ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
Amador Aparicio CVE 2020-35710 o cómo tu RAS Gateway Secure revela el espacio de direccionamiento interno de tu organización Parallels RAS (Remote Application Server), es una solución de entrega de aplicaciones e infraestructura de escritorio virtual (VDI) que permite a empleados y clientes de una organización acceder y...
ElevenPaths Historias de #MujeresHacker: Sheila Berta, la speaker más joven en DefCON & BlackHat Según los estudios, sólo el 25% de la fuerza laboral mundial del sector de la tecnología está representado por mujeres, algo que debemos lograr incrementar entre todos. En Telefónica...
ElevenPaths ElevenPaths Radio 3×01 – Entrevista a David Barroso Cuando pensamos en herramientas de ciberseguridad, se nos vienen a la cabeza los cortafuegos, los sistemas de detección de intrusos, los antivirus, etc. Sin embargo, existen otros enfoques de...
Gonzalo Álvarez Marañón Criptografía chivata: cómo crackear dispositivos inviolables La llave de seguridad Titan de Google o la YubiKey de Yubico son el último grito en seguridad de autenticación multifactor. Según la propia página de Google: «Las llaves cuentan...
ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
ElevenPaths [New Report] “Financial cyber threats Q1 2016” conducted by Kaspersky Labs and Telefónica Download now the full report Our analyst team gives you a quarterly update on the latest tendencies of cyber attacks in financial sector. You can now download the full...
ElevenPaths Telefónica and ElevenPaths announce new market leading security offering following key sector agreements In the context of the Company’s III Security Innovation Day Telefónica and ElevenPaths announce new market leading security offering following key sector agreements Telefónica signs agreements with partners including...
Gonzalo Álvarez Marañón Criptografía chivata: cómo crackear dispositivos inviolables La llave de seguridad Titan de Google o la YubiKey de Yubico son el último grito en seguridad de autenticación multifactor. Según la propia página de Google: «Las llaves cuentan...
ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
ElevenPaths ElevenPaths Security Day: Simplify Security ¡Aforo completo! Simplify Security Acompáñanos en esta segunda edición de nuestro Security Day. Te esperamos el 28 de mayo a las 09:30 horas en el Auditorio Rafael del Pino, Madrid, localizado...
Samuel Bonete Satorre Redefiniendo la seguridad en la nube con SASE Para un momento y piénsalo fríamente: ¿qué porcentaje de tu tráfico en Internet termina en sitios web o navegación tradicional y qué proporción en servicios SaaS? Si lo analizamos...
Tus sentimientos influyen en tu percepción del riesgo y del beneficio más de lo que creesGonzalo Álvarez Marañón 28 mayo, 2019 «La seguridad es tanto un sentimiento como una realidad.» —Bruce Schneier Daniel Gardner abre su libro The Science of Fear con la estremecedora historia de los atentados del 11S en EEUU: «Y así, en los meses posteriores a los ataques del 11 de septiembre, mientras los políticos y periodistas se preocupaban sin cesar por el terrorismo, el ántrax y las bombas sucias, las personas que huían de los aeropuertos para protegerse del terrorismo se estrellaron y murieron en las carreteras de Estados Unidos. Y nadie se dio cuenta. (…) Resultó que el cambio de aviones a automóviles en Estados Unidos duró un año. Luego los patrones de tráfico volvieron a la normalidad. Gigerenzer también encontró que, exactamente como se esperaba, las muertes en las carreteras estadounidenses se dispararon después de septiembre de 2001 y volvieron a los niveles normales en septiembre de 2002. Con estos datos, Gigerenzer pudo calcular el número de estadounidenses muertos en accidentes automovilísticos como resultado directo de cambiar de aviones a coches. Fue de 1.595.» ¿Qué mató a todas estas víctimas? El miedo. Todos sabemos que volar en avión en más seguro que conducir un coche. De hecho, lo más