La cotidianidad es una ruta que tomamos desde que nos despertamos. A diario cogemos un camino “mental” lleno de decisiones (más de 35.000 según algunos estudios), en las que echamos mano de los atajos mentales para llegar antes a su conclusión. 

Son lo que el ganador del Nobel de Economía Daniel Kanheman acuñó como sesgos cognitivos, y nos son tan familiares que no los vemos: como valorar un descuento en lugar del precio final; juzgar una información por el modo en el que se nos presenta, pues no es lo mismo “Las encuestas le dieron por ganador con un apabullante 45 %” a “Las encuestas le dieron la ventaja con un decepcionante 45 %”; o creer que porque alguien tiene buen aspecto es mejor persona. Son percepciones automatizadas donde las emociones reaccionan con más velocidad que la lógica; dando un valor desproporcionado a detalles, que en el contexto general resulta inmerecido.
 
Estos sesgos pueden ser de ayuda para tomar decisiones sencillas y liberarnos para tomar conscientemente las que sí tienen consecuencias importantes o bien, y aquí está el lado menos bueno de los atajos mentales: estos sesgos pueden tomar por sí mismos decisiones que merecerían más nuestra atención, siendo el problema precisamente ese: que no somos conscientes de que en realidad merecerían mucha más atención. ¿Un ejemplo? Aproximadamente el 90 % de los ciberataques se debe a un fallo humano. El sesgo de exceso de confianza puede repercutir en un efecto dominó de pérdidas no solo personales, sino para toda una organización.

El hacking psicológico aprovecha esos atajos mentales. Ni programas sofisticados, ni tecnología punta, y a veces, ni ordenador. La Ingeniería Social o psicohacking, término acuñado por Cristina López Tarrida, como ella misma nos cuenta, es una mezcla de arte y de ciencia que utiliza por un lado recursos psicológicos, habilidades sociales y conocimientos técnicos para hacer que una persona realice una acción o revele información que sin la influencia social no hubiera ni hecho ni revelado. 
 
Pero ¿podemos hacer algo contra estos sesgos que nos hacen más vulnerables ante un ciberataque? Como diría el Arte de la Guerra, “conoce a tu enemigo y conócete a ti mismo y en 100 batallas no serás derrotado”. Empezar por entender cómo funcionan los atajos de nuestro cerebro es imprescindible, pues son muchos los sesgos cognitivos que nos llevan a juicios incorrectos en ciberseguridad:
 
·El sesgo del punto ciego o “eso no me va a pasar nunca a mi”, que provoca que nos confiemos demasiado.
 
·El sesgo de disponibilidad o “esto me suena, seguro que es verdad”, que se usa con titulares de actualidad, como la pandemia o el pago de impuestos como señuelo.
 
·El sesgo de representatividad o “el mono gris y la caja de herramientas hace al técnico”, que facilita la entrada a extraños a áreas de información sensible.
 
·El sesgo de confirmación o “yo tengo razón”, que confirma lo que creemos y por ello cedemos sin ejercer resistencia.
 
·El sesgo de anclaje o “la primera impresión es lo que cuenta”, usada en ataques de phishing, por ejemplo, capaz de replicar una imagen corporativa muy conocida para usarla como pantalla, entre muchos sesgos más.
 
Ser conscientes de estos “boicots mentales” y estar atentos ante cualquier anzuelo que provoque ira, enfado, miedo, curiosidad, compasión, morbo o urgencia para inducirnos a la acción o a revelar información, puede reducir los incidentes en ciberseguridad.

El hacking tiene mucho más que ver con la psicología que con la tecnología, por eso la formación en Ciberseguridad y Protección de datos tiene que ser diferente, en la que sea más importante el autoconocimiento que los tecnicismos, ya que el factor humano puede ser el mejor antivirus si lo haces consciente de sus propias vulnerabilidades. Con la irrupción del teletrabajo, los ciberataques saltan del ordenador al móvil, y el riesgo, por extensión, a todos los dispositivos de la casa. Ha llegado el momento de integrar hábitos de seguridad personales para sustituir los atajos mentales que nos ponen continuamente en peligro.