Decisiones Irracionales en Ciberseguridad: Supera los errores de pensamiento que sesgan tus juicios Gonzalo Álvarez Marañón ElevenPaths, Telefónica Cyber Security Unit Madrid, 2019 Este libro ha sido publicado bajo la licencia Reconocimiento 4.0 Internacional (CC BY4.0). INTRODUCCIÓN Si aceptamos que la misión principal del CISO es reducir el riesgo de la organización, se verá obligado a tomar decisiones de seguridad en situaciones de incertidumbre. Pero cuando no tiene a su alcance todos los datos necesarios para tomar una decisión perfectamente informada ni dispone de tiempo suficiente, ¿cómo decide entonces? Pues utiliza atajos mentales, cuentas de la vieja, estereotipos, prejuicios y corazonadas. Los psicólogos llaman a estos atajos heurísticas y sesgos. Estas heurísticas afectan cómo pensamos acerca de los riesgos, cómo evaluamos la probabilidad de futuros incidentes, cómo consideramos sus costes y cómo alcanzamos compromisos entre seguridad y coste (económico, personal, emocional, reputacional, etc.). No hay que asombrarse ni lamentarse de que nuestro cerebro sea incapaz de tomar decisiones 100% racionales. Sin estos atajos de pensamiento, el ser humano no habría sobrevivido como especie. Las heurísticas y sesgos resultan vitales para desempeñarnos con normalidad en las pequeñas decisiones del día a día. Sin embargo, en nuestro mundo actual afrontamos a menudo situaciones complejas en las que necesitamos analizar mucha información y evaluar distintos riesgos, como, por ejemplo, los juicios sobre elecciones en ciberseguridad. Si nos dejamos llevar por nuestras heurísticas y sesgos, casi con total seguridad tomaremos la decisión equivocada. O podremos acertar, sí, pero no sabremos ni cómo lo hemos conseguido. Como afirma el gurú de la seguridad Bruce Schneier (Schneier, 2008): «Nuestra evolución social y tecnológica ha superado ampliamente nuestra evolución como especie, y nuestros cerebros están atascados con heurísticas que son más adecuadas para vivir en pequeños grupos de familias primitivas. Y cuando esas heurísticas fallan, nuestro sentimiento de seguridad difiere de la realidad de la seguridad.» Este libro repasa doce sesgos cognitivos que pueden hacer descarriar nuestras decisiones de seguridad. Conocerlos es la primera línea de defensa para no caer en ellos. Incluso conociéndolos, resulta sencillo caer una y otra vez. Descubrirás el fascinante funcionamiento del cerebro cuando tomas decisiones económicas y de seguridad y cómo mejorarlas. En concreto, el libro trata los siguientes doce sesgos, heurísticas y errores de pensamiento: 1. Historia de dos mentes: La abismal diferencia entre el riesgo real y el riesgo percibido 2. La Homeostasis del Riesgo: Cómo agregar medidas de seguridad puede volverte más inseguro 3. La Aversión a la Pérdida: Eres menos racional de lo que crees cuando tomas decisiones de riesgo en condiciones inciertas 4. El Efecto Marco: Así como te presenten la información, así tomarás la decisión 5. El Sesgo de Confirmación: Buscamos la información que nos reasegura en nuestras decisiones descartando la evidencia en contra 6. El Sesgo de Disponibilidad: No confundas la frecuencia de un incidente con la facilidad con que lo recuerdas 7. Empujoncitos: Si quieres cambiar los hábitos de seguridad de tus empleados no apeles a su voluntad, cambia su entorno 8. La Heurística de la Representatividad: En busca del phishing perfecto capaz de engañarte incluso a ti 9. La Falacia de Planificación (y otros sesgos optimistas): Por qué entregas tarde todos tus proyectos y te salen más caros de lo previsto y qué puedes hacer para remediarlo 10. La Heurística del Afecto: Tus sentimientos influyen en tu percepción del riesgo y del beneficio más de lo que crees 11. El sesgo de anclaje: El pestañeo de un cibercriminal en Brasil puede causar un tsunami de phishing en Rusia 12. La Falacia del Coste Hundido: Si no funciona, no lo toques, déjalo que se hunda El libro termina con un completo checklist que te ayudará a mejorar tus decisiones: Checklist: 12 preguntas distorsiones de sesgos para llegar a decisiones sin CAPÍTULO 1: HISTORIA DE DOS MENTES LA ABISMAL DIFERENCIA ENTRE EL RIESGO REAL Y EL RIESGO PERCIBIDO «En nuestra sociedad generalmente no se considera justificable tomar decisiones basadas puramente en una respuesta emocional. Queremos considerarnos científicos y racionales, por ello creamos estas razones después de haber decidido para justificar nuestra elección». —Raj Raghunathan, McCombs School of Business, The University of Texas at Austin Mira atentamente la siguiente figura. ¿Qué círculo verde dirías que es más grande, el de la derecha o el de la izquierda? Figura 1. Ilusión óptica de Ebbinghaus. Sí, efectivamente, ambos círculos son iguales. Sin embargo, por mucho que los midas con una regla y por mucho que «sepas» que son iguales, no puedes dejar de ver más grande el de la derecha que el de la izquierda, ¿verdad? Se trata de la conocida ilusión óptica de Ebbinghaus y seguro que has visto otras muchas parecidas. Pero ¿sabías que no todas las ilusiones de las que somos presa en nuestro día a día son visuales? Existen otras ilusiones mucho más peligrosas: son las ilusiones del pensamiento o «ilusiones cognitivas». El investigador R. Pohl define un «sesgo cognitivo» como un fenómeno cognitivo que (Pohl, 2016): 1. se desvía de la realidad, 2. ocurre sistemáticamente, 3. ocurre involuntariamente, 4. es difícil o imposible de evitar y 5. parece bastante distinto del curso normal del procesamiento de la información. Una persona que está sujeta a un sesgo cognitivo no lo sabe y cree que su decisión, juicio o memoria son imparciales. Lo grave del asunto es que los sesgos a menudo persisten incluso cuando las personas están informadas y entrenadas sobre cómo superarlos. Este denominado «sesgo de punto ciego» se produce porque nuestros propios sesgos no están disponibles de forma consciente para nuestra inspección, por lo que no los observamos y, por lo tanto, asumimos que cualquier creencia que tengamos debe basarse en un razonamiento racional. Los sesgos cognitivos son los responsables de que nos dé más miedo volar en avión que conducir un coche o que nos parezca que mueren más personas víctimas de cualquier accidente que del corazón. Somos malísimos estimando el riesgo. Según los psicólogos, nos dejamos engañar de diferentes maneras (Khalila & Abi Karam, 2015): 1. Distorsión por hábito: Cuanto más familiarizado estás con un riesgo, más expuesto a él y más habituado a mitigarlo, menos peligroso te parece. No pasa nada por usar el móvil mientras conduces, ¿verdad que no? Por el contrario, tiendes a sobreestimar los riesgos excepcionales o imprevistos. 2. Distorsión temporal: Infravaloras un riesgo que va creciendo lentamente o que aumenta a largo plazo. Esos cigarritos que sabes que no tienes que fumar, pero que uno a uno parece que no hacen nada, … Sabes de lo que hablo, ¿a que sí? Por el contrario, tiendes a sobrerreacionar ante el riesgo inmediato. 3. Distorsión espiritual: La gente sobreactúa frente a riesgos personificados, intencionales o mediatizados. ¿Verdad que tu reacción no es la misma si alguien te tira una piedra a la cabeza intencionadamente que si esa misma piedra te golpea porque se ha desprendido de una cornisa por culpa del viento? Por el contrario, tu reacción se queda corta ante los peligros naturales y no humanos. Si somos animales racionales, la cúspide de la Evolución, ¿por qué entonces evaluamos tan mal el riesgo y podemos tomar tan malas decisiones? Porque no somos tan racionales como nos gusta creernos. Porque en realidad, no tenemos una sola mente: ¡somos dos mentes! DIONISIO Y APOLO CONVIVIENDO EN UN MISMO CEREBRO Según la Teoría de Proceso Dual, poseemos dos tipos de pensamiento: uno es intuitivo y automático, el otro es reflexivo y racional. Reciben nombres como AUTOMÁTICO y REFLEXIVO o SISTEMA I y SISTEMA II. Figura 2. No tenemos dos mentes, somos dos mentes (Imagen reproducida de (Álvarez & Arroyo, 2015), con el permiso de los autores). Tal y como explica el Premio Nobel de Economía Daniel Kahneman en su obra magna (Kahneman, Pensar rápido, pensar despacio, 2011): «El Sistema 1 opera de manera rápida y automática, con poco o ningún esfuerzo y sin sensación de control voluntario. El Sistema 2 centra la atención en las actividades mentales esforzadas que lo demandan, incluidos los cálculos complejos. Las operaciones del Sistema 2 están a menudo asociadas a la experiencia subjetiva de actuar, elegir y concentrarse. Cuando pensamos en nosotros mismos, nos identificamos con el Sistema 2, con el yo consciente, racional, que tiene creencias, hace elecciones y decide qué pensar y qué hacer. Las operaciones automáticas del Sistema 1 generan patrones de ideas sorprendentemente complejos, pero solo el lento Sistema 2 puede construir pensamientos en una serie ordenada de pasos». Tabla 1. Ejemplos de operaciones del Sistema 1 y 2. Operaciones del Sistema 1 Operaciones del Sistema 2 Percibe lejos queque otro. un objeto está más Estar atento al disparo de salida en una carrera. Nos orienta hacia la fuente de un sonido repentino. Concentrar la atención en los payasos del circo. Completa la expresión «pan y…». Escuchar la voz de una persona concreta en un recinto atestado y ruidoso. Nos hace poner «cara de desagrado» cuando vemos un cuadro horroroso. Buscar en la memoria para identificar un ruido sorprendente. Detecta hostilidad en una voz. Caminar a un paso más rápido de lo que es natural. Responde a 2 + 2 = ? Observar un comportamiento adecuado en una situación social. Lee las palabras de las vallas publicitarias. Contar las veces que aparece la letra A en una página de texto. Conduce un coche por una carretera vacía. Aparcar en un espacio estrecho (para todo el mundo menos para los empleados del garaje). Encuentra una buena jugada de ajedrez (en quien es ajedrecista). Comparar dos lavadoras para saber cuál es mejor. Entiende frases sencillas. Rellenar el impreso de la declaración de la renta. Reconoce que un «carácter disciplinado y metódico obsesionado con el detalle» responde a un estereotipo profesional. Comprobar la validez de un argumento lógico complejo. No existe una dicotomía entre el Sistema 1 y el Sistema 2: no son dos homúnculos sentados sobre nuestros hombros, susurrándonos cada uno a un oído. Ni somos perfectamente racionales ni completamente emocionales e instintivos. Somos ambos, todo el tiempo. Son componentes entrelazados de un sistema único. Sí, a veces usamos más uno que otro, pero ambos se ven involucrados en la evaluación del riesgo. SI NO SABES RESPONDER A UNA PREGUNTA DIFÍCIL, SUSTITÚYELA POR UNA FÁCIL ¿Por qué nuestro cerebro habría de evolucionar hacia esta división del trabajo entre el Sistema 1 y el Sistema 2? Porque resulta muy eficiente: minimiza el esfuerzo y optimiza la ejecución. La mayor parte del tiempo nos va muy bien con esta división de tareas, porque, como afirma Daniel Kahneman (Kahneman, Pensar rápido, pensar despacio, 2011): «El Sistema 1 es en general muy bueno en lo que hace: sus modelos de situaciones familiares son adecuados, sus predicciones a corto plazo suelen ser también adecuadas y sus respuestas iniciales a los retos son rápidas y generalmente apropiadas. Sin embargo, en el Sistema 1 hay sesgos, errores sistemáticos que es propenso a cometer en circunstancias específicas». ¿Y cómo se originan estos sesgos? Responde a las siguientes preguntas con un simple SÍ o un NO y te quedará clarísimo. 1. ¿Crees que el ciberterrorismo representa una amenaza seria para la seguridad ciudadana? 2. ¿Crees que el criptominado representa una amenaza seria para la seguridad ciudadana? 3. ¿Crees que el uso de smartphones con conexión a Internet representa una amenaza seria para la seguridad ciudadana? 