otras palabras, al evaluar la probabilidad de un suceso no podemos ignorar la tasa base.

Si has visto la película Moneyball recordarás cómo Billy Beane crea un equipo de baseball extraordinario reclutando a jugadores con una magnífica estadística de bateo, pero que habían sido descartados por otros ojeadores porque no poseían el aspecto estereotipado de gran bateador. Ante el asombro de los demás clubes, Beane obtuvo resultados excelentes con muy bajo coste, y todo porque fue el único que no sucumbió a la ilusión de la representatividad.

Como ves, esta heurística nos hace olvidar lo (poco) que sabemos sobre probabilidad y estadística y nos apresura a tomar decisiones con consecuencias a menudo desastrosas, como en el siguiente ejemplo.

Que algo sea muy plausible no implica que sea muy probable

Sergio tiene 35 años, estudió informática y, desde la adolescencia, le ha gustado el hacking y la programación. Después de la carrera, trabajó dos años en una empresa de antivirus y luego tres años como pentester en una firma internacional de ciberseguridad, donde ascendió hasta jefe de departamento. A continuación, estudió un máster de Risk Fraud Management y escribió su Trabajo de Fin de Máster sobre Teoría de Juegos para detección de malware. ¿Qué crees que es más probable?

    A. Sergio trabaja en un gran banco.
    B. Sergio trabaja en un gran banco en la unidad de ciberseguridad, donde dirige un equipo de respuesta ante emergencias informáticas.

He planteado este problema en docenas de cursos y la práctica totalidad de mis alumnos han elegido siempre la misma respuesta: la B. Por supuesto es la respuesta equivocada, supongo que a estas alturas del artículo lo habrás detectado con rapidez. Los empleados de la unidad de ciberseguridad de un banco suponen un pequeñísimo subconjunto de todos los empleados del banco: es matemáticamente imposible que la probabilidad de ocurrencia de un subconjunto sea mayor que la probabilidad del conjunto completo. 

Probabilidad empleados banco imagen

Por ejemplo, es más probable sacar de una baraja una carta de corazones o sacar un as que sacar un as de corazones. Si tú también has elegido la B, entonces has sido víctima de otro error de pensamiento muy común conectado con el anterior: la falacia de la conjunción.

Probabilidad de sucesos imagen

Resulta obvio que la probabilidad de que dos eventos ocurran juntos (en “conjunción”) es siempre menor o igual que la probabilidad de que cada uno ocurra por separado:

  • Cuando muestro la historia de Sergio antes de hacer la pregunta, triunfa la intuición y ésta da una respuesta equivocada.
  • En cambio, cuando lanzo la pregunta directamente, sin contar previamente la historia de Sergio, nadie elige la B, al contrario, todos eligen la A. Sin una historia plausible, gana la lógica.

Si lo piensas bien, por cada nuevo detalle añadido a un escenario, la probabilidad del escenario solo puede decrecer. Por el contrario, su representatividad y, por lo tanto, su aparente probabilidad, aumentan. ¡Qué paradoja! Cuanto más plausible nos pintan un escenario y con mayor lujo de detalle, menos probable es en términos estadísticos y, sin embargo, más probable nos lo representamos.

Ahora bien, las historias más coherentes no son necesariamente las más probables, pero son plausibles. Y confundimos coherencia, plausibilidad y probabilidad. Los resultados más representativos se combinan con la descripción de personalidad para producir las historias más coherentes.

Este error de juicio resulta especialmente pernicioso cuando se elaboran escenarios hipotéticos para hacer pronósticos y previsiones. Considera los siguiente dos escenarios y evalúa su probabilidad:

    A. Durante las próximas elecciones del 28 de abril se espera un ciberataque masivo en Twitter contra políticos españoles, capaz de secuestrar más de 100 cuentas.
     B. Durante las próximas elecciones del 28 de abril se espera que un miembro que fue expulsado de un partido político y que posee conexiones con grupos hacktivistas orqueste como represalia un ciberataque masivo en Twitter contra los miembros de su partido, capaz de secuestrar más de 100 cuentas.

El escenario B nos plantea una historia mucho más vívida y emocionante, es decir, más plausible, aunque su probabilidad es mucho menor. De hecho, el segundo escenario está contenido dentro del primero: los políticos de un partido español constituyen un subconjunto del conjunto de todos los políticos españoles. No obstante, añadir detalles a un escenario lo vuelve más persuasivo. Aunque eso sí, resulta menos probable que sea cierto. Es una trampa muy común al estimar escenarios.

