Utilizando Psicología para Fortalecer la Ciberseguridad

Using Psychology to Strengthen Cybersecurity

.fav_bar { float:left; border:1px solid #a7b1b5; margin-top:10px; margin-bottom:20px; } .fav_bar span.fav_bar-label { text-align:center; padding:8px 0px 0px 0px; float:left; margin-left:-1px; border-right:1px dotted #a7b1b5; border-left:1px solid #a7b1b5; display:block; width:69px; height:24px; color:#6e7476; font-weight:bold; font-size:12px; text-transform:uppercase; font-family:Arial, Helvetica, sans-serif; } .fav_bar a, #plus-one { float:left; border-right:1px dotted #a7b1b5; display:block; width:36px; height:32px; text-indent:-9999px; } .fav_bar a.fav_print { background:url(‘/images/icons/print.gif’) no-repeat 0px 0px #FFF; } .fav_bar a.fav_print:hover { background:url(‘/images/icons/print.gif’) no-repeat 0px 0px #e6e9ea; } .fav_bar a.mobile-apps { background:url(‘/images/icons/generic.gif’) no-repeat 13px 7px #FFF; background-size: 10px; } .fav_bar a.mobile-apps:hover { background:url(‘/images/icons/generic.gif’) no-repeat 13px 7px #e6e9ea; background-size: 10px} .fav_bar a.fav_de { background: url(/images/icons/de.gif) no-repeat 0 0 #fff } .fav_bar a.fav_de:hover { background: url(/images/icons/de.gif) no-repeat 0 0 #e6e9ea } .fav_bar a.fav_acm_digital { background:url(‘/images/icons/acm_digital_library.gif’) no-repeat 0px 0px #FFF; } .fav_bar a.fav_acm_digital:hover { background:url(‘/images/icons/acm_digital_library.gif’) no-repeat 0px 0px #e6e9ea; } .fav_bar a.fav_pdf { background:url(‘/images/icons/pdf.gif’) no-repeat 0px 0px #FFF; } .fav_bar a.fav_pdf:hover { background:url(‘/images/icons/pdf.gif’) no-repeat 0px 0px #e6e9ea; } .fav_bar a.fav_more .at-icon-wrapper{ height: 33px !important ; width: 35px !important; padding: 0 !important; border-right: none !important; } .a2a_kit { line-height: 24px !important; width: unset !important; height: unset !important; padding: 0 !important; border-right: unset !important; border-left: unset !important; } .fav_bar .a2a_kit a .a2a_svg { margin-left: 7px; margin-top: 4px; padding: unset !important; }

La psicología estudia el comportamiento humano, inferiendo lo que las personas piensan en base a lo que hacen. La ciberpsicología estudia cómo las personas actúan en Internet.

Un nuevo programa de investigación de ciberpsicología, Reimaginar la seguridad con defensas de red informadas por la ciberpsicología (ReSCIND) del Departamento de Defensa de los Estados Unidos, actividad de Investigación de Proyectos Avanzados de Inteligencia (IARPA, https://bit.ly/3V39fk8), se centra en cómo actúan y piensan los ciberdelincuentes.

Según la gerente de programa de IARPA, Kimberly Ferguson-Walter, el programa ReSCIND tiene como objetivo estudiar la ciberpsicología de los ciberdelincuentes para aislar las debilidades en su forma de pensar y mejorar la ciberseguridad.

• La lucha por reparar
• Cómo la IA nos ayudó a agregar la búsqueda vectorial a Cassandra en seis semanas
• Usa Deep Learning para generar nombres de personajes de fantasía Construye un modelo de lenguaje desde cero

La investigación podría conducir a defensas cibernéticas que retrasen o prevengan ataques aprovechando esas debilidades para influir en el comportamiento del atacante. El programa ReSCIND aplicará métodos científicos a sujetos humanos que muestren comportamiento de ciberdelincuentes.

El gobierno y el sector privado contratan proveedores de ciberseguridad para ayudar a proteger los activos de información utilizando tecnologías avanzadas de engaño.

Según Ferguson-Walter, los enfoques clásicos de engaño han utilizado máquinas y contraseñas falsas llamadas señuelos y tokens honey para atraer y distraer a los ciberdelincuentes mientras alertan a los defensores cibernéticos.

Las técnicas de engaño actuales utilizan avances en tecnologías emergentes para proteger entornos complejos de Tecnología de la Información (TI) y Tecnología Operativa (OT).

Los ciberpsicólogos y los expertos en ciberseguridad tienen grandes esperanzas en las mejoras de la ciberpsicología para la ciberseguridad. Algunos tienen expectativas a corto plazo para aplicaciones prácticas.

Sin embargo, aún existen desafíos.

Volver al inicio

Cómo la ciberpsicología podría fortalecer la ciberseguridad

La mayoría del progreso en el campo de la ciberseguridad involucra la ciberpsicología, según Fred Cohen, un científico informático estadounidense conocido principalmente como el inventor de técnicas de defensa contra virus informáticos, ahora CEO de la empresa Management Analytics.

“El campo de la ciberpsicología es mucho más rico que el campo técnico. Hemos agotado en gran medida los aspectos técnicos de la ciberseguridad”, dijo Cohen.

Según Cohen, la investigación experimental que dio lugar a su artículo de 2001 “Red Teaming Experiments” con tecnologías de engaño estableció la viabilidad a largo plazo de la ciberpsicología para la ciberseguridad.

El programa ReSCIND de IARPA podría llevar la ciberpsicología más allá de las técnicas de engaño.

“El programa ReSCIND tiene como objetivo mejorar la ciberseguridad desarrollando un nuevo conjunto de defensas basadas en la ciberpsicología que aprovechen las limitaciones humanas de los atacantes, como sus sesgos de toma de decisiones innatos o vulnerabilidades cognitivas”, dijo Ferguson-Walter.

Los sesgos cognitivos de un ciberdelincuente son las debilidades en su forma de pensar que los llevan a mostrar ciertos comportamientos durante los ataques. Utilizando la ciberpsicología, los defensores podrían explotar esas debilidades, desencadenando comportamientos en su beneficio.

Según Ferguson-Walter, el programa ReSCIND de IARPA quiere desarrollar algoritmos que adapten automáticamente nuevas defensas cibernéticas a los mismos comportamientos de los ciberdelincuentes observados en la investigación.

La investigación de Palvi Aggarwal, profesora asistente de ciencias de la computación en la Universidad de Texas en El Paso, ofrece un ejemplo de cómo podrían funcionar dichos algoritmos.

En la investigación de Aggarwal, publicada en Computer & Security, los atacantes evitaban correr riesgos en la toma de decisiones. Los hackers criminales mostraron su comportamiento de evitar riesgos al demostrar su preferencia por atacar máquinas con recompensas bajas pero con una alta probabilidad de éxito. Les resultaba mucho más importante evitar la apariencia de un fracaso en un ataque que obtener un beneficio significativo por sus esfuerzos.

Por ejemplo, si el programa ReSCIND pudiera utilizar los resultados de Aggarwal en sus algoritmos, las defensas cibernéticas resultantes podrían presentar a los hackers criminales objetivos de bajo riesgo y baja recompensa para alejarlos de los activos de alto valor que una organización necesita proteger al máximo.

Aggarwal ha solicitado participar en el programa ReSCIND.

Volver al inicio

Aprendiendo cómo piensan los ciberdelincuentes

El programa ReSCIND necesita nuevas investigaciones con sujetos humanos para explorar tareas de ciberataque dinámicas con participantes humanos capacitados, según Ferguson-Walter.

El programa ReSCIND debe estudiar sujetos que se dedican a comportamientos de ciberdelincuencia.

Mary Aiken, profesora de ciberpsicología en la Capitol Technology University en Laurel, MD, quien solicitó participar en ReSCIND, ha recopilado algunos datos interesantes sobre comportamientos de ciberdelitos de sujetos humanos.

Según Aiken, investigó los factores humanos y técnicos de los ciberdelitos durante su tiempo como investigadora principal en un proyecto de investigación paneuropeo. Aiken dijo que encuestó a 8,000 jóvenes de 16 a 19 años de nueve países de la Unión Europea.

Lo que encontró en esa investigación fue que casi la mitad de los participantes (47.76%) informaron haber participado en comportamientos de ciberdelincuencia en los últimos 12 meses, dijo Aiken.

También encontró que el 11.8% de los adolescentes encuestados informaron que utilizan foros de la Dark Web y, lo que es aún más preocupante, el 10.7% informó el uso de Mercados de la Darknet, según informó.

Los Mercados de la Darknet albergan herramientas maliciosas para ciberdelincuentes y datos robados, incluyendo credenciales de usuarios (como nombres de usuario y contraseñas).

“Un hallazgo único y significativo de nuestra investigación fue una fuerte relación entre la toma de riesgos clave y los comportamientos de ciberdelincuencia”, dijo Aiken. Los comportamientos incluyeron hackeo, fraude cibernético y robo de identidad, entre otros, según Aiken.

En una encuesta a 8,000 jóvenes de 16 a 19 años en nueve países europeos, casi la mitad admitieron haber participado en comportamientos de ciberdelincuencia en los últimos 12 meses.

“También investigamos rasgos de comportamiento relevantes”, dijo Aiken. Estos incluyen comportamientos compulsivos, impulsivos y obsesivos en línea, explicó.

Ferguson-Walter ha propuesto varios sesgos cognitivos que podrían influir en el comportamiento de los atacantes. Las nuevas soluciones de defensa podrían utilizar estos sesgos para hacer que un atacante crea que ha logrado mucha confusión dentro de la red para que tome más riesgos. Eso podría facilitar que los defensores los atrapen.

“Pero un defensor cibernético puede tener metas diferentes”, dijo Ferguson-Walter. “Pueden querer que los atacantes adopten un comportamiento menos arriesgado porque están tratando de proteger algún activo clave y necesitan más tiempo para mitigar el ataque”, explicó.

Volver arriba

Cómo se utiliza la ciberpsicología en la ciberseguridad

Los avances en técnicas de engaño, como los gemelos digitales y las simulaciones de tecnología operativa (OT), han sido beneficiosos para las organizaciones públicas y privadas.

El estudio de caso de CounterCraft sobre la gestión de la superficie de ataque externa con Gemelos Digitales: Un caso de estudio (https://bit.ly/3UZDA3b) describe cómo un cliente bancario global de CounterCraft utilizó la solución de engaño The Edge de la compañía para crear un gemelo digital de su sistema de interfaz de programación de aplicaciones (API) para atraer a los atacantes y recopilar información sobre los ataques a los sistemas del banco.

Un gemelo digital es indistinguible del sistema genuino. Permitió al banco atraer rápidamente un ataque organizado y exitoso al gemelo digital. El banco utilizó la solución de inteligencia de amenazas The Edge de CounterCraft para filtrar y recopilar las tácticas, técnicas y procedimientos (TTP, por sus siglas en inglés) e indicadores de compromiso (IoC, por sus siglas en inglés) de los atacantes. Los IoC son pistas de un ataque y los TTP son la forma en que los ciberdelincuentes llevan a cabo los ataques. El registro del ataque permitió al banco fortalecer el sistema de API y otros sistemas contra vulnerabilidades similares en futuros ataques.

Según un informe técnico del Laboratorio Nacional del Noroeste del Pacífico (PNNL, por sus siglas en inglés) y Attivo Networks titulado Model Driven Deception for Defense of Operational Technology Environments, el Departamento de Energía de los Estados Unidos (DoE, por sus siglas en inglés) utiliza tecnologías de engaño para proteger la infraestructura crítica. El informe relata un estudio de concepto (PoC, por sus siglas en inglés) que utilizó el engaño para proteger la tecnología operativa (OT) en una subestación de distribución eléctrica.

El PoC utilizó la plataforma Attivo BOTsink, que presentó a los ciberdelincuentes los resultados creíbles pero simulados de un ataque a la OT. La solución BOTsink convenció a los atacantes de que los sensores aguas abajo los habían detectado apagando una válvula simulada.

Los dispositivos OT se comunican utilizando múltiples protocolos de red, controlando y monitoreando variables y respondiendo según una lógica especificada. Los controladores y aplicaciones OT intercambian comandos basados en datos de los sensores. Los atacantes esperan ver reacciones en los controladores en respuesta a sus actividades maliciosas.

La simulación OT previó los síntomas y eventos del mundo real y los duplicó de manera efectiva. (Sentinel One adquirió Attivo Networks en 2022.)

Volver arriba

Retornos a corto plazo, esperanzas y desafíos

Las aplicaciones prácticas de la investigación en ciberpsicología deberían aparecer en el mercado en un plazo de tres a cinco años, según Justin Cappos, profesor asociado de informática e ingeniería en la Escuela de Ingeniería Tandon de la Universidad de Nueva York. “Estamos hablando de un comportamiento de API más intuitivo y un uso más inteligente de los teléfonos celulares, como el permiso para utilizar el teléfono inteligente y las políticas de privacidad”, dijo Cappos.

“Los atacantes en este caso son los diseñadores de API en Facebook, que ganan dinero al hacer que los usuarios no valoren correctamente su privacidad. Ellos son los que explotan la debilidad de los usuarios para lograr sus objetivos”, dijo Cappos. “Las mejores APIs son tan claras que es difícil usarlas incorrectamente. Un usuario informado a menudo tomaría decisiones de privacidad muy diferentes a las que toman hoy en día”, dijo.

Por lo tanto, comprender la ciberpsicología de los diseñadores de API podría fortalecer la ciberseguridad al requerir APIs transparentes e intuitivas en toda la industria. También podría informar a los usuarios, quienes podrían negar los permisos de los teléfonos inteligentes para las aplicaciones y tomar otras decisiones de privacidad.

Sin embargo, los desafíos de la ciberpsicología persisten.

Por un lado, “Necesitamos más buenos investigadores en esta área de la ciberpsicología”, dijo Cappos.

“Aquí hay mucho potencial. Es solo que requiere una combinación de habilidades técnicas y psicológicas profundas. Rara vez vemos esas habilidades juntas”, dijo Cappos.

Sin embargo, el reconocimiento de la importancia del campo de la ciberpsicología está creciendo, y el financiamiento de IARPA para el programa ReSCIND es una clara señal de ello.

“Cuando el gobierno invierte dinero en un área, puede impulsar la investigación en toda la industria y academia. Invertimos en investigaciones de alto riesgo y alto rendimiento para lograr cosas que la industria y academia no habrían perseguido rápidamente”, dijo Ferguson-Walter, refiriéndose a la reciente inversión de IARPA en ciberpsicología a través de ReSCIND.

Será interesante ver qué puede lograr la investigación en ciberpsicología bien financiada para la ciberseguridad. Sin embargo, ninguna cantidad de dinero la convertirá en una solución milagrosa para las ciberamenazas.

“Es dudoso que solo la ciberpsicología pueda tener un gran impacto, porque muchas personas están tratando de atacarnos desde tantos ángulos.”

Dijo Cappos: “Es dudoso que la ciberpsicología por sí sola pueda hacer una gran diferencia, porque mucha gente intenta atacarnos desde diferentes ángulos. Soy optimista acerca de que nos ayude a mejorar ciertas cosas. Aun así, no creo que sea la solución definitiva para los problemas de ciberseguridad.”

Lecturas adicionales

CounterCraft—Engaño en el ciberespacio, Unidad de Innovación de Defensa de los Estados Unidos, www.diu.mil

Ferguson-Walter, K.J. Una evaluación empírica de la eficacia del engaño para la defensa cibernética. Marzo de 2020. Universidad de Massachusetts, Amherst. https://core.ac.uk/download/pdf/288433305.pdf

Edgar, T.W., Hofer, W., y Feghali, M. Engaño impulsado por modelos para la defensa de entornos de tecnología operativa. Septiembre de 2020. Pacific Northwest National Laboratory. Attivo Networks. https://bit.ly/3AqD7xi

Aggarwal, P. et al. Diseño de estrategias de enmascaramiento efectivas para la defensa cibernética a través de experimentación humana y modelos cognitivos. Junio de 2022. Computer & Security. https://www.sciencedirect.com/science/article/pii/S0167404822000700

Fred Cohen & Associates, Experimentos de red teaming con tecnologías de engaño, http://all.net/journal/deception/experiments/experiments.html

Volver al inicio

Autor

David Geer es un periodista especializado en temas relacionados con la ciberseguridad. Escribe desde Cleveland, OH, EE. UU.

©2023 ACM 0001-0782/23/10

Se concede permiso para realizar copias digitales o impresas de parte o la totalidad de este trabajo para uso personal o en el aula sin cargo alguno, siempre y cuando no se hagan copias ni se distribuyan con fines de lucro o ventaja comercial, y siempre que las copias lleven esta notificación y la cita completa en la primera página. Los derechos de autor de los componentes de este trabajo que sean propiedad de terceros que no sean ACM deben ser respetados. Se permite la abstracción con crédito. Para copiar, republicar, publicar en servidores o redistribuir en listas, es necesario obtener previamente un permiso específico y/o pagar una tarifa. Solicite permiso para publicar a [email protected] o por fax al (212) 869-0481.

La Biblioteca Digital es publicada por la Association for Computing Machinery. Derechos de autor © 2023 ACM, Inc.

We will continue to update Zepes; if you have any questions or suggestions, please contact us!