4. Y ahora la pregunta más importante: ¿Tenías a tu disposición todos los datos y hechos necesarios para dar una respuesta completa y totalmente informada, analítica y razonada a las tres primeras preguntas? No sé lo que habrás respondido a las tres primeras, pero apuesto a que has respondido un rotundo NO a la cuarta. ¡Nadie piensa que posee todos los hechos necesarios para responderlas! Y, a pesar de todo, respondiste Sí o No a las tres primeras porque tienes un conocimiento intuitivo gracias a tus experiencias y lecturas sobre el riesgo de las amenazas mencionadas. Así funcionamos la mayor parte del tiempo en nuestra vida: a cada instante nos vemos obligados a realizar juicios y tomar decisiones, aunque no dispongamos a nuestro alcance de todos los datos y hechos, ni de tiempo para reunirlos todos, ni de capacidad intelectual para procesarlos por completo. Nuestra racionalidad está limitada o «acotada», como la llama Herbert Simon (Simon, 1957). El mundo moderno es demasiado complejo y nuestra mente demasiado limitada como para poder procesar toda la información antes de tomar una decisión. Así que, en lugar de perseguir procedimientos óptimos de maximización de las funciones de utilidad, ¡usamos heurísticas! Cuando nos vemos ante una cuestión difícil, a menudo respondemos a otra más fácil, por lo general sin advertir la sustitución. Se trata de un procedimiento sencillo que nos ayuda a encontrar respuestas adecuadas, aunque a menudo imperfectas, a preguntas difíciles. Ahí reside el origen de nuestros sesgos. Ahí reside la razón por la que suele existir un abismo entre nuestra evaluación del riesgo y el riesgo real. Nuestros Sistema 1 y 2 evolucionaron en un entorno donde las amenazas eran relativamente sencillas de entender: un depredador que se abalanza sobre ti, un fuego que avanza o un miembro de otra tribu que te mira con cara de pocos amigos con un objeto oculto en la mano. A la hora de evaluar riesgos en el contexto de nuestra sociedad moderna el Sistema 1 suele fallar miserablemente, mientras que el Sistema 2 es incapaz de hacerse con el control. Nuestro cerebro se ha quedado estancado en las mismas heurísticas de hace cientos de miles de años, aptas para la vida primitiva en la Naturaleza en grupos sociales muy reducidos. No le ha dado tiempo de actualizarse a una versión para el siglo XXI. UN NECESITAMOS EJECUTAR SISTEMA OPERATIVO NUEVO EN UN HARDWARE DE MÁS DE 100.000 AÑOS Trata de imaginar tu cerebro físico como el hardware de un ordenador y tu sistema de pensamiento como el sistema operativo. Ay, ese sistema operativo se ha ido codificando a lo largo de milenios. Hoy está plagado de bugs, pobremente parcheado y resulta muy propenso a errores: heurísticas, sesgos, prejuicios, atajos mentales, cuentas de la vieja, y quién sabe qué más. Y cuando una heurística falla, nuestro sentimiento de seguridad se aleja de la realidad de la seguridad. A veces prestamos más atención al riesgo mediático o más amenazador, en lugar de al más prevalente pero menos noticioso o llamativo. O creamos riesgos nuevos tratando de eludir los viejos. La seguridad es siempre un compromiso. Y si la severidad del riesgo se malinterpreta, entonces la seguridad será inadecuada. De ahí la importancia de aprender a vencer los sesgos cognitivos a la hora de tomar decisiones de seguridad. En suma, la percepción del riesgo es un sistema único, pero multifacetado: cada una de sus complejas caras contribuye a nuestros juicios sobre las amenazas que se nos ciernen. En próximos capítulos nos adentraremos en el funcionamiento del cerebro para entender los límites de nuestra racionalidad acotada y estar en guardia ante nuestros errores de pensamiento más devastadores. CAPÍTULO 2: LA HOMEOSTASIS DEL RIESGO CÓMO AGREGAR MEDIDAS DE SEGURIDAD PUEDE VOLVERTE MÁS INSEGURO Un niño está jugando con su patinete. De repente, comienza a saltar desde una rampa, con peligro evidente. No lleva ni casco ni otras protecciones. Rápidamente, hace su aparición la madre: «¡Niño! ¡Ponte ahora mismo las protecciones!» El niño obedece. Se pertrecha adecuadamente bajo la mirada atenta de su madre y recibe la aprobación materna para saltar desde la rampa. Ahora sí. Ahora está «seguro». Al presenciar esta escena verídica en el parque me surgió una duda: ¿Cuándo estaba más seguro el niño? ¿Patinando sin hacer cabriolas ni llevar protecciones o bien haciendo cabriolas con todas las protecciones puestas? Esta anécdota refleja una tendencia psicológica muy humana: una vez se introduce una medida de seguridad concreta, al sentirse más seguras, las personas parecen reajustar su conducta tornándola más peligrosa. Es decir, las personas no están más «seguras», sino que simplemente ajustan sus acciones incrementando su exposición al riesgo. Volviendo al niño del patinete. Si se siente más seguro con todas las protecciones, se atreverá a maniobras más arriesgadas que cuando no las llevaba. Puede afirmarse que en este caso aumentar la protección hace que aumente la conducta de riesgo. La cuestión es: globalmente, ¿el niño está ahora más o menos seguro? LA TEORÍA DE LA HOMEOSTASIS DEL RIESGO COMO REGULADORA DE LA CONDUCTA Todos hemos visto un termostato en operación. Se fija una temperatura, por ejemplo 25 grados. El termómetro del termostato monitoriza la temperatura de la habitación. Si cae por debajo del «set point» definido, entonces activa la calefacción. Pero la temperatura de la habitación seguirá cayendo durante un rato mientras la calefacción va calentando el aire. Pongamos que cae hasta los 23 grados. El aire progresivamente se calentará hasta llegar a los 25 grados preestablecidos. El termostato detiene entonces la calefacción. Pero debido a la inercia térmica, la temperatura seguirá subiendo durante unos minutos y podría alcanzar los 27 grados, momento en el que comenzará a caer lentamente, hasta rebasar los 25 grados. Y vuelta a empezar. Curiosamente, la habitación nunca está a 25 grados. En realidad, la temperatura está oscilando continuamente entre los 23 y los 27 grados. Los 25 grados son solo la temperatura promedio. La amplitud y período de estas oscilaciones dependerán de factores como la sensibilidad del termómetro, la potencia calorífica de la calefacción, la inercia térmica de los materiales de la calefacción, la dimensión de la habitación, la temperatura exterior, etc. ¿Y qué tiene que ver un termostato con el riesgo? En 1982, el investigador Gerald Wilde propuso su «Teoría de la Homeostasis del Riesgo (THR)» (Wilde, 1982), equiparando con un termostato nuestra manera psicológica de afrontar el riesgo. Según Wilde, los humanos tenemos nuestro propio termostato del riesgo y cada individuo lo tiene establecido a un nivel determinado, más alto o más bajo. Intuitivamente, todos conocemos personas que adoran el riesgo y otras que huyen de él. La explicación es que sus «riesgostatos» están programados a niveles diferentes. Si las circunstancias a nuestro alrededor cambian aumentando o disminuyendo la seguridad percibida, entonces adaptamos nuestro comportamiento, haciéndolo más o menos arriesgado, hasta recobrar nuestro nivel personal de tolerancia al riesgo. En otras palabras, cuanto más seguros nos sentimos, más arriesgadamente nos comportamos. Si esta teoría es cierta, entonces las contramedidas de seguridad pueden surtir el efecto contrario al deseado al fomentar conductas más arriesgadas o descuidadas. Piensa en las siguientes situaciones hipotéticas: Si un programador de aplicaciones web sabe que las páginas cuyo código desarrolla serán protegidas por un WAF, ¿se volverá más despreocupado, confiado en que si comete un error de programación será compensado por el WAF? Si una empresa implanta sofisticados sistemas de seguridad física y control de acceso en sus instalaciones para impedir que personal no autorizado acceda a los despachos y praderas, ¿vigilarán menos los empleados la autorización de las personas que han entrado al edificio? Si una empresa introduce una directiva que exige cifrar todo el correo electrónico para evitar violaciones de la confidencialidad en comunicaciones con terceros, ¿incluirán los empleados más información confidencial en sus mensajes de correo, persuadidos de la inviolabilidad de sus mensajes? Si un usuario informático instala un sistema antivirus de última generación, supuestamente «infalible», ¿ejecutará alegremente cualquier archivo recibido por email, accederá a más páginas web dudosas o dejará su equipo conectado a Internet durante más tiempo? OSCILAMOS ALREDEDOR DE NUESTRO NIVEL DE RIESGO TOLERADO La Teoría de la Homeostasis del Riesgo (THR) mantiene que, en cualquier actividad, la gente acepta cierto nivel de riesgo, estimado subjetivamente, para su salud, seguridad y otros bienes que valora, a cambio de los beneficios que recibe de la actividad: transporte, trabajo, comer, beber, uso de drogas, actividades recreativas, romance, deportes, lo que sea. Para Wilde, el nivel de riesgo tolerado depende de cuatro factores: 1. El beneficio esperado del comportamiento arriesgado 2. El coste esperado del comportamiento arriesgado 3. El beneficio esperado del comportamiento seguro 4. El coste esperado del comportamiento seguro ¿Por qué una persona querría descargarse un software de pago desde una red P2P sin pasar por caja, a sabiendas de que corre un riesgo al instalar un software procedente de una fuente no confiable en lugar del fabricante oficial? En la imaginación de esta persona, el beneficio de su conducta arriesgada, disfrutar del software, es idéntico tanto si paga como si no, ya que factor 1 = factor 3. Por otro lado, sino paga, el factor 2 = 0, mientras que el factor 4 >> 0. De acuerdo con la THR, siempre que la suma de los factores 1 y 4 supere con creces a la suma de los factores 2 y 3, aumentará el nivel de riesgo que un individuo está dispuesto a aceptar, como en el caso de las descargas ilegales. Wayne Kearney y Hennie Kruger hacen un buen trabajo interpretando esta teoría en el contexto de la seguridad de la información (Wayne D. Kearney, 2016). La siguiente figura recoge los principios del modelo en clave de TI: Figura 3. Modelo de la homeostasis del riesgo, adaptado de (Wayne D. Kearney, 2016). En función de sus experiencias pasadas, de su formación en seguridad, de su nivel de concienciación, de condicionantes sociales y culturales, un usuario percibe ciertos costes y beneficios asociados a su conducta (caja 1). Este análisis, más o menos consciente, le conduce a determinar un nivel de riesgo preferido o aceptado (caja 3). Ya vimos que para Wilde este nivel de riesgo tolerado dependía de cuatro factores motivadores. El usuario concluye que, si el beneficio esperado del comportamiento arriesgado (factor 1) y los costes esperados del comportamiento conservador (factor 4) son altos, el nivel objetivo de riesgo será también alto. Por el contrario, el nivel de riesgo aceptado será bajo si los costes esperados del comportamiento arriesgado (factor 2) y los beneficios esperados del comportamiento conservador (factor 3) son altos. Cualquier incidente de seguridad causará un cambio en el nivel percibido de riesgo (caja 4). Si se implantan nuevas medidas de seguridad o si aparecen nuevas amenazas, el nivel de riesgo percibido aumentará o disminuirá en consonancia. En el caso de una nueva amenaza, los usuarios tienden a cambiar su conducta de seguridad eligiendo alternativas más seguras (caja 6), lo que provocará un cambio en el estado (tasa) de brechas de seguridad (caja 7). A medida que pasa el tiempo y el usuario acumula información sobre la nueva amenaza, puede considerar que la amenaza no es tan seria o podría descubrir que la amenaza está bajo control gracias a nuevas medidas de seguridad o simplemente podría terminar por acostumbrarse a la nueva amenaza. El nivel de riesgo percibido podría caer entonces por debajo del nivel objetivo, por lo que el usuario podría empezar a comportarse con menor cautela, lo que conllevaría un aumento en el número de brechas de seguridad. El modelo de la homeostasis del riesgo es, como un termostato, un bucle de realimentación negativa en la que las variables están en permanente reajuste. Por supuesto, se trata de una teoría, capaz de explicar muchas conductas de seguridad, tanto individuales como colectivas, pero no tiene todas las respuestas para la motivación humana en relación con el riesgo. De hecho, muchos investigadores la consideran una mera hipótesis y la critican duramente, negando que los seres humanos poseamos un «termostato del riesgo» o que este termostato juegue un papel tan relevante en la toma de decisiones de seguridad. Por otro lado, los seres humanos somos excepcionalmente malos juzgando el riesgo abstracto, por lo que resulta difícil diseñar experimentos fiables para probar la teoría. Además, los seres humanos no somos puramente racionales, por lo que no actuamos movidos exclusivamente por la evaluación exhaustiva de la utilidad de nuestras acciones, sino que se entremezclan otros factores emocionales que contradicen la búsqueda de la maximización de la utilidad. CÓMO FOMENTAR COMPORTAMIENTOS SEGUROS A PESAR DE INSTALAR CONTRAMEDIDAS DE SEGURIDAD Resumiendo lo explicado hasta fundamentales de la THR son: ahora, las dos premisas 1. Las personas tenemos un termostato individual del riesgo establecido a un nivel determinado. 