La psicología de la confianza en la ciberseguridad: no es paranoia, es prudencia

Una confianza innata en lo familiar es una respuesta muy humana. En el lugar de trabajo, es casi un hecho que los colegas, los sistemas internos y las redes corporativas son confiables.

Pero en el mundo actual, donde “todo y todos se conectan desde todas partes”, este instinto puede ser peligrosamente engañoso. La red empresarial es la más vulnerable que jamás haya sido, no solo porque los entornos híbridos centrados en la nube han ampliado enormemente la superficie de ataque.

Hay otras tres razones por las que estamos experimentando una mayor vulnerabilidad. En primer lugar, existe una mayor probabilidad de vulnerabilidad ya que los piratas informáticos están recurriendo a la inteligencia artificial para lanzar campañas de ingeniería social cada vez más sofisticadas. En segundo lugar, la facilidad con la que un actor malintencionado puede desplazarse lateralmente por la red, sin ser detectado, empleando credenciales legítimas para iniciar sesión (sin forzar el acceso). Por último, está el peligro para los datos: el alarmante aumento de ransomware o de exfiltración de datos (sin que salte ninguna alarma).

Esta es una mala noticia para cualquier industria. Especialmente para aquellos que ya están clasificados entre los¹ más atacados de todas las industrias globales. Considerando el alto valor de los datos del sector y su exposición normativa, no sorprende encontrar a los servicios financieros entre ese grupo.

El estado patrimonial es un arma de doble filo para las marcas financieras consolidadas. Han acumulado una experiencia increíble con la que los rivales digitales no pueden competir; sin embargo, años y años de actualizaciones de seguridad y rendimiento incorporadas a su infraestructura tecnológica heredada han creado entornos complejos y difíciles de manejar. Esto implica una menor agilidad y una mayor exposición al riesgo cibernético. La complejidad se extiende al vasto ecosistema de la cadena de suministro del sector y al hecho de que cada movimiento en este está altamente regulado.

Existen claros desafíos para el sector de servicios financieros, en particular para los grandes bancos tradicionales establecidos que se enfrentan a desafiantes ágiles que priorizan lo digital. Las organizaciones de esta industria, y de todos los sectores altamente regulados, realmente necesitan redoblar los esfuerzos en seguridad, y rápido.

No se trata de infundir miedo, sino de desafiar el sesgo de confianza que, muy a menudo, se convierte en una opción predeterminada arriesgada. Se trata de defender la prudencia en materia de seguridad para garantizar que se mantengan el control y la resiliencia.

El sesgo humano hacia la confianza ¿
Ha oído hablar alguna vez de la heurística cognitiva? El término, que tiene sus raíces en la ciencia cognitiva, describe los atajos mentales que tomamos cuando necesitamos tomar decisiones rápidamente o con información limitada. Hay distintos tipos de atajos, pero el que realmente debemos tener en cuenta en el lugar de trabajo digital es la heurística de familiaridad. Se trata de buscar lo familiar frente a la incertidumbre. Se trata de un sesgo de juicio al que muchos de nosotros hemos recurrido por defecto.

En un entorno corporativo, una heurística de familiaridad puede hacer que brindemos confianza sin pensarlo dos veces. Por ejemplo, creer instintivamente que los correos electrónicos internos son “más seguros” que los externos, asumir que nuestros propios sistemas de la empresa son seguros por defecto o creer que es menos probable que nuestros colegas representen una amenaza para nuestra ciberseguridad.

Esta suposición de que lo que está “adentro” es seguro es exactamente lo que los cibercriminales aprovechan. Las infracciones de la red podrían ser el resultado de una amenaza externa. La mayoría de las veces, se deben a que las credenciales del personal se ven comprometidas, de manera involuntaria, y en gran medida a través del correo electrónico. En 2024, nuestro equipo de ThreatLabz examinó 1200 millones de transacciones de datos en aplicaciones y canales comerciales principales, como el correo electrónico. Los hallazgos, compartidos en nuestro Informe de@Risk datos 2025, destacan la magnitud del problema: se filtraron datos confidenciales de empresas (incluido el código fuente y la información financiera) en casi 104 millones de transacciones de correo electrónico.

Es revelador que el phishing por correo electrónico siga siendo uno de los vectores de ataque más eficaces, incluso en 2025, con todo nuestro conocimiento sobre los peligros de una higiene de seguridad deficiente. Una vez más, todo se debe a ese sesgo humano a confiar en lo familiar: un correo electrónico interno de un remitente aparentemente legítimo llega a la bandeja de entrada de un empleado que hace clic en un enlace según las instrucciones, abriendo la puerta a un pirata informático. Luego, el atacante se mueve lateralmente a través de la red y pasa desapercibido en un entorno de seguridad tradicional donde la confianza se asume en lugar de verificarse. La pregunta es: ¿puede alguna vez darse por sentado que una entidad es confiable?

La segunda parte de esta serie sobre la psicología de la confianza en la ciberseguridad está aquí. Si desea obtener más información sobre ciberseguridad en el espacio FSI, descargue el libro electrónico aquí.

¹Statista, Distribución de ciberataques por sectores a nivel mundial en 2024. Mayo de 2025. Disponible en:
https://www.statista.com/statistics/1315805/cyber-attacks-top-industries-worldwide/