peligroso de viajar en avión es el trayecto en coche al aeropuerto. Las estadísticas están ahí para demostrarlo. ¿Por qué entonces nos da más miedo volar en avión que montar en coche? Porque la aceptación del riesgo no sólo depende de estimaciones técnicas de riesgo y beneficio sino también de factores subjetivos, como el sentimiento. Nuestras preferencias emocionales determinan nuestras creencias sobre el mundoLa heurística del afecto permite a alguien tomar una decisión basada en un afecto, es decir, en un sentimiento, en lugar de en una deliberación racional. Esta heurística funciona mediante la siguiente sustitución: Si tienes un buen presentimiento acerca de una situación, puedes percibirla como de bajo riesgo; recíprocamente, un mal presentimiento puede inducirte a una mayor percepción de riesgo. Estás usando tu respuesta afectiva a un riesgo (por ejemplo, ¿cómo me siento con respecto a los alimentos genéticamente modificados, la energía nuclear, el cáncer de mama o las armas de fuego?) para inferir cómo de grave es para ti ese riesgo (por ejemplo, ¿cuál es el número anual de muertes por cáncer de mama o por armas de fuego?). Y, a menudo, te encontrarás que existe un importante gap entre el riesgo real y el riesgo percibido. En nuestro cerebro, el riesgo lleva asociado una serie de factores psicológicos que determinan si nos sentimos más o menos asustados. ¿Y cómo pueden medirse estos factores? Uno de los investigadores más destacados sobre análisis de riesgos, Paul Slovic, propuso un modelo psicométrico para medir los niveles percibidos de riesgo en función de la respuesta afectiva ante distintas amenazas. En un primer trabajo, Slovic planteó 18 características para evaluar cuantitativamente la percepción del riesgo. Para simplificar, la siguiente tabla sólo recoge los factores de percepción de riesgo más directamente relacionados con la ciberseguridad: Las personas exageran los riesgos que: Las personas minimizan los riesgos que: Infunden miedo No infunden miedo Escapan a su control Permanecen bajo su control Resultan catastróficos, afectando a multitudes Afectan a uno o pocos individuos Afectan a otros, no al agente de la actividad (injustos) Afectan al agente de la actividad (justos) Vienen impuestos externamente Se toman voluntariamente Son desconocidos Resultan familiares No se comprenden bien Son bien comprendidos Aparecen como nuevos, infrecuentes Son viejos o comunes Tienen consecuencias inmediatas Manifiestan sus efectos a largo plazo Exploremos de nuevo el ejemplo de volar en avión o viajar en coche, desde esta nueva perspectiva. Si evalúas cada uno de los factores anteriores para ambas actividades, llegarás a un resultado similar al del gráfico siguiente: Ahora tal vez te parezca más claro por qué nos da más miedo volar en avión que montar en coche a pesar de lo que digan las estadísticas y los estudios de accidentes y mortalidad. ¡Somos seres emocionales! Revisa los artículos anteriores sobre las heurísticas de disponibilidad y de representatividad y comprobarás cómo explican la mayoría de los comportamientos listados en la tabla. Miedo y familiaridad condicionan tu percepción del riesgo ante las amenazasPosteriormente, al profundizar en el estudio de estos factores, Slovic observó cómo existen dos dimensiones dominantes entre todas ellos: miedo y familiaridad. Ambas dimensiones pueden representarse gráficamente para facilitar la clasificación de los riesgos. Limitándonos a estos dos factores, la heurística del afecto puede redefinirse como la siguiente sustitución: A la hora de evaluar dos amenazas A y B, cuanto más miedo te infunda y menos familiar te resulte una de las dos, percibirás su nivel de riesgo como más alto en comparación con la otra. Inconscientemente, realizas el juicio: volar en avión infunde más miedo y resulta menos familiar que montar en coche, luego tiene que ser más arriesgado. Así que ubicas el avión en el cuadrante inferior derecho (Alto Riesgo) y el coche, en el superior