Aquí tienes otro ejemplo: ¿qué escenario es más probable?

    A. Telefónica recibirá un ataque cibernético
    B. Telefónica recibirá un ataque cibernético a gran escala desde Corea del Norte orientado a interrumpir las comunicaciones de gran parte de nuestro país y sembrar el caos

Ahora sí, estás totalmente prevenido y sabes que el escenario A es el más probable. Te invito a que hagas esta prueba con tus amigos y verás que la mayoría elige la B.

En busca del malware perfecto

¿Cómo puede un ciberdelincuente aprovecharse entonces de la heurística de la representatividad? Explotará nuestra tendencia a creernos más un escenario rico en detalles representativos que otro que posea menos detalles. Si una historia contiene detalles que “tienen que estar”, tendemos a creérnosla más que si careciera de ellos, aunque, matemáticamente, cuanto más detalles incorpora una historia, con menor probabilidad será verdadera comparada con otra con menos detalles. 

Por ejemplo, el ciberdelincuente podría llamar a su víctima con la intención de suplantar al administrador de seguridad, explicándole que la llama desde el CPD porque ha recibido alertas de comportamiento anormal en la red originándose desde su ordenador (el de la víctima), por lo que necesita conectarse en remoto para hacer una comprobación de seguridad, para lo que requiere sus credenciales de acceso con el fin de iniciar sesión con su usuario y verificar qué está pasando.

Debido a que todos estos detalles encajan con nuestra imagen estereotipada del trabajo rutinario de un administrador de seguridad, es más probable que la víctima le revele sus credenciales que si simplemente llamara diciendo que es el administrador de seguridad y que necesita su contraseña. Y fíjate cómo, de acuerdo con la teoría de la probabilidad, este segundo escenario es mucho más probable que el primero, … ¡pero menos plausible!

La presencia de material plausible es probable que aumente nuestra creencia en la petición implausible. En otras palabras, para explotar la representatividad y la conjunción se precede una petición implausible de tantas afirmaciones y detalles plausibles como sea posible, enriqueciendo así la historia. Cuanto más plausibles sean las primeras afirmaciones, más fácil le resultará a la víctima creer en la última petición, por implausible que resulte.
Esta estrategia puede apreciarse en:

  • Ataques de ingeniería social, por teléfono, por email e incluso en persona, que buscan suplantar a una persona de la propia organización con el fin de obtener información sensible de la víctima.
  • Cebos que utilizan dispositivos físicos infectados, tipo unidades USB, perfectamente etiquetados y dejados adrede en lugares verosímiles, para que la víctima los encuentre y se sienta tentada de conectarlos.
  • Mensajes de phishing con textos muy bien redactados que ofrecen varios detalles plausibles antes de solicitar que se haga clic en un enlace que típicamente conducirá a una página familiar de inicio de sesión. Estos ataques están tan dirigidos que suelen englobarse en la categoría del spear phishing.
  • Ventanas falsas de alerta de virus simulando proceder del antivirus del equipo y que solicitan ejecutar el “antivirus” para limpiar el equipo porque supuestamente ha sido detectado algún tipo de malware.
Autodefensa contra ataques a nuestra heurística de la representatividad

Resumiendo, para evitar dejarte arrastrar por la heurística de la representatividad, necesitamos recordar las siguientes pautas, algunas inspiradas en la siempre estimulante obra Irracionalidad:

  • Si un escenario requiere cumplir una condición adicional, no importa cuán plausible parezca la condición, el escenario será menos probable, no más.
  • No juzgues únicamente por las apariencias. Si algo se parece más a una X que a una Y, sin embargo, puede ser más probable que sea una Y si hay muchas más Ys que Xs. ¡Infórmate sobre la tasa base!
  • Siempre es menos probable que una declaración que contenga dos o más datos sea verdadera que una que contenga solo uno de los datos, por muy verosímiles que sean todos ellos.
  • Cuídate de creer que una declaración es verdadera porque sabes que parte de ella es verdadera.
  • Que una historia sea muy plausible no implica que sea muy probable. 

Cuando tengas que tomar una decisión de seguridad, rechaza los cuentos y echa cuentas.

Gonzalo Álvarez Marañón
@gonalvmar
Innovación y laboratorio en ElevenPaths
www.elevenpaths.com

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *