El miedo de los usuarios supone un efecto acelerador sobre los efectos de cualquier ciberataque. Los planes de contingencia deben contar no sólo con una respuesta técnica, sino también en lo que corresponde a la comunicación.

La monitorización de los sistemas y el análisis de las vulnerabilidades es lo que permite detectar y prevenir las amenazas, pero a veces nos olvidamos de tener en cuenta el efecto de éstas en el comportamiento de los usuarios, tanto antes como después de un ataque.

En una de las ediciones del podcast de Cuatroochenta – Cuidado con las macros ocultas – Román Ramírez, asesor de ciberseguridad y fundador de uno de los eventos más importantes de ciberseguridad de Europa, RootedCON, hacía mención al aspecto psicológico de los ciberataques, más allá de la importancia de la tecnología para su desarrollo.

El miedo como arma

“Todos respondemos con sesgo cognitivo, y aprovechando este sesgo se puede manipular a las personas […] los atacantes saben manejar estos sesgos”. Los ciberatacantes conocen cuándo un ataque de phishing puede ser más efectivo y con qué mensajes, saben qué correos resultan más “confiables” y cuáles menos» – Román Ramírez, asesor de ciberseguridad y fundador de RootedCON

Quizás es por ello por lo que buscan causar el máximo daño posible a las empresas a través de la psique y el comportamiento de los usuarios, y así conseguir una respuesta rápida y urgente a sus peticiones que implique el pago de los rescates.

Como ejemplo, el último ataque realizado al Banco Nacional de Pakistán (NBP) el pasado 2 de noviembre, en el que aunque se llegaron a dejar inutilizados gran parte de los sistemas y la infraestructura de cajeros, el ataque pudo ser contenido en apenas día y medio. Durante el fin de semana, la entidad pudo reabrir la estructura y poner en funcionamiento las aplicaciones móviles, pero ya había cundido el pánico entre los usuarios provocando una reacción en cadena.

A pesar de que se habían remitido notas de prensa informando de la finalización del ataque y la vuelta a la normalidad, el lunes siguiente el caos quedaba patente con las imágenes de usuarios agolpados en los cajeros intentando sacar sus depósitos.

La preocupación de los usuarios y varias fake news compartidas en redes sociales y medios locales en las que se hablaba de más bancos afectados y fondos perdidos, hizo que la situación escalara rápidamente. Para calmar los ánimos y prevenir el caos financiero, el gobierno pakistaní tuvo que remitir un comunicado urgente para evitar la huida de depósitos de los bancos del país.

La comunicación y el comportamiento, claves

En cualquier ciberataque, el miedo juega un papel acelerador. En aquellos casos en los que no se cuente con un plan predefinido y trabajado y se improvise la respuesta, el componente humano puede llevar a empeorar la situación.

CYa sea de cara a los usuarios y clientes, como en la respuesta frente a los propios ciberatacantes, el control de la comunicación resulta vital. Y es aquí donde nos encontramos con una curiosa disyuntiva: no debe proporcionarse ningún dato adicional a los atacantes que les permita dimensionar cómo ha afectado su ataque, pero a la vez debe comunicarse a los usuarios y clientes cómo se encuentra la empresa y la evolución de la vuelta a la normalidad, si no queremos que el pánico empeore la situación y si además no queremos infringir la ley (es obligatorio en algunos países).

Es el caso de una empresa que recientemente contaba su historia en el portal Xataka, en el que erróneamente decidieron negociar con los atacantes para impedir perder los datos. En este caso, todos los sistemas habían sido encriptados, pero la información no había llegado a manos de los atacantes: desconocían el tamaño y facturación de la empresa, o el nivel de daño inflingido, lo que permitía a la empresa evitar que el daño fuera aún mayor. El miedo a perderlo todo llevó a la empresa a pagar el rescate, si bien esto no asegura que los datos sean desbloqueados y sin lo que se conoce como “puertas traseras” o que la empresa vuelva a ser objetivo en siguientes campañas.

En la mayoría de amenazas a grandes empresas, la preparación del ataque puede durar meses. Es el caso de Seguros Mapfre, que en el podcast de Cuatroochenta nos explica su director de seguridad, Guillermo Llorente, en agosto de 2020 sufrió un ataque que ya había sido planeado un año atrás, cuando los autores del ataque compraron los dominios que sirvieron para ejecutarlo.

En cualquier caso, el impacto de los ataques de ciberseguridad crece año tras año; en 2025 el coste a nivel mundial de los ciberataques alcanzará los 10,5 trillones de dólares. Toda empresa debe contemplar la situación de que su ciberseguridad va a ser vulnerada en algún momento, dada la alta probabilidad de que esto ocurra según las estadísticas, y de esta forma evitar la improvisación cuando esto ocurra, preparando un plan de respuesta tanto a nivel técnico como en la comunicación del ataque (obligatoria en España).