2. Evaluamos la situación y ajustamos nuestro comportamiento para mantener este nivel. Si esta teoría es cierta, ¿cómo podemos evitar la paradoja de que a mayor número de medidas de seguridad, mayor riesgo? El experto en seguridad vial James Hedlund, propone cuatro factores a tener en cuenta para disuadir a los individuos de aumentar el riesgo de su conducta ante la adición de medidas de seguridad (Hedlund, 2000). 1. Visibilidad: La medida de seguridad debe pasar desapercibida Si no sé que está ahí, no contrarrestaré con mi comportamiento más arriesgado una medida de seguridad recién implantada. Cuanto más transparente o imperceptible sea la medida, menos afectará al comportamiento. SSL suele funcionar muy bien a nivel de usuario porque la mayoría ni sabe que existe ni que lo está utilizando. Para ellos, es una medida invisible. 2. Efecto: La medida de seguridad no debe afectar al individuo Cuanto más intrusiva sea una medida, más interés tendrá el individuo en desactivarla. Si el WAF tiene falsos positivos que impiden acceder a un comprador a un producto y comprarlo, el WAF será desactivado. Si el filtro antispam bloquea los mensajes de un cliente clave, el filtro será desactivado. Si el reconocimiento facial falla en momentos críticos, se volverá a la contraseña. Cuanto menos afecte la medida de seguridad al individuo, menos tratará de compensarla alterando su comportamiento. 3. Motivación: La medida de seguridad no debe dar motivos para el cambio Si no encuentro razón alguna para cambiar mi comportamiento, no compensaré la medida de seguridad. Cuanto menos afecte la medida a la percepción subjetiva del riesgo y menos altere la forma habitual de trabajar, menos motivación existirá para alterar la conducta. 4. Control: La medida de seguridad debe escapar al control del individuo Si mi comportamiento está muy controlado, no compensaré la medida de seguridad. Si tengo la libertad de desactivar el antivirus porque me da la sensación de que hace que mi compilador vaya más lento, entonces lo desactivaré. Cuanto menos margen de maniobra dejen las medidas de seguridad al usuario, menos cambiarán su comportamiento. CLEAN PIPES COMO OBJETIVO ASPIRACIONAL Un ejemplo de cómo se han aplicado con éxito estos principios en la búsqueda de la seguridad del consumidor es en el caso del agua potable en las grandes ciudades. Abrimos el grifo y damos por hecho que el agua es segura. No instalamos ni filtros ni dispositivos de seguridad adicionales, no la analizamos en busca de venenos, no aprendemos sobre química antes de beberla, no nos aparecen ventanas con avisos indescifrables. No hay que tomar ninguna decisión. Simplemente, confiamos en todas las medidas de seguridad que han sido tomadas para que llegue clara y limpia a nuestro hogar. Los usuarios sueñan con acceder a la información como al agua potable. LA HOMEOSTASIS DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN La teoría de la homeostasis del riesgo nos advierte de que cuanto más visibles son las medidas de seguridad, más pueden incitar a que la gente acepte riesgos mayores. Esta teoría, abrazada por unos y rechazada por otros, posee profundas implicaciones en la manera como debemos buscar aumentar la seguridad de nuestros usuarios. Nos invita a reflexionar a la hora de establecer estrategias de educación, formación y concienciación en seguridad de la información, a la hora de diseñar interfaces de seguridad y de implantar directivas de seguridad. La tecnología por sí misma no puede ofrecer soluciones completas a los retos de seguridad de la información. Nunca está de más introducir en el cóctel de la seguridad el comportamiento del usuario. Entender su motivación y su forma de pensar puede suponer la diferencia entre el éxito o el fracaso de una medida de seguridad. CAPÍTULO 3: LA AVERSIÓN A LA PÉRDIDA ERES MENOS RACIONAL DE LO QUE CREES CUANDO TOMAS DECISIONES DE RIESGO EN CONDICIONES INCIERTAS Te propongo el siguiente juego de azar: Opción A) Te doy 1.000 € con un 100% de probabilidad. Opción B) Lo echamos a suertes: si sale cara, te doy 2.000 €; si sale cruz, no te doy nada. ¿Qué opción elegirías? ¿La ganancia segura o la posibilidad de ganar el doble (o nada)? Si eres como el 84% de la población, habrás elegido la opción A, la ganancia segura. Vale, ahora te propongo un nuevo escenario. Tienes que pagar una multa y te dan a elegir cómo hacerlo: Opción A) Pagas 1.000€ de multa con un 100% de probabilidad. Opción B) Lo echan a suertes: si sale cara, pagas 2.000€ de multa; si sale cruz, te vas de rositas sin pagar ni un euro. ¿Qué opción elegirías en este caso? ¿Pagar la multa sí o sí o jugártela a suertes, pudiendo pagar nada (o el doble)? Pues en este caso, si eres como el 70% de la población, habrás elegido la opción B. Entonces, ¿lo estás haciendo bien? ¿Mal? Vamos a examinar ahora qué está pasando aquí desde un punto de vista estrictamente racional. SEGÚN LA TEORÍA DE LA UTILIDAD ESPERADA, ELEGIRÁS SIEMPRE LA OPCIÓN QUE MAXIMICE LA UTILIDAD DE LA DECISIÓN El valor esperado de una decisión E[u(x)] (o el retorno que puedes esperar) se calcula como el producto de dos cantidades bien sencillas: la probabilidad de la ganancia p multiplicada por el valor (o utilidad) de la ganancia u(x). Es decir, cuanto más probable sea que ganes algo y mayor sea su valor, mayor será el valor esperado. Se representa matemáticamente así: E[u(x)] = p1 · u(x1) + p2 · u(x2) + … = pi· u(xi) Si fuéramos racionales al 100%, haciendo uso de esta fórmula siempre sabríamos qué hacer en cada momento y cómo tomar la decisión perfecta: bastaría con calcular la probabilidad de cada decisión y su utilidad y escoger la que maximizara el valor esperado. Por desgracia, el ser humano no es una máquina racional de toma de decisiones. No somos un «homo economicus» capaz de realizar análisis de coste-beneficio perfectos y elegir resultados óptimos con total objetividad (Persky, 1995). La Teoría de la Utilidad Esperada, tan bonita sobre el papel, incurre en dos grandes fallos cuando la aplicamos al día a día más allá de los juegos matemáticos de azar: 1. Somos muy malos estimando la probabilidad de ganar 2. Somos muy malos estimando el valor de la ganancia ¿Te suenan familiares estas dos constataciones? De hecho, el riesgo suele definirse como la probabilidad de incidente multiplicada por su impacto. ¡El mismo concepto! Para verlo con mayor claridad, repasemos las dos propuestas del inicio del capítulo a la luz de esta teoría. En el juego de azar, el valor esperado de la opción A es: E(A) = 1,0 · 1.000 = 1.000 Mientras que el valor esperado de la opción B es: E(B) = 0,5 · 2.000 + 0,5 · 0,0 = 1.000 ¡Ambos valores son idénticos! Por tanto, desde un punto de vista estrictamente racional, tanto debería importarnos uno como otro. Y ¿qué ocurre con el segundo escenario? En este caso, el valor esperado de la opción A es: E(A) = 1,0 · (−1.000) = −1.000 Y el de la opción B, en cambio: E(B) = 0,5 · (−2.000) + 0,5 · 0,0 = −1.000 Una vez más, ¡ambas son iguales! Por lo tanto, ahora también lo mismo daría elegir una que otra. Entonces, ¿por qué más gente elige la opción A del primer escenario y la opción B del segundo en lugar de elegir cualquiera de ellas? ¡Porque no somos puramente racionales! Preferimos una pequeña ganancia segura que una gran ganancia posible. Ya lo dice el refrán: «más vale pájaro en mano que ciento volando». Sin embargo, aborrecemos una pequeña pérdida segura y preferimos una posible gran pérdida. Es decir, la pérdida segura suscita tanta aversión que, antes que perder un poco, asumimos el riesgo de perder más. Por supuesto, el cerebro no hace ningún cálculo matemático. Simplemente aplica una heurística: si puedes ganar algo con seguridad, tómalo y no lo arriesgues por ganar más; si puedes evitar una pérdida segura, arriésgate, aunque des lugar a una posible pérdida mayor. Cuando se ponderan ganancias y pérdidas del mismo calibre, estas últimas «pesan» más. De hecho, la satisfacción de ganar es muy inferior al dolor de la pérdida. Es muy fácil de ver. Si sales a la calle con 100,00 € y pierdes 50,00, tu valoración subjetiva de esta pérdida es mayor que si sales con los bolsillos vacíos y te encuentras 50,00 €, aunque se trata de una ganancia objetivamente equivalente. Sí, al final en ambos casos acabas con 50,00€ en el bolsillo, pero el proceso no te da igual. ¡Ni mucho menos! SEGÚN LA TEORÍA PROSPECTIVA, TU AVERSIÓN A LA PÉRDIDA HARÁ QUE ARRIESGUES MÁS POR NO PERDER QUE POR GANAR ¿Recuerdas el primer capítulo, Historia de dos mentes: La abismal diferencia entre el riesgo real y el riesgo percibido? La moderna psicología de la economía del comportamiento propone un modelo del ser humano radicalmente diferente al «homo economicus»: en condiciones de incertidumbre, cuando se enfrenta a una situación muy compleja, nuestro cerebro cambia el problema por otro más sencillo. Son las heurísticas o atajos de pensamiento, que nos conducen a tomar decisiones «irracionales» aunque perfectamente explicables. La siguiente curva matemática captura gráficamente la esencia de la Teoría Prospectiva, propuesta por (Tversky & Kahneman, 1981): Figura 4. La curva de la Teoría Prospectiva explica por qué las personas exhiben diferentes comportamientos ante las pérdidas y las ganancias de cantidades idénticas. La curva recoge tres características cognitivas esenciales de la Teoría Prospectiva, propias del Sistema 1: 1. No se trata de una línea recta (o cóncava), como cabría esperar de la teoría de utilidad. Curiosamente, tiene forma de S, lo que indica que la sensibilidad a las ganancias y a las pérdidas va disminuyendo: tendemos a sobreestimar las pequeñas probabilidades y a subestimar las grandes. 2. También choca que las dos curvas de la S no son simétricas. La pendiente de la función cambia de manera abrupta en el punto de referencia como consecuencia de la aversión a la pérdida: tu respuesta ante una pérdida es más enérgica que ante una ganancia objetivamente equivalente. De hecho, este valor se estima entre 2 y 3 veces más fuerte. 3. Por último, las opciones no se evalúan en función de su resultado, sino en función del punto de referencia. Si todo tu capital consiste en 1.000,00€ en el banco, que te ingresen 1.000,00€ adicionales seguro que te hace más ilusión que si tienes ya 1.000.000,00€ en el banco. Son los mismos 1.000,00 €, pero dado que el punto de referencia es diferente, no los aprecias igual. De igual modo ocurrirá para una pérdida: seguro que no te afecta lo mismo perder 1.000,00€ si todo lo que tienes son 2.000,00€ que si tienes 1.000.000 €, ¿a que no? UNA TEORÍA DE LA DECISIÓN EN SEGURIDAD DE LA INFORMACIÓN A la luz de todo lo explicado, están quedando claras dos ideas: 1. No evaluamos las pérdidas y ganancias de manera totalmente objetiva. 2. Nos dejamos influir por el punto de referencia y por la aversión de la pérdida. Visto lo cual, cabe especular con las siguientes dos hipótesis sobre cómo invertirás en medidas de seguridad en función de cómo se te presente la información (Young, Beebe, & Chang, 2012): Hipótesis 1: Cuando se te presentan positivamente dos opciones de inversión en medidas de seguridad de la información, preferirás la opción de mayor certidumbre. Hipótesis 2: Cuando se te presentan negativamente dos opciones de inversión en medidas de seguridad de la información, preferirás la opción de menor certidumbre. Veámoslo con un ejemplo. Imagínate que tu empresa te ha asignado un presupuesto para un paquete de seguridad de la información. Sin esa inversión, se estima que tu empresa experimentará pérdidas por un total de 600.000,00€ (en esta cantidad se incluyen las pérdidas financieras, físicas, datos, reputación, tiempo, etc.). ¿Cuál de los dos paquetes A o B siguientes elegirías en cada escenario? Escenario 1: Opciones presentadas positivamente: Paquete A: Conseguirás salvar con seguridad 200.000,00€ de activos. Paquete B: Existe una probabilidad de 1/3 de que salves los 600.000,00€ de activos y una probabilidad de 2/3 de que no salves nada. Escenario 2: Opciones presentadas negativamente: Paquete A: Se perderán con seguridad 400.000,00€ de activos. Paquete B: Existe una probabilidad de 1/3 de que no se pierda ningún activo y una probabilidad de 2/3 de que se pierdan los 600.000,00€ de activos. Por supuesto, se trata de los dos mismos escenarios del inicio de este capítulo, aunque replanteados en términos de decisión de seguridad. Aunque los paquetes A y B en ambos escenarios conducen a la misma utilidad esperada, según la Teoría Prospectiva, en la práctica la mayoría de los directores de seguridad escogerán la A en el primer escenario (más vale salvar algo con seguridad que arriesgarse a no salvar nada) y escogerán la B en el segundo escenario. No obstante, un experimento mostró que en este segundo caso tantos eligieron uno como otro, si acaso con preferencia por la A (Arora, Steinbart, & Shao, 2006). ¿Qué importancia tienen estos resultados para tu día a día? Resulta imposible enumerar todos los posibles ataques y calcular su probabilidad y su impacto, según la fórmula tradicional para computar el riesgo. Así que debes estar en guardia ante procesos mentales que te alejen de decisiones óptimas: Es muy fácil sobreestimar las pequeñas probabilidades, lo que te puede llevar a invertir en soluciones para proteger ante amenazas muy llamativas, pero de muy baja prevalencia. Puedes invertir en APTs de nombres rimbombantes y olvidarte de que la mayoría de los ataques se producen a través de métodos muy pedestres y nada glamurosos: phishing, inyecciones en páginas web, malware de toda la vida recompilado y reempaquetado contra el que existen parches, … En fin, lo de siempre, que poco o nada tiene que ver con «avanzado», «inteligente» ni«sofisticado», aunque persistentes sí que son, ya que las amenazas más exitosas de hoy son las de ayer. Nihil novum sub sole. No caigas en la trampa de la sensibilidad decreciente. La curva en forma de S se va aplanando. Eso significa que un primer incidente causa mucho más impacto y revuelo que el décimo incidente de la misma magnitud. Cada ataque «dolerá» menos que el anterior a igualdad de pérdidas. La organización se va insensibilizando. Por eso es tan importante actuar desde el primer incidente, cuando la organización está «en carne viva». Cuanto más tardes en actuar, aunque el incidente se repita, se irá considerando cada vez menos y menos impactante. Después de todo, aquí seguimos, ¿no? Habrás sucumbido a «la muerte de los mil cortes de papel». Para el defensor, un ataque tiene éxito o no lo tiene, el resultado es todo o nada. Si un ataque tiene un éxito del 1%, no estás protegido en un 99% porque, si te atacan con éxito, habrás sucumbido al 100%. Un incidente exitoso y grave desplazará drásticamente tu punto de referencia hacia el abismo de las pérdidas. Ya no te sentirás tan seguro como antes del incidente. La organización invertirá posiblemente en un intento de traer de vuelta el punto de referencia a su estado inicial. Cambiar el punto de referencia hace que cambie tu sensibilidad ante los mismos incidentes: si lo has bajado, un incidente que antes te habría horrorizado ahora te dejará casi indiferente; y al revés. Conviene revisar este punto de referencia, usando todas tus métricas y medidas del riesgo a tu alcance. ¿Susto o muerte? Como ingeniero de seguridad o «Defensor», te encuentras típicamente en el cuadrante de las Pérdidas: Hagas lo que hagas, pierdes. Si los ataques tienen éxito, has fallado en su defensa: has perdido; si no queda constancia de ataques exitosos, ¿has ganado?, no, te dirán que has gastado en seguridad más de lo necesario: has perdido. Hacer los deberes no te hará ganar más dinero; fallar en hacerlos, te hará perder montañas de dinero. Nadie dijo que el trabajo en ciberseguridad fuera fácil ni agradecido, es peor que el de portero de fútbol. Operar desde el cuadrante de las pérdidas fomenta una conducta de búsqueda de riesgo: es posible que arriesgues más en aras de una defensa total, pasando por alto soluciones seguras contra amenazas menores. Dependiendo de cuál sea tu «riesgostato», búsqueda del riesgo o evitación del riesgo, tenderás a reaccionar de una u otra manera, puenteando así tu racionalidad. Las personas con tendencia al riesgo elegirán las opciones B. En la práctica, tendemos a la certidumbre ante la ganancia y al riesgo ante la pérdida. Por este motivo, cuando estés tomando una decisión de seguridad, detente a reflexionar: ¿Cómo me están planteando esta opción? ¿Como una ganancia o como una pérdida? ¿Cómo suelo comportarme en estos dos escenarios? ¿Tiendo a buscar la seguridad o el riesgo? ¿Quién está tomando la decisión, el Sistema 1 o el Sistema 2? Del mismo modo, cuando plantees una opción de inversión ante el comité o ante los decisores, tienes la posibilidad de hacerlo desde la ganancia o desde la pérdida. En el primer caso, plantea la certeza de la ganancia y huye de las probabilidades y del riesgo. En el segundo caso, en lugar de plantear una pérdida segura, aunque pequeña, plantea la posibilidad de no perder (aunque te arriesgues a una gran pérdida) y enfatiza su alta probabilidad. Por consiguiente, a la hora de enmarcar una inversión en seguridad, haz uso del deseo de ganar con certeza. En lugar de plantear la inversión en seguridad como la protección esperada ante hipotéticas amenazas que podrían no materializarse, enfócate en las ganancias ciertas e indiscutibles: mejora de la reputación, confianza de los clientes, procesos y operaciones eficaces, cumplimiento normativo, etc. Trata de llevar la discusión al cuadrante de las ganancias y habla sobre cuestiones cuya evidencia sea aplastante. Busca la ganancia segura y huye de las probabilidades y los futuribles. Por mucho que te esfuerces, tus decisiones nunca serán ideales o perfectas. Te verás sometido a innumerables restricciones y condicionantes: de recursos (económicos y personales), culturales, legislativos, etc. Y, además, tienes que añadir a la ecuación tu propio comportamiento ante el riesgo, influido a su vez por otros muchos factores de los cuales ni siquiera eres consciente. Los ciberseguros son un producto en auge. Su objetivo es que una empresa pueda asegurarse contra la posibilidad de robo de datos a través del delito cibernético, al igual que puede asegurarse contra la posibilidad de un incendio en sus oficinas. A pesar de lo bien que suena, las empresas no se están asegurando contra la posibilidad de robo de datos y daño a la reputación, los juicios consiguientes y la probable caída en Bolsa posterior. ¿Por qué? Además de los problemas de demostrar que la empresa asegurada está haciendo los deberes en materia de ciberseguridad, otro problema es de índole más bien psicológica. Las primas de seguro son esencialmente una pérdida pequeña pero segura: una vez al mes o una vez al año, el titular de la póliza sabe con 100% de certeza que tendrá que pagar una cantidad fija de dinero. Sin embargo, muchas organizaciones optan por apostar, prefiriendo en cambio una pérdida incierta, pero potencialmente mucho mayor, en el caso de una violación de datos. Este capítulo pretende ayudarte a aflorar a la conciencia algunos de esos factores. Tenlos en cuenta en tus próximas decisiones de seguridad. Se tiende a aceptar una ganancia incremental en seguridad antes que la probabilidad de una ganancia mayor; del mismo modo, se tiende a arriesgarse a una gran pérdida antes que aceptar la certeza de una pérdida menor. ¿Tú también? CAPÍTULO 4: EL EFECTO MARCO ASÍ COMO TE PRESENTEN LA INFORMACIÓN, ASÍ TOMARÁS LA DECISIÓN Has recibido una alerta de ciberinteligencia. Se avecina un terrible ciberataque de grandes dimensiones. Eres responsable en tu organización de la protección de 600 puestos de trabajo. No tienes mucho tiempo. Puedes elegir implantar uno de entre dos programas de seguridad. ¡Necesitas tomar la decisión ya! 1. Si eliges el programa A, podrás proteger 200 puestos de trabajo. 2. Si eliges el programa B, existe una probabilidad de un tercio (1/3) de proteger los 600 puestos de trabajo y una probabilidad de dos tercios (2/3) de no proteger ninguno. Una cantidad sustancial de encuestados escoge el programa 1: prefieren salvar 200 puestos de trabajo sobre seguro que jugársela y no salvar ninguno. Visitemos ahora un nuevo escenario de ciberseguridad. Ante la necesidad de proteger los mismos 600 puestos de trabajo, puedes elegir entre dos nuevos programas: 1. Si eliges el programa A’, se comprometerán 400 puestos de trabajo. 2. Si eliges el programa B’, existe una probabilidad de un tercio (1/3) de no comprometer ningún puesto de trabajo y una probabilidad de dos tercios (2/3) de comprometer los 600 puestos de trabajo. Lee atentamente esta segunda versión. ¿Has notado que es idéntica a la primera? Al estar tan seguidas una de otra, posiblemente sí que lo hayas visto inmediatamente. Las consecuencias de A y A’ son las mismas. E igualmente ocurre para B y B’. Y, sin embargo, en el segundo escenario, la mayoría, incluso tal vez tú mismo, elige el programa B’. Este ejemplo pone de manifiesto el poder de los Marcos: el contexto de una elección afecta a la elección tomada. LA MISMA INFORMACIÓN PRESENTADA DE FORMAS DIFERENTES EVOCARÁ EMOCIONES DIFERENTES Cuando haces una foto de la realidad con tu smartphone, ¿es objetiva esa foto? El hecho de que lo apuntes en una dirección u otra hará que el observador contemple solamente la «ventana de realidad» que tú has elegido mostrarle. Esta ventana o «marco» no manipula necesariamente la realidad, pero la estructura de una forma sesgada. Quien observe la realidad a través de tu marco se quedará con una imagen bien distinta de la ofrecida por un marco distinto. Misma realidad, dos visiones distintas del mundo. Al igual que la fotografía puede mostrarnos distintas versiones de la «realidad objetiva ahí afuera», usamos continuamente «marcos mentales» al representarnos mentalmente la realidad. La elección consciente o inconsciente de estos marcos determinará poderosamente nuestras decisiones. Los marcos construyen la realidad que ves. Los marcos pueden crearse de formas muy variadas a la hora de plantear decisiones de seguridad: La positividad (ganancia) o negatividad (pérdida) de las opciones El orden en el que se presentan las opciones El contexto en el que se presentan las opciones El tipo de lenguaje (semántica) en el que se expresan las opciones La información adicional incluida u omitida al presentar las opciones El efecto del anclaje Veámoslas de una en una. LA POSITIVIDAD (GANANCIA) O NEGATIVIDAD (PÉRDIDA) DE LAS OPCIONES Este efecto fue tratado en profundidad en el capítulo anterior: Eres menos racional de lo que crees cuando tomas decisiones de riesgo en condiciones inciertas. Te resumo aquí sus conclusiones: Si se enmarca la elección como una ganancia, la gente tenderá a evitar el riesgo y buscar la ganancia segura, aunque pequeña. Enmarca la elección como una pérdida, y la gente preferirá arriesgarse a una gran pérdida que perder sobre seguro, aunque sea poco. Los dos escenarios planteados al comienzo de este capítulo son un ejemplo de este marco. Pero la vida a nuestro alrededor rebosa de ejemplos similares. ¿Cómo anunciarías un cortafuegos? 