Sesgos cognitivos y ciberseguridad: La falacia fatal de «No tengo nada que ocultar»

Fabrizio Saviano : 15 noviembre 2025 12:40

En Italia, más de 3.000 personas pierden la vida en las carreteras cada año, a pesar de que todos conocen las normas básicas de seguridad. En el ámbito del cibercrimen, la situación no es muy diferente: millones de víctimas cada año, aunque ya se sabe que los enlaces sospechosos son trampas que deben evitarse. Y si el phishing sigue existiendo en todas sus formas, significa que todavía hay quien cae en la trampa.

¿Cómo podemos explicar esta contradicción? Entran en juego los sesgos cognitivos, atajos mentales que nos hacen pensar «MUCHO»: «No tengo nada que robar», «A mí nunca me pasará», «Siempre tengo cuidado», etc. Este es un error fatal, porque cualquiera puede convertirse en una puerta de entrada a objetivos más interesantes, en un chivo expiatorio perfecto para la delincuencia, o simplemente un ciberdelincuente puede aprovechar un fallo en tu ordenador o teléfono para infiltrarse.

El «Manual del Gerente de Seguridad CISO» fue creado para ayudar a los profesionales de seguridad a comprender y abordar estos mecanismos psicológicos, que socavan incluso las tecnologías más avanzadas.

La ilusión de «no tengo nada que ocultar»

Creer que no eres un objetivo para los ciberdelincuentes es el sesgo más arriesgado. De hecho, cada usuario es un activo valioso por al menos tres razones clave:

• Vínculo de acceso: Toda persona está conectada a redes de amigos cercanos, familiares y colegas. Los delincuentes utilizan estas cadenas de confianza para llegar a objetivos de alto valor.
• Chivo expiatorio: Las identidades robadas se utilizan para llevar a cabo fraudes, apertura de cuentas bancarias y ataques encubiertos contra víctimas desprevenidas.
• Fuente de credenciales: Las contraseñas recicladas y los datos personales se convierten en munición para ataques más sofisticados.

Pero, ¿qué nos enseña la seguridad vial?

Los datos del ISTAT revelan una historia trágica: muertes causadas por conductas evitables como la conducción distraída o el consumo excesivo de alcohol, a pesar de décadas de campañas de concienciación. Si las personas arriesgan sus vidas ignorando normas conocidas, ¿por qué deberían acatar regulaciones aparentemente invisibles tras una pantalla?

Anatomía de los sesgos en ciberseguridad

• Sesgo de invulnerabilidad: «A mí nunca me pasará». El cerebro ignora que los delincuentes buscan acceso e identidad, no solo riqueza.
• Sesgo de control ilusorio: «Puedo reconocer un ataque y, si ocurre, tendré cuidado». El cerebro subestima la astucia y la constante actualización de las amenazas.
• Sesgo de delegación tecnológica: «El antivirus, el amigo experto, el equipo de soporte técnico se encargarán», o al menos alguien o algo más. Es una ilusión peligrosa: el factor humano sigue siendo el verdadero punto débil.

Aunque las supercomputadoras más potentes poseen una capacidad de procesamiento y memoria superior a la del cerebro humano, no pueden reemplazar su intuición, su habilidad para correlacionar información no estructurada ni su juicio contextual. El gran mito de la tecnología reside en la creencia de que resolverá por sí sola todos los problemas de seguridad.

¿Qué hacer en las empresas?

¡Cuidado! Los sesgos no son errores; son estrategias de supervivencia para procesar rápidamente enormes cantidades de datos. En el mundo real, nos ayudan a sobrevivir, pero en el ciberespacio pueden abrir la puerta a un desastre irreparable.

En efecto, el futuro es interdisciplinario: la tecnología, la psicología y el comportamiento humano deben coexistir. El reto consiste en utilizar los sesgos de forma positiva para ir más allá de las simples defensas técnicas.

• Diseñar sistemas que funcionen «con» los sesgos, no en contra de ellos.
• Capacitar a las personas en seguridad teniendo en cuenta la resistencia psicológica, no solo informándolas.
• Utilice incentivos sutiles, no barreras rígidas, para promover comportamientos seguros.

Para profundizar en la relación entre el factor humano y la ciberseguridad, el «Manual del Gerente de Seguridad del CISO» dedica un amplio espacio a estas cuestiones, que son fundamentales para la supervivencia.

Fabrizio Saviano
Fabrizio Saviano es instructor autorizado (ISC)² para la certificación CISSP, consultor en el ámbito de la seguridad y la gobernanza de TI, tecnologías persuasivas y cognitivas. Licenciado en Ciencias de la Comunicación con especialización en Cognitivismo, fue agente seleccionado del equipo de intrusiones de la Policía Postal de Milán, CISO de un banco global y fundó BT Security en Italia.

Lista degli articoli