### La ciberseguridad debe evolucionar: proteger la toma de decisiones humanas ante la incertidumbre

#### Introducción

La ciberseguridad tradicionalmente ha centrado sus esfuerzos en la protección de infraestructuras, sistemas y redes frente a amenazas técnicas. Sin embargo, el panorama actual de amenazas y la creciente sofisticación de los ataques han puesto de manifiesto la necesidad de expandir este enfoque. El componente humano, especialmente en situaciones de alta presión, incertidumbre o fallo sistémico, se ha convertido en un vector crítico tanto para la defensa como para la exposición a riesgos. Proteger la toma de decisiones humanas en estos contextos se perfila como el próximo gran reto para los profesionales del sector.

#### Contexto del Incidente o Vulnerabilidad

La complejidad de los entornos digitales modernos, sumada a la proliferación de ataques dirigidos (spear phishing, ingeniería social avanzada, ransomware dirigido, etc.), evidencia que la seguridad tecnológica por sí sola resulta insuficiente. Incidentes recientes, como el uso de deepfakes para engañar a ejecutivos en transferencias financieras o la manipulación de información en tiempo real durante incidentes críticos, han demostrado que el error humano—muchas veces provocado o explotado intencionadamente—es una de las principales puertas de entrada para los atacantes.

Las campañas de phishing basadas en inteligencia artificial, los ataques de Business Email Compromise (BEC) y la explotación de la fatiga de alerta en SOCs son claros ejemplos de cómo la manipulación de la percepción y la toma de decisiones humanas puede ser instrumentalizada por actores maliciosos.

#### Detalles Técnicos

Desde una perspectiva técnica, las tácticas, técnicas y procedimientos (TTP) documentados por MITRE ATT&CK incluyen vectores como la manipulación de procesos de negocio (T1566, Phishing; T1204, User Execution), el abuso de confianza (T1192, Spearphishing Link) y el uso de deepfakes (no aún codificado formalmente, pero ya en estudio por MITRE).

Los indicadores de compromiso (IoC) asociados suelen incluir patrones de comportamiento anómalo en la red, cambios inesperados en flujos de trabajo, y correlación de logs que detectan acciones fuera de los procedimientos estándar, especialmente en momentos de crisis o fallo de sistemas críticos.

Herramientas como Metasploit y Cobalt Strike, tradicionalmente usadas para explotar vulnerabilidades técnicas, ahora incorporan módulos que simulan campañas de ingeniería social y manipulación de usuarios, lo que permite a los equipos de red teaming evaluar no solo la robustez tecnológica, sino también la resiliencia de los procesos de toma de decisiones bajo presión.

#### Impacto y Riesgos

Según un informe de IBM Security de 2023, el 95% de los incidentes de ciberseguridad tienen en algún punto una implicación humana. El coste medio de una brecha causada por error humano supera los 4,5 millones de euros, siendo especialmente elevado en sectores regulados (financiero, sanitario, infraestructuras críticas).

En escenarios de fallo sistémico—como caídas de servicios cloud, incidentes de ransomware a gran escala o ataques a la cadena de suministro—las decisiones tomadas bajo presión pueden agravar el impacto, facilitando movimientos laterales de los atacantes, pérdida de integridad de datos y complicaciones en la recuperación ante desastres.

#### Medidas de Mitigación y Recomendaciones

La mitigación debe ir más allá del awareness tradicional. Es fundamental implementar simulacros de crisis realistas que incluyan elementos de manipulación y presión psicológica, así como el diseño de playbooks que contemplen la incertidumbre y la posibilidad de información incompleta o manipulada.

Recomendaciones específicas incluyen:

– Integración de módulos de entrenamiento en toma de decisiones bajo presión en los programas de concienciación.
– Implementación de controles de doble verificación y segregación de funciones en procesos críticos (por ejemplo, transferencias financieras, gestión de credenciales privilegiadas).
– Monitorización avanzada con correlación de eventos para detectar patrones de comportamiento humano anómalos.
– Uso de frameworks de gestión de incidentes como NIST SP 800-61 o ENISA Good Practices, adaptados a la gestión de factores humanos.

#### Opinión de Expertos

CISOs y expertos del sector, como el Dr. Manuel Fernández, CISO de una entidad bancaria europea, subrayan: “La seguridad efectiva requiere asumir que los sistemas fallarán y que la presión sobre el personal será explotada. Nuestra estrategia debe contemplar la protección del proceso de decisión tanto como la del perímetro técnico”.

Investigadores de la Universidad de Cambridge han demostrado, en estudios recientes, que la manipulación cognitiva es tan efectiva como la explotación técnica, especialmente en contextos donde el tiempo es crítico y la información es ambigua.

#### Implicaciones para Empresas y Usuarios

Para las empresas, esto implica la necesidad de redefinir políticas de seguridad y planes de respuesta a incidentes, priorizando la preparación y resiliencia humana. Desde el punto de vista legal, normativas como el GDPR y la Directiva NIS2 requieren demostrar no solo la existencia de controles técnicos, sino también procedimientos eficaces de gestión de riesgos humanos.

Los usuarios y empleados, por su parte, deben ser vistos no solo como el “eslabón débil”, sino como activos clave cuyo entrenamiento y apoyo pueden marcar la diferencia entre contener una amenaza o facilitar una brecha de grandes dimensiones.

#### Conclusiones

La ciberseguridad del futuro, y ya del presente, debe ir más allá de la protección puramente técnica. Integrar la protección de la toma de decisiones humanas bajo incertidumbre y fallo sistémico es esencial para reducir la superficie de ataque y construir organizaciones realmente resilientes. Las inversiones deben dirigirse tanto a herramientas de detección y respuesta como a la preparación psicológica y cognitiva de los equipos humanos, sin descuidar el cumplimiento normativo y el aprendizaje continuo ante un adversario en constante evolución.

(Fuente: www.darkreading.com)