1. Protege frente al 99,9% de los ataques 2. Deja pasar el 0,1% de los ataques Obviamente, tendrás más éxito con el primer anuncio, a pesar de que ambos marcos ofrecen exactamente la misma información (lo que se conoce como «marcos puros»). Sólo cambia el foco. Por tanto, no existe en este caso un marco «correcto». Tan válido es el primero como el segundo, aunque sus efectos en la decisión tomada son predecibles. ¿Qué frase elegirías para convencer a la Dirección de invertir en tu Plan de Seguridad? 1. Con el nuevo Plan de Seguridad ahorraremos 350.000€ el próximo año 2. Con el nuevo Plan de Seguridad evitaremos perder 350.000 € el próximo año Siendo como somos, la segunda frase probabilidad de conseguir el visto bueno. tiene mayor EL ORDEN EN EL QUE SE PRESENTAN LAS OPCIONES ¿Nunca te has preguntado durante un evento qué era mejor, si ser el primer orador en salir o el último? En ocasiones, la información presentada en primer lugar ejerce la mayor influencia: el efecto de primacía. En otras ocasiones, la que más impacto tiene es la información presentada al final: efecto de recencia. Por ejemplo, tienes que seleccionar un candidato como director de seguridad. En su ficha psicológica aparece descrito como: Inteligente, Trabajador, Impulsivo, Crítico, Tozudo y Envidioso (Asch, 1946). ¿Cómo lo calificarías? Lo más probable es que los dos primeros adjetivos, Inteligente y Trabajador, condicionen la interpretación que hagas de los siguientes. En principio, son rasgos positivos y hacen que te formes una impresión inicial positiva. Crean un filtro positivo que tamizará positivamente el resto de los adjetivos. Por ejemplo, Tozudo lo interpretarás positivamente, queriendo decir que es persistente y que no se detiene ante los obstáculos. Figura 5. Ficha del trabajador, versión A. Imagina ahora que la lista de calificativos hubiera sido: Envidioso, Tozudo, Crítico, Impulsivo, Trabajador, Inteligente. En este caso, a pesar de ser los mismos adjetivos, aunque en orden inverso, posiblemente te habrías formado una peor impresión del candidato, ya que los dos primeros rasgos, Envidioso y Tozudo, son considerados como negativos. De ahí que el filtro mental que te formes será negativo y todos los demás adjetivos los interpretarás negativamente. Por ejemplo, ahora Tozudo lo entenderás más bien como cabezón y burro, impermeable a la crítica. Figura 6. Ficha del trabajador, versión B. ¡Qué diferente interpretación en función del orden! Así pues, si estás describiendo una posible solución a un cliente o a tu jefe, el orden en el que presentes la información irá condicionando su sentimiento hacia ella. Si empiezas por lo positivo, crearás un marco inicial positivo, que hará que sean más permisivos más adelante con lo negativo. Y al revés: empieza por lo negativo y crearás un marco negativo que hará que tiendan a ver bajo una luz negativa todo lo demás. Más adelante en el libro, al hablar sobre los empujoncitos, veremos otras maneras de influir en el comportamiento jugando con el formato de presentación de las opciones a elegir. EL CONTEXTO EN EL QUE SE PRESENTAN LAS OPCIONES Un amigo muy aficionado al buen vino te ha invitado a cenar a su casa. Pongamos que no tienes ni idea de vinos. Quieres llevarle uno. Vas a la tienda y te encuentras tres botellas: una vale 1,50 €; la segunda vale 9,50 €; la tercera vale 23,50 €. ¿Cuál compras? Si eres como la mayoría de la gente, elegirás la opción en el medio. Tendemos a evitar los extremos. Esta es la técnica utilizada cuando nos quieren «colocar» algo: enmarcarlo entre extremos. Imagina ahora que necesitas que tu jefe apruebe tu presupuesto de seguridad de 1 M€ para el año que viene. ¿Cómo aumentas la probabilidad de que lo acepte? 1. Le presentas tres presupuestos: 500 K€, 1 M€ y 2 M€ 2. Le presentas tres presupuestos: 250 K€, 500 K€ y 1 M€ Sin duda la opción 1 te acercará al éxito. Evita los extremos. Y cuando solo tengas una opción que proponer, inventa otras dos para situarlas a uno y otro lado de la tuya. EL TIPO DE LENGUAJE (SEMÁNTICA) EN EL QUE SE EXPRESAN LAS OPCIONES Existen dos formas de dar la noticia del embarazo de tu novia: 1. ¡Mamá! ¡He dejado embarazada a mi novia! 2. ¡Mamá! ¡Vas a ser abuela! El marco mental que elijas para tu mensaje puede determinar la reacción emocional de la audiencia: puedes decir exactamente lo mismo enmarcándolo de formas diferentes y, de este modo, conseguir evocar emociones opuestas. Lo vemos repetidamente en el mundo de la política. Es distinto debatir sobre el «matrimonio gay» que sobre la «libertad para casarse». Los políticos hablan en España de «ajustes» en lugar de «recortes» y, en la Unión Europea, de «medidas de estabilidad» en lugar de «medidas de rescate». En la guerra, se habla de «daños colaterales» en lugar de «matanza de civiles» y al «bombardeo» se lo llama «ataque de defensa reactiva». Estos marcos buscan la activación de emociones viscerales, como odio, ansiedad, miedo o euforia. Piensa en tu trabajo. Al referirte a un cortafuegos, no es igual hablar de: 1. Una barrera de protección imprescindible 2. Un mecanismo básico de supervivencia La segunda opción suscita una respuesta más visceral. Cuando enmarcas estás seleccionando y resaltando algunos aspectos de los acontecimientos o asuntos y estableciendo relaciones entre ellos con el fin de promover una determinada interpretación, evaluación y/o solución. CUANDO UNA PROBABILIDAD DEL 24,14% PARECE MENOR QUE UNA DEL 12,86% K. Yamagishi demostró en un experimento que los sujetos consideraron que una enfermedad era más peligrosa cuando se describía que mataba a 1.286 personas de cada 10.000, en comparación con una enfermedad que tenía una probabilidad del 24,14% de ser mortal (Yamagishi, 1999). Al parecer, la imagen mental de cientos de cadáveres es mucho más alarmante y familiar, que una probabilidad abstracta, que ni da miedo ni resulta familiar a nuestro cerebro anumérico. LA INFORMACIÓN ADICIONAL INCLUIDA U OMITIDA AL PRESENTAR LAS OPCIONES En julio del 2013 se produjo un desgraciado accidente del Alvia junto a Santiago de Compostela. ¿Te parece igual proporcionar la siguiente información sobre el comportamiento del maquinista en el momento del siniestro? 1. El maquinista hablaba por teléfono 2. El maquinista atendía una llamada de un controlador de RENFE En el segundo caso, la información adicional cambia de raíz tu perspectiva sobre la actuación del maquinista. Añadir u omitir información puede sesgar completamente la decisión. Imagina el siguiente escenario: Eres el responsable de seguridad de una empresa multinacional con 100.000 trabajadores. Un malware se está extendiendo por los equipos de los empleados, causando estragos. La mayoría de las infecciones han tenido lugar en la unidad de un país con 5.000 personas, aunque también ha afectado a otras unidades de la organización en otros países, pero anecdóticamente. La Dirección te ha aprobado un presupuesto para atajar la infección. Tienes dos opciones para gastarlo: 1. El Plan A salvará el 20% de los equipos de la unidad de 5.000 empleados de ese país donde residen casi todas las infecciones, el más castigado. 2. El Plan B salvará el 2% de los equipos de toda la organización de 100.000 empleados. ¿Qué harías? ¿Cuál de los dos planes te parece el mejor? Por favor, decídete antes de seguir leyendo. Ahora considera la misma situación, pero enmarcada de la siguiente manera: 1. El Plan A salvará 1.000 equipos 2. El Plan B salvará 2.000 equipos ¿Cuál elegirías ahora? Cuando se le presenta la primera versión del escenario a la gente, la mayoría elige el plan A, que permitiría salvar al 20% de los que sufren el mayor riesgo. Sin embargo, cuando se les presenta el segundo marco, se les enciende la bombilla y entonces todos eligen el Plan B. En este caso, eliminar información (los porcentajes) aclara en la mente de los encuestados la opción correcta. Por lo tanto, unas veces añadir información y otras veces eliminarla puede conducir a la decisión «correcta». Sé muy cuidadoso cuando enmarques una decisión porque del marco elegido dependerá la decisión tomada. TU DECISIÓIN DEPENDERÁ PRESENTEN LA INFORMACIÓN DE CÓMO TE Como ves, no somos tan libres como nos gustaría. No evaluamos todas las opciones con fría objetividad, sopesando sus impactos y probabilidades y optimizando las funciones de valor esperado. El «homo economicus» es un mito. Nuestras decisiones están condicionadas por el tipo de información disponible, por cómo se expresa verbalmente, en qué contexto se proporciona y en qué orden. Somos víctimas de nuestros sesgos y heurísticas. La próxima vez que tengas que tomar una decisión de seguridad importante, párate a reflexionar y analiza el contexto de la elección. Tal vez así llegues a tomar mejores decisiones. CAPÍTULO 5: EL SESGO DE CONFIRMACIÓN BUSCAMOS LA INFORMACIÓN QUE NOS REASEGURA EN NUESTRAS DECISIONES DESCARTANDO LA EVIDENCIA EN CONTRA Imagínate que estás en un laboratorio de psicología durante un experimento. Te piden que examines esta serie numérica: 2, 4, 6 La serie obedece una cierta regla. ¿Cuál crees que es? Puedes elegir más secuencias de tres números, decírselas al experimentador y éste te confirmará si obedecen o no la regla. Puedes proponerle tantas nuevas secuencias de tres números como quieras. En cuanto estés seguro, tienes que anunciarle la regla y él te dirá si la has adivinado o no. Pues bien. ¿Cuál es la primera secuencia de tres números que propondrías para deducir cuál es la regla que obedece la secuencia 2, 4, 6? Antes de seguir leyendo, por favor, piénsalo bien. ¿Qué tres números usarías? Piénsalo un poco más… No leas aún la respuesta… Estoy seguro de que en cuanto has visto la secuencia del problema, 2, 4, 6, la primera regla que te ha venido a la cabeza es «números pares que crecen de dos en dos». He realizado este experimento docenas de veces y, en el 100% de los casos, me han planteado secuencias como 8, 10, 12. Es decir, me plantean tres números pares consecutivos con el objetivo de confirmar su hipótesis. ¿Me habrías planteado tú una secuencia similar? Yo les digo que, efectivamente, esas secuencias como 8, 10, 12 ó 10, 12, 14 ó similares cumplen la regla. Entonces me proponen secuencias como 100, 102, 104 ó parecidas. ¿Tú también lo habrías hecho? Y después de plantear dos o tres secuencias semejantes, quedan completamente convencidos y anuncian: «La regla es números pares que crecen de dos en dos». Naturalmente, ¡esa no es la regla! Entonces cambian de regla y me plantean series como 11, 13, 15. Y les digo que cumple la regla. Alentados, proponen 101, 103, 105. También cumple. Y entonces anuncian: «La regla es números que crecen de dos en dos». ¡Tampoco es la regla! Hay quien entonces plantea 5, 3, 1. No la cumple. Y así, poco a poco, finalmente llegan a la verdadera regla. ¿Tú la has intuido ya? La regla es cualquier serie de números en orden ascendente, sin importar la diferencia entre cada uno y el siguiente, como por ejemplo 1, 100, 1.000. ¿Qué está pasando aquí? ¿Por qué resulta tan difícil encontrar una regla tan fácil? Por la sencilla razón de que la gente trata de demostrar que su hipótesis es correcta: eligen ejemplos que confirman su hipótesis en lugar de elegir aquellos que la invalidan. La realidad es que ninguna hipótesis puede ser completamente demostrada. Basta un contraejemplo para tirarla por tierra. El primer cisne negro descubierto en Australia puso fin a la hipótesis sostenida durante siglos en Europa de que «todos los cisnes son blancos». En Ciencia ocurre continuamente. Nuevos descubrimientos desplazan viejas teorías echando por tierra hipótesis sostenidas en ocasiones durante siglos. Volviendo al experimento de la secuencia. Situ hipótesis inicial es «números pares que crecen de dos en dos», ¿qué series de números tendrías que proponer? En lugar de aquellas que la confirman, como 10, 12, 14, aquellas que la contradicen, como 9, 15, 29. ¿Lo ves? Esta secuencia incluye números impares que no ascienden de dos en dos. Si cumple la regla, tu hipótesis queda completamente descartada. Así avanzas hacia la respuesta verdadera. De la otra manera, por muchas secuencias que propongas que confirmen tu hipótesis, sólo te enquistarás en tu error. SI PIENSAS QUE ALGO ES VERDADERO, NO INTENTES CONFIRMARLO, TRATA DE REFUTARLO Este experimento fue diseñado y sus resultados publicados inicialmente por el psicólogo Peter Wason en los años 60 (Wason, On the failure to eliminate hypotheses in a conceptual task, 1960). De hecho, fue él quien acuñó el término «sesgo de confirmación» para referirse a nuestra tendencia a favorecer la información que confirma nuestras hipótesis, ideas y creencias personales, sin importar si son verdaderas o falsas. Por desgracia, aunque te expliquen que estás sometido a este sesgo de confirmación, seguirás buscando la información que confirme tus hipótesis y rechazando la que la refute. Estar sobre aviso no te libera del sesgo. ¿No te lo crees? Aquí tienes otro desafío de razonamiento lógico, creado por el propio Wason (Wason, 1968): Encima de una mesa hay cuatro cartas, dos muestran una letra cada una y otras dos muestran un número cada una: A D 3 7 Cada carta tiene un número en una cara y una letra en la otra. El desafío consiste en decidir qué cartas habría que voltear para verificar la siguiente regla: «Cualquier carta con una A en una cara tiene un 3 en la otra». En este caso, no te daré la solución todavía. Sólo te doy una pista: no trates de validar tu hipótesis, trata de refutarla. ¿Ya lo has pensado bien? Tienes la respuesta al final del capítulo. BUSCAMOS LA EVIDENCIA NUESTRA POSTURA QUE CONFIRMA Lo que vienen a mostrar estos experimentos es que una vez que te posicionas con respecto a un tema, es más probable que busques o des crédito a la evidencia que apoya tu postura, antes que a la evidencia que la desacredite. Y no vayas a pensar que funcionamos así sólo para ejercicios de salón o para elaborar teorías científicas. Sucumbimos a este sesgo en nuestro día a día, a todas horas y en todo tipo de tareas e interacciones con otras personas. Cuanto más te aferras a una hipótesis, más difícil te resultará considerar otras contradictorias. Figura 7. El sesgo de confirmación surge cuando buscamos y solo aceptamos los hechos que refuerzan nuestros prejuicios y creencias. La explicación es bien sencilla. Evaluar información es una actividad intelectualmente costosa. Nuestro cerebro es perezoso y prefiere los atajos de pensamiento. Así ahorra tiempo al tomar decisiones, especialmente bajo presión o ante una gran incertidumbre. Al final priorizamos la información que nos permite llegar rápidamente a la conclusión que favorecemos. No lo hacemos por maldad, es más por la ley del mínimo esfuerzo. Esta tendencia a buscar información confirmatoria puede conducir a todo tipo de falsas creencias y a malas decisiones, ya que siempre podrás encontrar evidencia que confirme (casi) cualquier idea. ¿Fumas y quieres creer que fumar no es tan malo para la salud? Seguro que tienes un pariente que murió a los 98 años fumando un cartón al día. ¿Eres sedentario y te resistes a creer que hacer deporte sea tan sano? Seguro que tienes otro pariente que se cuidaba todo el día y se murió de un infarto a los 38. ¿Usas la misma contraseña para todos los servicios y no crees que necesites cambiarlas? Seguro que llevas años así y nunca te ha pasado nada, así que, ¿por qué habría de pasarte mañana? Pero ya te habrás dado cuenta de que la existencia de evidencia a favor de una afirmación no basta para llegar a una conclusión firme, puesto que podría existir otra evidencia en su contra: gente que ha muerto de cáncer de pulmón como consecuencia directa del tabaco, gente que ha muerto de infarto como consecuencia de riesgo cardiovascular acumulado tras años de sedentarismo y obesidad o gente a la que le hackearon una cuenta porque obtuvieron la contraseña (idéntica) de otra cuenta. El mayor riesgo del sesgo de confirmación es que si buscas un único tipo de evidencia, con toda seguridad, la encontrarás. Necesitas buscar ambos tipos de evidencia: también la que refuta tu postura. NO ESTÁS TAN ABIERTO AL CAMBIO COMO TE GUSTA CREER Según el profesor Stuart Sutherland, autor de Irracionalidad: El enemigo interior, cambiar nuestras ideas e hipótesis sobre la realidad resulta sumamente difícil por varios motivos (Sutherland, 2015): 1. Evitamos de forma consistente exponernos a evidencia que pueda refutar nuestras hipótesis. 2. Si recibimos evidencia contraria a nuestras creencias, tendemos a descartarla. 3. La existencia de una creencia previa distorsiona nuestra interpretación de nueva evidencia haciéndola consistente con dicha creencia. 4. Recordamos antes y mejor lo que está alineado con nuestras creencias. 5. Queremos proteger nuestra autoestima, lo que nos lleva a encerrarnos en la postura adoptada para no dar el brazo a torcer. El sesgo de confirmación es omnipresente en la vida del profesional de la ciberseguridad. Lo podemos ver a diario: Si eres un tecnólogo, creerás que la tecnología es la solución a tus problemas de seguridad. Si la tecnología falla, echarás la culpa a las personas que la gestionan o usan o a los procesos implantados. Buscarás y destacarás los éxitos de la tecnología e ignorarás y subestimarás sus fracasos. Inflarás así, consciente o inconscientemente, su efectividad real. En una auditoría de seguridad es muy común saltar a conclusiones nada más reunir un par de evidencias. Has encontrado algo y rápidamente te creas una explicación. Una vez formada una opinión al poco de empezar a investigar la seguridad de un sistema, pasarás más tiempo buscando evidencias que confirmen tu primera impresión que buscando las que la contradigan. Sitienes que contratar un profesional de seguridad para tu organización y crees que los que poseen certificaciones tipo CISSP, CEH, CISM, etc., están mejor preparados, entonces encontrarás todo tipo de evidencias para apoyar tu creencia. Pongamos que eres responsable de seguridad de tu organización. Si su CEO cree en la importancia de invertir en seguridad, se enfocará en los logros de tu departamento; si cree que es un gasto innecesario, se centrará en tus errores y brechas, ignorando los éxitos pasados. Los expertos de seguridad de la organización o los contratados externamente son eso: expertos. Y es muy humano que quieran aparecer como tales ante los demás. Esta aureola de «experto» hace que todos confíen en sus juicios iniciales, lo que viene a hacer innecesario buscar soluciones alternativas. Después de todo, si el experto ha dicho que esta es la solución, ¿para qué buscar otras? El propio experto tenderá a descartar otras propuestas si siente amenazado su papel de experto. Ahondando en esta línea, no hay nada más peligroso que juntar en una sala a un grupo de expertos, porque entonces casi con total seguridad aparecerá lo que se conoce como «pensamiento grupal»: cada miembro del grupo intenta conformar su opinión a la que cree que es el consenso del grupo, hasta que el grupo se pone de acuerdo en una determinada acción que cada miembro individualmente considera desaconsejable. Cuando todos piensan lo mismo, es que nadie está pensando. Relacionada con la anterior está la cuestión del «falso consenso». A veces invitamos a reuniones para tomar decisiones a personas que sabemos que comparten nuestras ideas y que opinarán como nosotros. Un ejemplo de esta incapacidad para generar hipótesis comprobables fue la alarmante práctica utilizada por un usuario en un estudio de phishing para determinar si un sitio era genuino o no: introdujo su nombre de usuario y contraseña, y asumió que, si el sitio le permitía entrar, entonces era el auténtico, ya que solo el sitio genuino sabría su contraseña (Dhamija, Tygar, & Hearst, 2006). GUÍA DE SUPERVIVENCIA PARA EL PROFESIONAL DE LA CIBERSEGURIDAD Te guste o no, tú como yo estamos sujetos al sesgo de confirmación. Aquí tienes una guía a modo de checklist que puedes usar antes de tomar decisiones importantes. Me he apoyado en algunos consejos del libro Irracionalidad de Stuart Sutherland. Antes de decidirte, asegúrate de que has dado los siguientes pasos: R He buscado activamente evidencia que refute mis creencias. R He buscado más de una hipótesis, de manera que he podido barajar un mínimo de dos hipótesis antagonistas. R He dedicado tiempo y atención a considerar con total seriedad la información que ha entrado en conflicto con mis creencias en lugar de descartarla inmediatamente. R No he distorsionado la nueva evidencia que he ido acumulando tras mi hipótesis inicial: he considerado cuidadosamente si puede interpretarse como refutación de mis creencias en lugar de como su confirmación. R No me he fiado de mi memoria: soy consciente de que recordamos con mayor facilidad lo que encaja con nuestra manera de ver las cosas. Por eso he consultado con otras personas y con datos y notas de sucesos pasados. R He contado con un abogado del diablo que ha cuestionado todas y cada una de mis hipótesis. Como se vio en el primer capítulo, los sesgos son una característica inherente del pensamiento humano. Conocerlos es el primer paso para evitarlos. En concreto, el sesgo de confirmación puede llegar a ser un problema en decisiones complejas. Usa este checklist en decisiones importantes y probablemente evitarás el sesgo de confirmación. Y recuerda que cambiar de parecer a la luz de nueva evidencia es un signo de fortaleza y no de debilidad. RESPUESTA AL RETO DE LAS CARTAS Carta A. Es correcto levantarla para comprobar si tiene un 3 en la parte posterior, porque en caso negativo, la regla no se confirma. Carta D. Es incorrecto voltearla porque en lo que respecta a la regla, es irrelevante qué número tiene en el otro lado. Carta 3. Esta es más interesante: la mayoría de las personas la eligen, pero están equivocadas. Independientemente de qué letra esté en la parte posterior, ya sea una A, B o Z, la regla podría seguir siendo cierta. Recuerda que la regla es que todas las As tienen un 3 en la parte posterior, no que todos los 3 tienen una A en la parte posterior. Dado que la letra en el reverso de esta carta no tiene relación con la veracidad de la regla, es incorrecto elegirla. Carta 7. Pocas personas eligen esta tarjeta, pero es crucial. Si resulta que tiene una A en la parte posterior, la regla no se confirmará, ya que establece que todas las As tienen un 3 en el otro lado. Luego es correcto levantarla. CAPÍTULO 6: EL SESGO DE DISPONIBILIDAD NO CONFUNDAS LA FRECUENCIA DE UN INCIDENTE CON LA FACILIDAD CON QUE LO RECUERDAS Imagina que ha habido un par de robos con violencia en dos parques cualesquiera de tu país. Durante días están acaparando todos los medios de comunicación. Esta tarde te gustaría salir a correr al parque junto a tu casa. Cuando pienses en la probabilidad de ser víctima de un robo (o algo peor) en tu parque, esos dos incidentes acudirán rápidamente a tu memoria: ¡¡¡Parque = Peligro!!! Las imágenes que has visto en TV y en Internet del asalto en otro parque cualquiera de otra ciudad e, incluso, de otra provincia, te harán sobreestimar la probabilidad de que tú seas la próxima víctima en tu parque. Como consecuencia, podrías evitar correr por el parque junto a tu casa (o cualquier otro parque) hasta que el eco mediático se apague. Sólo cuando dejes de pensar «¡¡¡Parque = Peligro!!», volverás a frecuentar los parques. Se trata de un comportamiento irracional a todas luces. De hecho, tu mente está usando la siguiente heurística: si me vienen con facilidad a la memoria ejemplos de algo, entonces ese algo tiene que ser común. Como al pensar en «parque» me acuden imágenes de violencia, entonces