En el ámbito de la ciberseguridad y la ciberinteligencia, el perfilamiento de amenazas es una tarea clave para anticipar y mitigar ataques. Sin embargo esta labor no solo depende de herramientas tecnológicas y análisis de datos, sino de la capacidad del especialista para interpretar la información de manera objetiva. Los sesgos cognitivos pueden afectar este proceso, llevando a errores en la identificación de cibercriminales y en la respuesta ante incidentes de ciberseguridad.

Uno de los sesgos más comunes en este contexto es el sesgo de confirmación, que ocurre cuando un analista busca evidencia para respaldar una hipótesis inicial y descarta los datos que la contradicen. Por ejemplo, si un ataque muestra ciertas características similares a las de un grupo de ciberdelincuentes conocido, el investigador puede enfocarse exclusivamente en esa línea de análisis y omitir señales que apunten a otro responsable. Esto puede llevar a atribuciones erróneas y a una respuesta ineficaz.

El sesgo de disponibilidad también es un factor clave en el perfilamiento de amenazas. Este sesgo lleva a los analistas a priorizar la información que recuerdan con facilidad, como ataques recientes o ampliamente documentados, mientras ignoran amenazas menos conocidas. Por ejemplo, si en el último mes se han reportado múltiples ataques de grupos de ransomware, un especialista podría asumir que un nuevo incidente está relacionado con el tipo de malware que promueven dichos grupos, cuando en realidad podría tratarse de una táctica diferente, como el compromiso de credenciales mediante phishing.

Otro sesgo relevante es el sesgo de anclaje, el cual ocurre cuando un investigador se aferra a la primera información recibida sobre un atacante y le da un peso desproporcionado en su análisis. Esto puede ser problemático si los ciberdelincuentes han cambiado su modus operandi para evitar la detección. Un caso concreto es el de grupos de APT (Advanced Persistent Threats, por sus siglas en inglés) que modifican sus técnicas para evadir los sistemas de defensa, mientras que los analistas continúan utilizando indicadores de compromiso obsoletos.

Además, el sesgo de grupo puede influir en la percepción de los cibercriminales. En equipos de ciberseguridad con opiniones homogéneas, es común que los integrantes refuercen mutuamente sus creencias sin cuestionarlas, lo que puede llevar a interpretaciones sesgadas y a la falta de exploración de hipótesis alternativas, lo que reduce la capacidad de respuesta ante algunas amenazas.

Para mitigar estos sesgos, es fundamental que los especialistas en ciberinteligencia implementen estrategias que fomenten un análisis objetivo y estructurado. Algunas medidas efectivas incluyen:

  • Aplicar técnicas de análisis basadas en inteligencia, como la metodología ACH (Analysis of Competing Hypotheses), para evaluar múltiples escenarios antes de llegar a una conclusión.
  • Promover la revisión por pares, permitiendo que diferentes especialistas analicen los mismos datos para identificar posibles sesgos en la investigación.
  • Diversificar fuentes de información, consultando distintas perspectivas para evitar depender de un solo enfoque.
  • Capacitar continuamente a los equipos de ciberseguridad e inteligencia, con el fin de concientizar sobre la influencia de los sesgos cognitivos y su impacto en la toma de decisiones.

Referencias

BBVA. (2021). Estos son los principales sesgos cognitivos que afectan a las personas en lo referente a la ciberseguridad. Recuperado de https://www.bbva.com/es/innovacion/estos-son-los-principales-sesgos-cognitivos-que-afectan-a-las-personas-en-lo-referente-a-la-ciberseguridad/

Lisa Institute. (s.f.). Sesgos Cognitivos: la barrera para la correcta toma de decisiones. Recuperado de https://www.lisainstitute.com/blogs/blog/sesgos-cognitivos-toma-decisiones

Red Seguridad. (2023). ¿Qué son los ataques de ingeniería social? Recuperado de https://www.redseguridad.com/actualidad/que-son-los-ataques-de-ingenieria-social_20230926.html

Observatorio de Recursos Humanos. (2021). Sesgos cognitivos que facilitan el trabajo a los ciberdelincuentes. Recuperado de https://www.observatoriorh.com/orh/sesgos-cognitivos-que-facilitan-el-trabajo-a-los-ciberdelincuentes.html