izquierdo (Bajo Riesgo). Y ni todas las estadísticas del mundo cambiarán este afecto. Puedes probarlo con tu cuñado. Esta heurística se aplica en especial cuando necesitas tomar decisiones rápidas. Cuanto te encuentras bajo presión y sin tiempo, no puedes evitar sentir reacciones afectivas o emocionales hacia la mayoría de las opciones. Por supuesto, además del afecto, también entran en acción los atajos psicológicos que te ayudan a determinar si un riesgo parece alto o bajo: son los sesgos cognitivos y heurísticas que hemos repasado en anteriores artículos. La familiaridad constituye un factor realmente determinante en la evaluación de riesgos. Cuanto más familiarizado estás con una actividad o suceso, menos atención le prestas. El cerebro se ve bombardeado por millones de datos de entrada y tiene que filtrarlos, extrayendo la información importante. Por lo general, importante es todo aquello novedoso, todo lo que supone un cambio. Con el tiempo, sometido una y otra vez al mismo estímulo, el cerebro se habitúa y termina ignorándolo. La habituación es un fenómeno maravilloso que permite que puedas desenvolverte en la vida cotidiana sin necesidad de prestar atención absolutamente a todo. El lado malo es que terminas insensibilizado hacia los estímulos frecuentes. Cuanto más familiar te resulta una actividad, menor termina pareciéndote su riesgo. De ahí que tal vez fumes, comas comida ultraprocesada, whatsappees mientras conduces y cruces la calle leyendo tu Facebook en el móvil ¡todos los días! Son actividades a las que estás tan habituado (te son tan familiares) que ya no te parecen arriesgadas. La sorprendente relación entre nuestros juicios sobre riesgo y beneficioY no acaba aquí la historia. Paul Slovic no sólo llegó a las conclusiones descritas anteriormente en su modelo psicométrico del riesgo. Descubrió además sorprendentes relaciones entre nuestros juicios sobre riesgo y beneficio: «En el mundo, riesgo y beneficio tienden a estar positivamente correlados, mientras que en la mente (y en los juicios) de las personas resultan estar negativamente correlados. (…) Las personas basan sus juicios sobre una actividad o una tecnología no solo en su conocimiento racional y objetivo sobre ella sino también en los sentimientos suscitados. (…) Si les gusta una actividad, se sienten movidos a juzgar los riesgos como bajos y los beneficios como altos; si no les gusta, tienden a juzgar lo contrario: alto riesgo y bajo beneficio.» El ejemplo paradigmático aquí es la energía nuclear. Como todo el mundo sabe, la energía nuclear es una Cosa Mala, por lo tanto, tiene que plantear un Alto Riesgo. ¿Y cómo de beneficiosa es la energía nuclear? Pues como es una Cosa Mala, tiene que suponer un bajo beneficio. Sin embargo, los rayos X de las radiografías son una Cosa Buena, ya que las usan los médicos para salvar vidas, luego tienen que plantear Bajo Riesgo y Alto Beneficio. Así funciona nuestro cerebro. ¿Y los datos? Pues no hacen falta, la decisión ya está tomada. Solo servirían para confirmar la postura de partida. El resultado final es que sobreestimamos los riesgos de la energía nuclear y subestimamos los riesgos de los rayos X. Bajo este modelo, el afecto viene antes y dirige nuestros juicios de riesgo y beneficio. Si una visión general afectiva guía las percepciones de riesgo y beneficio, proporcionar información sobre el beneficio debería cambiar la percepción del riesgo y viceversa. Reubica el riesgo en el lugar que le corresponde en el afecto de tus empleadosTodos los estudios sobre la percepción del riesgo confirman que los expertos en la materia evaluada sucumben en menor medida a la heurística del afecto. Después de todo, tienen un mayor conocimiento del campo, adquirido a través de la experiencia y del estudio. Es decir, conocen con mayor precisión las probabilidades, la naturaleza de las amenazas y el impacto de los incidentes. En definitiva, están mejor equipados para evaluar el riesgo real: su gap entre riesgo real y riesgo