la probabilidad de que me ocurra algo violento tiene que ser muy alta. Después de todo, ¿quién se dedica a consultar las estadísticas oficiales sobre atracos en parques? Si asaltaron a dos personas en parques, eso significa que los parques son peligrosos, digan lo que digan las estadísticas, ¿o no? Pues no. Los psicólogos llaman a este error de juicio el sesgo de disponibilidad: cuanto más fácil de recordar nos resulta un acontecimiento, más probable creemos que es. TENDEMOS A SOBREESTIMAR LA FRECUENCIA DE CAUSAS SENSACIONALES Y SUBESTIMAR LA FRECUENCIA DE LAS CAUSAS MUNDANAS Los seres humanos somos realmente malos con los números y no digamos ya calculando probabilidades. Rara vez nuestra percepción de un riesgo coincide con su realidad. Tendemos a magnificar los riesgos espectaculares, novedosos, vívidos, recientes y emocionales. El resultado final es que nos preocupamos por riesgos que podríamos ignorar sin perjuicio y no atendemos suficientemente a riesgos sobre los que la evidencia nos alerta. Igualmente, tomamos a diario decisiones pequeñas y grandes con implicaciones directas en seguridad: ¿Me conecto a esta WiFi pública? ¿Introduzco este pendrive en mi puerto USB? ¿Envío este archivo confidencial adjunto por correo electrónico? Calculamos los riesgos de manera automática sin prestar demasiada atención consciente: no sacamos la calculadora ni las tablas de frecuencias de incidentes para computar las probabilidades. Así que nos dejamos guiar por esta heurística de disponibilidad: ¿Me viene a la mente rápidamente un incidente relacionado con este desafío de seguridad? ¿No? Entonces debe ser poco probable, luego el riesgo será bajo. ¿Sí? Entonces será bastante probable, por lo que el riesgo será alto. La cuestión es: ¿por qué algunos acontecimientos son más fáciles de recordar que otros? Saberlo nos ayudará a tomar mejores decisiones de seguridad y a no dejarnos influir tan fácilmente por los demás: vendedores, blogueros, prensa, amigos, etc. LOS BURILES DE LA MEMORIA En concreto, los investigadores del campo han identificado algunos factores que hacen que un acontecimiento se nos grabe en la memoria más duraderamente que otros: Cualquier contenido emocional hace que el recuerdo perdure más. Una de las emociones más poderosas en este sentido es precisamente el miedo. Algo que habrás notado en muchas noticias y anuncios sensacionalistas sobre ciberseguridad. Las palabras concretas se recuerdan mejor que las abstracciones como los números. Por eso tienen mucho mayor impacto las historias anecdóticas que las estadísticas. Aunque nos duela admitirlo (¿no éramos animales racionales?), nuestras decisiones se ven más afectadas por información vívida que por información pálida, abstracta o estadística. Las caras humanas tienden a grabarse en la memoria, al menos si están expresando emociones. Por eso los anuncios y campañas más exitosos tienen protagonistas con rostro propio. Los acontecimientos más recientes se recuerdan mejor que los antiguos. La memoria se degrada con el tiempo. Si circulas por la carretera y pasas junto a un accidente, serás muy consciente del riesgo de sufrir tú mismo uno, así que disminuirás la velocidad y circularás con precaución… durante unos pocos kilómetros hasta que la conversación vire hacia otro tema y olvides completamente la visión del siniestro. Del mismo modo, que un acontecimiento sea novedoso también ayuda a que se fije en la memoria. Lo cotidiano pasa desapercibido; lo extraordinario, llama la atención. Y como todos los estudiantes saben bien, la concentración y la repetición ayudan a la memorización. Cuantas más veces te expones a una información, mejor se te queda. ¡Qué bien lo saben los publicistas! Además, todos estos efectos son acumulativos. Resumiendo, según el psicólogo social Scott Plous (Plous, The Psychology of Judgment and Decision Making, 1993): En términos muy generales: (1) cuanto más disponible esté un evento, más frecuente o probable nos parecerá; (2) cuanto más vívida sea una información, más fácil de recordar y convincente resultará; y (3) cuanto más prominente (diferente al resto) es algo, más probable será que parezca causal. ¿Dónde crees que encontramos historias que cumplan todos estos requisitos? ¡En los medios! Figura 8. La heurística de disponibilidad nos impulsa a juzgar la frecuencia de eventos en el mundo por la facilidad con la que se nos ocurren ejemplos. SI SALE EN LAS NOTICIAS, ¡NO TE PREOCUPES! Como ocurre con otros muchos sesgos y atajos de pensamiento, en la mayoría de las situaciones de nuestra vida cotidiana la heurística de disponibilidad resulta válida: si se nos ocurren muchos ejemplos de algo es porque de verdad ha ocurrido muchas veces. Seguro que a todos nos resulta más fácil pensar en científicos hombres que mujeres, en franquicias mundiales estadounidenses que españolas o en futbolistas en la Champions League españoles que malteses, por la sencilla razón de que hay muchísimos más ejemplos en la primera categoría que en la segunda. La heurística de disponibilidad por tanto nos sirve bien la mayor parte del tiempo. La facilidad con la que recordamos ejemplos relevantes suele ser un buen atajo para estimar su probabilidad o frecuencia. Este atajo, sin embargo, no es infalible. Algunos sucesos pueden ser simplemente más memorables que otros, por lo que su disponibilidad resulta ser un pobre indicador de su probabilidad. Y, en buena medida, la información negativa que se reporta en las noticias es la responsable de alimentar esta heurística. Por definición, para que algo salga en las noticias tiene que ocurrir rara vez. De hecho, tiene que ser tan prominente, que atraiga la atención. Así, las noticias informan de lo estadísticamente irrelevante, sesgando nuestra percepción sobre la frecuencia de los acontecimientos. Como resultado, si las personas evalúan su riesgo por la facilidad con que pueden recordar varios peligros, se preocuparán especialmente por los peligros a los que están expuestos en los medios de comunicación y no tanto por los peligros que reciben menos atención, incluso si son tanto o más letales. Por este motivo tendemos a creer que es más probable morir en un accidente que de una enfermedad: porque el choque brutal de dos vehículos en un puente sobre un precipicio recibe mayor cobertura mediática que la muerte por asma, a pesar de que mueren 17 veces más personas por enfermedad que por accidente. Pero claro, todos los días vemos noticias de accidentes mientras que solo nos enteramos de una muerte por asma si acaece a un amigo o familiar. Más aún. Algunos investigadores afirman que, para que esta heurística funcione, el suceso ni siquiera tiene que haber ocurrido realmente. Puede ser pura ficción: tan solo basta con que lo hayamos visto en una película o serie. Y, por supuesto, los medios audiovisuales son más vívidos que los escritos (¡y salen más caras humanas!). Con el tiempo, uno olvida dónde vio un suceso, si en el cine o en el telediario; la fuente de la información va difuminándose y sólo sobrevive el ejemplo en sí mismo, real o ficticio. ¡Como para fiarse de la disponibilidad de un ejemplo! En palabras de Daniel Kahneman (Kahneman, Pensar rápido, pensar despacio, 2011): «El mundo que imaginamos no es una réplica precisa de la realidad. Nuestras expectativas sobre la frecuencia de los acontecimientos están distorsionadas por la prevalencia y la intensidad emocional de los mensajes que nos llegan.» CÓMO SOBREVIVIR A LA HEURÍSTICA DISPONIBILIDAD EN LA CIBERSEGURIDAD DE El primer paso para combatir un sesgo es conocer su existencia. Si has llegado hasta aquí, ya tendrás una idea clara de cómo funciona nuestra heurística de disponibilidad. A partir de ahora, ¿qué puedes hacer? Como ya sabes, bajo la influencia de la heurística de disponibilidad, los usuarios tienden a sobreestimar la probabilidad de eventos vívidos y sorprendentes y se centrarán en la información fácil de recordar. Como responsable de seguridad puedes explotar este efecto proporcionando a los usuarios historias sencillas y fáciles de recordar en lugar de citar información y datos estadísticos: por ejemplo, compartiendo con los usuarios historias sobre cómo la exfiltración de datos de un prototipo secreto condujo a un importante caso de espionaje industrial donde se robó un dispositivo USB sin cifrar, en lugar de limitarte a presentar la evidencia de que «más de la mitad de los empleados reportan haber copiado información confidencial en unidades flash USB, a pesar de que el 87% de esas compañías tenían políticas que prohibían la práctica». De hecho, la historia puede acompañar maravillosamente a la estadística, ayudando a «humanizarla». Haz uso además de la repetición: cuando más repitas un mismo mensaje, a poder ser con buenos ejemplos, más fácilmente acudirán esos ejemplos a la memoria de los usuarios y, con ellos, el mensaje. Aprovéchate del ruido mediático de incidentes de seguridad para utilizarlos como vectores de transmisión de tus mensajes de seguridad. Huye de las abstracciones y de los datos impersonales: ancla tus mensajes en el último ejemplo del que todo el mundo habla. Presta más atención a las estadísticas que al peligro del día. No bases tus juicios en pequeñas muestras de casos representativos, sino en los grandes números. Que algo salga últimamente mucho en los medios no significa que sea frecuente o de alto riesgo, solo que es noticioso, es decir, que constituye una buena historia. Tampoco confíes en tu memoria. Echa mano de los datos antes de decidir sobre la frecuencia o magnitud de un suceso. Bajo esta heurística, nos sentimos más impelidos a instalar contramedidas de seguridad después de haber sufrido un incidente que antes de sufrirlo. Consulta las estadísticas para entender qué riesgos reales os acechan. Y no esperes a ser golpeado para protegerte. Si el riesgo es alto, ignora la cobertura mediática que reciba el peligro. ¡Protégete ya! Recordamos más un incidente que la falta de incidentes. Al fin y al cabo, todo incidente es en sí mismo una historia, mientras que la ausencia de incidentes no construye una historia demasiado seductora. Por ejemplo, en los casinos suenan a todo volumen las músicas de las máquinas tragaperras cuando consiguen un jackpot; pero las que no ganan, no emiten sonido alguno. Esta asimetría te hará pensar que el jackpot es mucho más frecuente de lo que realmente es. Presta atención no solo a lo que ves, sino también a lo que no ves. Es fácil recordar un virus con éxito; difícil, millones de virus que no tuvieron éxito. Rodéate de un equipo con diversas experiencias y puntos de vista. El mero hecho de la diversidad limitará la heurística de disponibilidad porque los miembros de tu equipo se desafiarán entre sí de forma natural. Utiliza tu red de contactos más allá de tu organización al tomar decisiones. Permite que otros te traigan perspectivas que simplemente no podrían existir dentro de tu organización. En otros grupos circularán otras historias que sesgarán sus juicios en otras direcciones. Así pues, la próxima vez que tomes una decisión, haz una pausa para preguntarte: «¿Estoy tomando esta decisión porque me viene a la mente un acontecimiento reciente o realmente estoy tomando en consideración otros factores que no puedo recordar tan fácilmente?». Cuanto mejor entendamos nuestros sesgos personales, mejores decisiones tomaremos. CAPÍTULO 7: EMPUJONCITOS SI QUIERES CAMBIAR LOS HÁBITOS DE SEGURIDAD DE TUS EMPLEADOS NO APELES ASU VOLUNTAD, CAMBIA SUENTORNO Estás en una cafetería. Necesitas conectar tu smartphone a una WiFi. Miras tu pantalla y ves estas opciones. Supón que conoces o puedes pedir la contraseña en caso de que se te exigiera una. ¿Qué WiFi elegirías? Figura 9. Grupo A de opciones disponibles para conectarte a una WiFi. Dependiendo de tu nivel de concienciación en seguridad, irías a por la primera, mi38, que parece tener la mejor cobertura, o a por v29o, que no está mal de cobertura, pero es segura y pide contraseña. Imagina que estás en