Los ‘auditores’ que nunca contrataste

Hay un sesgo cognitivo al que los humanos somos propensos y que se encuentra en el centro de algunos de los desafíos que enfrentan los profesionales de la ciberseguridad todos los días. Se conoce como sesgo de normalidad: ¿qué La Dra. Lauren Braithwaite define como “Nuestra tendencia a subestimar la posibilidad de un desastre y creer que la vida continuará con normalidad, incluso frente a amenazas o crisis importantes”. Es por eso que la gente duda después de que suenan las alarmas de incendio o retrasa la reacción en otras situaciones que se desarrollan porque las cosas todavía parecen manejables.

Como este sesgo puede llevarnos a confundir familiaridad con seguridad y suposiciones con evidencia, interfiere cada vez más con la realidad de la ciberseguridad. Hace que las personas subestimen la probabilidad de un ciberataque o interpreten la ausencia de problemas o consecuencias obvios como evidencia de que los riesgos están bajo control. En la práctica, muchas organizaciones tratan la falta de alertas claras de las plataformas de protección elegidas como prueba de que todo va sobre ruedas. Otros no actúan con suficiente rapidez ante las señales de advertencia porque suponen que los negocios simplemente continuarán como de costumbre.

Mientras tanto, a pesar de los constantes titulares de noticias sobre violaciones en organizaciones como M&S, JLR y Co-op (y la mayoría de las violaciones nunca llegan a las portadas), y de los consejos de la industria de la ciberseguridad y de organizaciones gubernamentales sobre cómo evitar convertirse en la próxima víctima, el número de incidentes importantes continúa aumentando a un ritmo vertiginoso.

El Revisión anual del NCSC 2025 informó 204 ataques cibernéticos «de importancia nacional» en los 12 meses hasta agosto de 2025, un aumento del 130% con respecto a los 89 reportados el año anterior. De un total de 429 incidentes, 18 se clasificaron como «altamente significativos», lo que supone un aumento del 50 % en incidentes graves. Las tasas de incumplimiento siguen siendo obstinadamente altas, lo que puede reflejar una progresiva normalización del riesgo de incumplimiento y considerarse un sesgo de normalidad. a escala: cuanto más comunes se vuelven las revelaciones de incumplimiento, menos urgencia puede conllevar cada una de ellas.

¿Lecciones aprendidas?

Hay una frase que tanto los gobiernos como las empresas difunden cuando ocurre una catástrofe de cualquier tipo (incluida una violación de la seguridad cibernética): “Se han aprendido lecciones”.

¿Pero lo han hecho? El aumento del 130% en incidentes significativos entre 2024 y 2025 desafía gravemente esta afirmación y señala que no se están aprendiendo lecciones a nivel macro. ¡Parece un gran no!

El año pasado escribí una publicación en un blog que puede, en parte, explicar el estado psicológico después de una infracción. Argumenté que, en cierto sentido, muchas empresas sufren simultáneamente violaciones y no violaciones, y comparé esta situación con el gato de Schrödinger. hasta que tu abre la caja Al interrogar los registros o buscar activamente un compromiso, la comodidad de «no hemos sido violados» simplemente refleja el hecho de que nadie lo ha verificado. De hecho, esta renuencia a mirar también podría ser un sesgo de normalidad que silenciosamente hace su trabajo.

«Se han aprendido lecciones» es el resultado de abrir la caja, descubrir que el gato (desafortunadamente) ha fallecido y luego declarar: «sabemos lo que pasó, Tenemos esto bajo control, no te preocupes”. Esto es narrativo, no evidencia de un cambio significativo de enfoque.

Por el contrario, el aprendizaje real es un proceso proactivo que cambia la forma en que las organizaciones deben comportarse. Esto debería reflejarse en cambios en los presupuestos, políticas, reglas, planificación de recuperación, escrutinio de proveedores, registro, monitoreo, capacitación y tolerancia al error, por nombrar solo algunas cosas. Y todo ello antes de que se produzca la inevitable ruptura. Después de todo, es mucho más difícil acertar en un objetivo en movimiento.

Entonces, si podemos aceptar que el sesgo de normalidad es una condición cognitiva común y humana, podemos avanzar para evitar la complacencia ante una violación y minimizar su impacto. «Errar es humano», pero ahora que sabemos cuál es el error, tenemos el imperativo de actuar sobre la base de ese conocimiento y hacer las cosas de manera diferente.

