Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe

¿Experimentó una violación?

|
Contáctenos
|
+1 855 426 3983
Blog
/
Segmentación de confianza cero

La toma de un ciberpsicólogo sobre la cultura de culpa de la ciberseguridad

Raghu Nandakumara
,
Director Senior, Mercadotecnia de Soluciones Industriales
April 15, 2025
23 min. lectura
Dr. Erik Huffman cyberpsychologist
Ciberpsicólogo Dr. Erik Huffman

“Sólo la gente descuidada es hackeada”. Es una creencia común en la ciberseguridad. Pero, ¿es cierto?

El Dr. Erik Huffman, destacado experto en ciberpsicología, lleva años investigando esta cuestión. Su trabajo profundiza en cómo el comportamiento humano impacta en la ciberseguridad y por qué los instintos de supervivencia tradicionales no logran protegernos en línea.

¿Sus hallazgos? Hasta los más preparados son violados.

En nuestro último episodio de El segmento: un podcast de liderazgo de confianza cero, me senté con Huffman para discutir la realidad de los ataques de hoy y por qué Zero Trust es la mejor respuesta a la preparación para brechas.

Apuntar con el dedo retiene la ciberseguridad

Según Huffman, una de las reacciones más tóxicas ante una brecha es el instinto inmediato de culpar a los individuos.

“Cuando un incidente pasa, todos saltan a '¿Quién hizo qué mal?' en lugar de '¿Cómo sucedió esto y cómo lo prevenimos?'” explicó.

Esta cultura de la culpa no solo es contraproducente, sino que está anticuada. La realidad es que incluso las organizaciones más dotadas de recursos y conscientes de la seguridad sufren brechas.

“La seguridad al 100% no existe”, dijo. “Si un estado-nación quiere entrar, lo harán”.

El enfoque debe pasar de la culpa al análisis: entender lo que sucedió, aprender de ello y adaptar las defensas.

Los hackers explotan el estrés, no la estupidez

Huffman es inflexible en que la industria ha dedicado demasiado tiempo a la conciencia cibernética y no lo suficiente en la preparación cibernética.

“Seguimos diciéndole a la gente qué tener en cuenta, pero no los estamos preparando para cómo reaccionar bajo estrés”, dijo.

Los ciberdelincuentes no atacan a las personas cuando están alertas y cautelosas. Los atacan cuando son vulnerables. Cuando están estresados por los despidos, apresurándose a cumplir con un plazo, o emocionalmente comprometidos en una solicitud que parece urgente.

Huffman dice que la clave es entender las vulnerabilidades personales. “Necesitamos capacitar a la gente no solo en las amenazas genéricas, sino en las tácticas psicológicas específicas que utilizan los atacantes. Cada persona tiene desencadenantes únicos”.

Espere una nueva ola de ataques alimentados por IA

El ascenso de Ataques impulsados por IA sólo empeora este problema. El audio y el video Deepfake ya se están utilizando en ciberataques, con actores de amenazas haciéndose pasar por ejecutivos para autorizar transacciones fraudulentas.

“¿Qué pasa cuando ya no puedes confiar en lo que ves o escuchas?” Preguntó Huffman. “Estamos entrando en un momento en el que 'verificar, verificar, verificar' necesita convertirse en una segunda naturaleza”.

Los líderes de seguridad deben prepararse para un mundo donde ni siquiera una llamada telefónica de un contacto conocido pueda ser tomada al valor nominal. Adoptando Principios de confianza cero — y una mentalidad de confianza cero en toda la organización — será crucial para contrarrestar el engaño impulsado por la IA.

Zero Trust es el cinturón de seguridad de la organización

Entonces, ¿cómo pasamos de la conciencia a la preparación?

Huffman sugiere estos pasos clave:

  • Evaluación de amenazas: identificar qué vulnerabilidades personales tiene un individuo y cómo es probable que sean explotadas
  • Evaluación de afrontamiento: desarrollar estrategias sobre cómo las personas reconocerán y responderán a las amenazas cuando sean más vulnerables

La preparación significa dar a los empleados herramientas prácticas para protegerse a sí mismos, en lugar de solo enseñarles sobre las amenazas en abstracto.

“Tenemos que dejar de asustar a la gente y empezar a empoderarla”, dijo. “En este momento, la ciberseguridad se siente como conducir un automóvil sin cinturón de seguridad, esperando que no pase nada malo. Tenemos que darle a la gente sus cinturones de seguridad de ciberseguridad”.

A nivel organizacional, Zero Trust cumple la misma función.

“Zero Trust no se trata solo de tecnología. Es una mentalidad”, dijo Huffman. “No es 'confiar sino verificar', es 'verificar, luego verificar de nuevo'”.

Las organizaciones que adoptan Zero Trust junto con la capacitación de preparación cibernética construyen resiliencia contra vulnerabilidades tanto humanas como tecnológicas. Y en el mundo actual, la resiliencia es el nombre del juego.

El viaje de la TI a la ciberpsicología

El camino de Huffman hacia la ciberpsicología no fue lineal.

Después de obtener su licenciatura en informática, comenzó su carrera en TI, arreglando redes y solucionando problemas de seguridad. Pero su perspectiva cambió drásticamente después de experimentar de primera mano violaciones de datos de forma paralela.

“Estaba lanzando todas las medidas de seguridad al problema, y sin embargo las brechas seguían sucediendo”, recordó. “Tenía que preguntarme: si solo hackean a la gente tonta, ¿entonces soy estúpido?”

Decidido a encontrar respuestas, recurrió a la investigación y descubrió que más del 90% de las brechas de datos involucran el comportamiento humano, ya sea a través de errores o ingeniería social. Esta realización lo llevó a la ciberpsicología, donde desde entonces ha realizado estudios con más de 20 mil participantes y trabajado con más de 220 organizaciones en todo el mundo para cerrar la brecha entre ciberseguridad y comportamiento humano.

Ahora un galardonado educador, empresario, orador e investigador, sus ideas han sido compartidas en NASA-Goddard, ISACA, TEDx y otros foros líderes. Actualmente es un Colaborador de investigación en el Instituto Nacional de Estándares y Tecnología (NIST).

Escuche, suscríbase y revise El segmento: un podcast de liderazgo de confianza cero

¿Quieres escuchar mi discusión completa con el Dr. Huffman? Escucha el episodio de esta semana en Podcasts de Apple, Spotify, o donde sea que obtenga sus podcasts. También puede leer un transcripción completa del episodio.

Temas relacionados

Ciberresiliencia

Artículos relacionados

Mejora de la recuperación de brechas, nuevas iniciativas de seguridad del gobierno y reconocimiento del liderazgo de Illumio
Segmentación de confianza cero

Mejora de la recuperación de brechas, nuevas iniciativas de seguridad del gobierno y reconocimiento del liderazgo de Illumio

Obtenga un resumen de la cobertura noticiosa de Illumio a partir de mayo de 2023.

Leer más
Simplifique las implementaciones de SDN y Firewall con microsegmentación basada en host
Segmentación de confianza cero

Simplifique las implementaciones de SDN y Firewall con microsegmentación basada en host

Las redes definidas por software (SDN) y la segmentación a menudo se discuten simultáneamente porque ambas priorizan la automatización.

Leer más
Cómo diseñar e implementar una estrategia efectiva de microsegmentación de contenedores con Kubernetes
Segmentación de confianza cero

Cómo diseñar e implementar una estrategia efectiva de microsegmentación de contenedores con Kubernetes

La microsegmentación a menudo se considera difícil de implementar a escala.

Leer más
No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información