percibido es menor que entre los legos en la materia. La conclusión es clara: si quieres ayudar a tus empleados a tomar mejores decisiones de seguridad, necesitarás aumentar su conciencia en seguridad de la información (Information Security Awareness, ISA). Esta conclusión es tan obvia que da vergüenza ponerla por escrito. Otra cosa es que se haga. Y entre los mayores retos de esta concienciación se encuentra el reeducar al usuario sobre las tecnologías que le son muy familiares y beneficiosas, porque termina perdiendo de vista su riesgo real. Por lo tanto, uno de los puntos clave de todo programa será la deshabituación. Cuanto más familiarizados están los empleados con una tecnología y más beneficiosa la perciben, menos riesgo ven en ella. Los cibercriminales explotan precisamente esta alta familiaridad, bajo miedo y alto beneficio de ciertas tecnologías para transformarlas en vectores de entrada de ataques. Algunos ejemplos de este tipo de tecnologías familiares, agradables y beneficiosas son: El correo electrónico, tecnología con la que trabajamos todos los días a todas horas.Las memorias USB, esos pequeños dispositivos de aspecto inocente con tanta información útil.Los archivos ofimáticos de Word, Excel, PowerPoint, PDF, en los que pasamos horas diariamente y que tan alegremente compartimos.Anuncios en páginas web legítimas, que estamos hartos de ver por todas partes y son molestos, sí, pero a veces también anuncian algo valioso.Juegos y apps descargados en el smartphone, tan divertidos, tan útiles, tan monos.Fotos y vídeos intercambiados en las redes sociales. Los propios empleados de la compañía, con quienes tomamos café todas las mañanas y cuyos hijos conocemos. No viene mal de vez en cuando realizar campañas de seguridad con los empleados para recordarles que el correo electrónico, los USBs, los archivos ofimáticos, la navegación, los juegos, los materiales multimedia, los propios compañeros, etc., por muy familiares y amigables que parezcan, son la principal vía de entrada de ciberataques. Al final, tu percepción de la seguridad no solo es cuestión racional sino también emocional. No puedes combatir directamente la heurística del afecto, porque así funciona nuestro cerebro. En cambio, puedes guiar el afecto de tus empleados hacia las distintas tecnologías, elevando su nivel de conciencia. Celebramos el 16 aniversario de WordPress liberando el nuevo plugin de LatchCiberseguridad: aprende cómo implementarla desde cero (Parte 1)
Gonzalo Álvarez Marañón Criptografía chivata: cómo crackear dispositivos inviolables La llave de seguridad Titan de Google o la YubiKey de Yubico son el último grito en seguridad de autenticación multifactor. Según la propia página de Google: «Las llaves cuentan...
ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
Diego Samuel Espitia Detectando los indicadores de un ataque En seguridad siempre optamos por implementar mecanismos de prevención y disuasión, más que de contención. Sin embargo, la implementación de estos mecanismos no siempre son eficaces o sencillos de...
Amador Aparicio CVE 2020-35710 o cómo tu RAS Gateway Secure revela el espacio de direccionamiento interno de tu organización Parallels RAS (Remote Application Server), es una solución de entrega de aplicaciones e infraestructura de escritorio virtual (VDI) que permite a empleados y clientes de una organización acceder y...
Área de Innovación y Laboratorio de ElevenPaths #CyberSecurityReport20H2: Microsoft corrige muchas más vulnerabilidades, pero descubre bastantes menos Existen muchos informes sobre tendencias y resúmenes de seguridad, pero en ElevenPaths queremos marcar una diferencia. Desde el equipo de Innovación y Laboratorio acabamos de lanzar nuestro propio informe...
ElevenPaths ElevenPaths Radio 3×07 – Entrevista a Mercè Molist ¿Conoces la historia del hacking en España? Primero debemos conocer su ética, su forma de vida y de pensamiento, su cultura… Para hablar sobre hackers y hacking en España, tenemos...