Fin del juego: ¿qué pasa si todavía no reconocemos este sesgo?

Los «auditores» criminales confían en el error humano. Después de todo, es por eso que el phishing sigue siendo una de las formas más frecuentes en que se producen las infracciones.

Hay dos formas principales en las que se desarrolla el final del juego en materia de ciberseguridad.

O nos auditamos periódicamente: realizamos pruebas de penetración, equipos rojo/azul/púrpura y otros ejercicios de simulación de ataques, reevaluamos periódicamente el panorama de amenazas e invertimos en nuestra provisión de seguridad como parte de nuestra estrategia de resiliencia cibernética.

O permitimos que los ciberdelincuentes hagan la «auditoría» por nosotros. Se basan en una falsa sensación de seguridad (literalmente), y ésta es la grieta en la armadura que explotan.

Que los delincuentes lo ‘auditen’ puede ser brutal, costoso, devastador y, en muchos casos, terminal para las organizaciones. Por eso es importante esta metáfora: los ciberdelincuentes descubren la brecha entre lo que una organización cree sobre su seguridad y cuál es el realidad es.

Para poner las cosas en perspectiva, La inteligencia de amenazas de ESET procesa 750.000 muestras sospechosas, analiza 2.500 millones de URL y bloquea 500.000 de ellas cada día. Los actores de amenazas son implacables y, a medida que sus ataques se vuelven cada vez más sofisticados, tenemos que deshacernos de cualquier pensamiento de que somos impermeables. Debemos aceptar que existe un sesgo de normalidad y actuar en consecuencia.

El resultado final

Un aspecto del sesgo de normalidad que encuentro más intrigante es que, a pesar de la mayor sofisticación, velocidad, volumen y variedad de vectores de ataque que todos conocemos, nuestro enfoque de las estrategias de ciberresiliencia a menudo permanece arraigado en el pasado, incluso si es un pasado relativamente reciente. Pero el tiempo pasa rápido en ciberseguridad, y en los 4 o 5 minutos que le llevará leer este artículo, ESET habrá procesado más de 2000 muestras sospechosas y escaneado aproximadamente. 7 millones de URL bloquean aproximadamente 1500 de ellas.

Cuando preguntamos por qué deberíamos revisar la prestación de servicios de ciberseguridad, ¿estamos teniendo en cuenta todos los parámetros que han cambiado (tanto a nivel mundial como local) en los últimos años y cómo podrían afectar nuestra postura de seguridad actual?

Desde el primer momento, probablemente podrías nombrar al menos algunos de estos:

• Aumento del fraude habilitado por IA y otras amenazas.
• La guerra en Ucrania.
• Irán.
• Aumento del coste del cibercrimen en todo el mundo.
• Falsificaciones profundas.
• Aumento de los ataques de ingeniería social.
• Persistencia del phishing como principal vector de ataque.
• Mayor complejidad de las soluciones y servicios de ciberseguridad.
• Las brechas en habilidades cibernéticas siguen siendo preocupantemente amplias.

Hay muchos otros, sin duda. Y no es coincidencia que el nivel de protección que ofrecían los proveedores hace sólo unos pocos años se esté eliminando gradualmente y que los servicios y soluciones MDR/XDR/MXDR se estén convirtiendo en la norma.

Los «auditores» criminales ciertamente no se han dormido en los laureles durante este tiempo. Si bien el uso de nuevas herramientas, como la IA, no significa necesariamente mejor codificación, les permite escalar los ataques masivamente y les permite buscar vulnerabilidades a un ritmo sin precedentes.

• Si no invierte en auditoría, pruebas, concienciación cibernética y tecnologías de prevención, no está ahorrando dinero: simplemente está subcontratando la seguridad a los delincuentes.
• Los ejecutivos más comprometidos con la ciberseguridad se encuentran inmediatamente después de una costosa violación, después de que la normalidad se hace añicos. Haz que interactúen antes.
• Los delincuentes trabajan las 24 horas del día, las 24 horas del día, con una IA agente a su lado. ¿Son sus soluciones lo suficientemente resilientes para hacer frente? Controlar.
• Cualquiera que sea el tamaño de su organización, debe examinar constantemente su perfil cibernético y su resiliencia.
• No confunda el silencio (de incidentes) con la seguridad: invierta en 24 horas al día, 7 días a la semana MDR/Servicios MXDR.
• Ahora ya conoces la trampa del «sesgo de normalidad». evítalo.