la misma cafetería, pero en la pantalla de tu smartphone aparece esta nueva pantalla de listado de redes WiFi disponibles. ¿Cuál elegirías ahora? Figura 10. Grupo B de opciones disponibles para conectarte a una WiFi. Tengas o no conciencia elevada en materia de seguridad, apostaría a que seleccionas 3gk6. ¿Qué ha cambiado? Son las mismas redes WiFi, pero presentadas de forma diferente. Sin que seas ni siquiera consciente, esta presentación habrá influido en tu decisión. ¡Bienvenido al poder de los empujoncitos! ESOS PEQUEÑOS EMPUJONCITOS QUE TE INFLUYEN EN TUS DECIONES SIN QUE TE DES CUENTA DE QUE ESTÁN AHÍ En 2008, el premio Nobel de Economía Richard Thaler y Cass Sunstein publicaron Un pequeño empujón: El impulso que necesitas para tomar mejores decisiones sobre salud, dinero y felicidad, un libro que ayudó a popularizar la «teoría del empujón» (nudge) y el concepto de «arquitectura de la elección» (Thaler & Sunstein, 2017). Proponen que diseñando cuidadosamente qué opciones se muestran al público y de qué manera se presentan o enmarcan, se influirá sutilmente en la decisión tomada, sin restringir la libertad de elección. Según los autores, un empujoncito (nudge) es: «Cualquier aspecto de la arquitectura de elección que altera el comportamiento de las personas de una manera predecible sin prohibir ninguna opción o cambiar significativamente sus incentivos económicos.» En su libro mencionan docenas de casos de éxito de empujoncitos y de arquitecturas de la elección: pegatinas con forma de mosca en urinarios que consiguen que los hombres apunten bien y manchen menos; frutas y verduras colocadas al principio del lineal de un self-service que consiguen que los usuarios coman más de estos productos que si están al final; paneles variables en la carretera que por el mero hecho de mostrar la velocidad de los vehículos que se aproximan consiguen una reducción de su velocidad; formularios mostrando como predeterminada la opción de ser donante de órganos al morir que consiguen diferencias abismales en el número de donantes entre unos países y otros; y un larguísimo etcétera. La lectura del libro es entretenida e ilustrativa. Como ya vimos en capítulos pasados, nuestra racionalidad está limitada y nuestras decisiones están sometidas sistemáticamente a sesgos y heurísticas que producen resultados indeseados en ciertas situaciones complejas. Los empujoncitos se apoyan en el marco teórico del sistema dual de los dos sistemas cognitivos: Sistema I y Sistema II. Lo que caracteriza a estos empujoncitos es el hecho de que explotan nuestra irracionalidad. Con los años, el concepto de empujoncito se ha ido refinando y han aparecido nuevas definiciones. Una particularmente útil es la de P. G. Hansen (Hansen, 2017): «Un empujoncito es una función de (1) cualquier intento de influir en el juicio, la elección o el comportamiento de las personas de una manera predecible, que es (2) posible debido a límites cognitivos, sesgos, rutinas y hábitos en la toma de decisiones individuales y sociales que representan barreras para que las personas se desempeñen racionalmente en sus propios intereses autodeclarados y que (3) opere haciendo uso de esos límites, sesgos, rutinas y hábitos como parte integral de tales intentos». Esta definición sugiere las siguientes características de los empujoncitos: Producen resultados predecibles: Influyen en una dirección predecible. Combaten la irracionalidad: Intervienen cuando las personas no actúan racionalmente en su propio interés debido a sus límites cognitivos, sesgos, rutinas y hábitos. Explotan la irracionalidad: Explotan los límites cognitivos, las heurísticas, las rutinas y los hábitos de las personas para influirles hacia un comportamiento mejor. Volvamos al ejemplo del principio del capítulo sobre las WiFi. Atendiendo a la definición de Hansen, observamos cómo la segunda forma de presentar la lista de redes: Produce resultados predecibles: más usuarios viran hacia las elecciones más seguras. Combate la irracionalidad: combate el impulso irreflexivo de conexión, que puede verse satisfecho por la primera WiFi con buena potencia que aparece listada, sin importar si está abierta o cerrada. Explota esa misma irracionalidad: juzgamos como más seguro lo que está en color verde que en rojo, favorecemos las primeras opciones de una lista frente a las últimas, hacemos más caso a pistas visuales (candados) que a textuales, primamos la (supuesta) velocidad frente a la seguridad, etc. Todo ello conduce a que se seleccione la red 3gk6. Y todo ello mostrando las mismas redes sin prohibir ninguna opción ni cambiar los incentivos económicos de los usuarios. Es decir, se están aprovechando todos estos sesgos para mostrar la opción preferible en primer lugar en la lista, de color verde, con un candado además de texto, y jerarquizando además de por seguridad como primer criterio también por la velocidad de conexión como segundo criterio. En definitiva, se analizan los sesgos y se diseña un pequeño empujón que los explote, respetando la libertad de elección. Varios trabajos de investigación reprodujeron este experimento de las redes WiFi, logrando modificar con éxito la conducta de los usuarios hacia elecciones más seguras (Yevseyeva, Morisset, & Morsel, 2016). En todos los casos, los estudios llegaron a conclusiones similares: Los empujoncitos bien diseñados sí que tienen el poder de influir en la decisión. Esta capacidad para modificar la conducta es mayor cuanto más probable sea que el usuario exhiba conductas inseguras. El poder de alterar la conducta aumenta si se combinan varios tipos de empujoncitos, apelando al Sistema I y II. CÓMO INFLUIR EL COMPORTAMIENTO SEGURIDAD DE TUS EMPLEADOS DE Cada día las personas de tu organización están enfrentándose a decisiones de seguridad de lo más variopinto además de la selección de una WiFi segura: Si descargo e instalo esta app, ¿será un riesgo para mi seguridad? Si introduzco este USB en el portátil, ¿será un vector de entrada para un virus? Si creo esta contraseña corta y fácil de recordar, ¿estaré invitando a que me la crackeen? Precisamente para eso están las políticas de seguridad: para guiar el comportamiento de los usuarios, forzándoles a actuar de la manera más segura posible dentro del contexto y objetivos de seguridad de la organización. Pero ¿existen otras alternativas? ¿Es posible guiar las decisiones de seguridad de la población respetando su autonomía sin restringir las opciones? En otras palabras, ¿se puede conseguir que actúen de forma segura, sin que sean conscientes de que se les está influyendo ni sientan coartada su libertad? Según el profesor experto en ciber leyes R. Calo, existen tres tipos de intervención conductual (Calo, 2014): 1. Códigos: Implican una manipulación del entorno que hace que el comportamiento indeseable (inseguro) sea (casi) imposible. Por ejemplo, si quieres que los usuarios de tu sistema creen contraseñas seguras, puedes rechazar cualquier contraseña propuesta que no cumpla con la política de seguridad de contraseñas: «12 o más caracteres con mezcla de alfanuméricos y especiales distinguiendo mayúsculas y minúsculas y no repetida en las últimas 12 ocasiones». El usuario no tiene otro remedio que pasar por el aro o no podrá iniciar sesión en el sistema. En general, todas las directivas de seguridad que no dejan opción entran dentro de esta categoría: bloquear los puertos USB para impedir conectar dispositivos potencialmente peligrosos; bloquear la instalación de software; restringir a una lista blanca los sitios a los que se puede conectar; limitar el tamaño de los adjuntos que se envían por email; y un larguísimo etcétera, contemplado típicamente en las políticas de seguridad de la organización. Los códigos resultan muy eficaces a la hora de modificar la conducta, pero no dejan elección ni explotan la racionalidad limitada, por lo que no pueden considerarse como empujoncitos. De hecho, muchas de estas medidas resultan impopulares entre los usuarios y pueden conducir a la búsqueda de rodeos que traicionan completamente su propósito, como por ejemplo escribir las contraseñas complejas en una nota adhesiva pegada al monitor: se protege frente a ataques remotos y, en contrapartida, se facilitan e incluso fomentan los ataques internos. 2. Empujoncitos: Estos sí, explotan los sesgos cognitivos y las heurísticas para influir a los usuarios hacia conductas más sabias (seguras). Por ejemplo, volviendo a las contraseñas, si quieres que los usuarios de tu sistema las creen más seguras según las directrices de tu política de seguridad mencionada anteriormente, puedes añadir un medidor de la fortaleza de la contraseña. Los usuarios sienten la necesidad de conseguir una contraseña fuerte y es más probable que sigan añadiendo caracteres y complicándola hasta que el resultado sea un flamante «contraseña robusta» en color verde. A pesar de que el sistema no prohíbe las contraseñas débiles, respetando así la autonomía de los usuarios, este sencillo empujoncito eleva drásticamente la complejidad de las contraseñas creadas. Figura 11. Ejemplo de medidor de fortaleza de contraseñas. 3. Notificaciones: Son intervenciones puramente informativas dirigidas a provocar la reflexión. Por ejemplo, el formulario de introducción de nuevas contraseñas puede incluir un mensaje informando de las características esperadas en las contraseñas y de la importancia de las contraseñas robustas para prevenir ataques, etc. Por desgracia, los mensajes informativos resultan muy ineficaces, ya que los usuarios tienden a ignorarlos y a menudo ni siquiera les resultan inteligibles. Estas notificaciones tampoco pueden considerarse como «empujoncitos», puesto que no explotan sesgos ni límites cognitivos. No obstante, puede incrementarse notablemente su eficacia si se combinan con un pequeño empujón: por ejemplo, incluir el mensaje y el medidor de fortaleza en la misma página de creación de contraseñas. Lo que buscan estos empujoncitos híbridos es apelar con el empujoncito al Sistema I, rápido y automático; y apelar con los mensajes informativos al Sistema II, lento y reflexivo. Por consiguiente, para asegurar el éxito de una intervención conductual será deseable que apele a ambos tipos de procesamiento. LOS EMPUJONCITOS MÁS EFECTIVOS SEGURIDAD DE LA INFORMACIÓN EN Los empujoncitos híbridos resultan ser los más efectivos, combinando información que invita a la reflexión, junto con algún truco cognitivo que explote sesgos o heurísticas: Opciones predeterminadas: Ofrece más de una opción, pero asegurándote siempre de que la opción predeterminada sea la más segura. Aunque permitas al usuario seleccionar otra opción si así lo desea, la mayoría no lo hará. Información (subliminal): Una página de creación de contraseñas induce contraseñas más robustas si aparecen imágenes de hackers, o simplemente de ojos, o incluso si se cambia el texto «Introduce tu contraseña» por «Introduce tu secreto». Dianas: Presenta un objetivo al usuario: por ejemplo, un medidor de fortaleza, un medidor de porcentaje completado, una barra de progreso, etc. Se esforzarán por completar la tarea. Esta intervención puede categorizarse también como feedback. Feedback: Proporciona información al usuario para que comprenda si cada acción está teniendo el resultado esperado mientras se está ejecutando una tarea. Por ejemplo, informar del grado de seguridad alcanzado durante la configuración de una aplicación o servicio, o bien informar del nivel de riesgo de una acción antes de apretar el botón «Enviar». Eso sí, el lenguaje debe adaptarse cuidadosamente al nivel de conocimientos del destinatario. Por ejemplo, el uso de metáforas bien conocidas, como «cerrojos» y «ladrones», hizo que los usuarios entendieran mejor la información y tomaran mejores decisiones (Raja, Hawkey, Hsu, Wang, & Beznosov, 2011). En (Almuhimedi, y otros, 2015), los investigadores comprobaron cómo informar periódicamente a usuarios de Android sobre el uso de permisos que hacían las apps instaladas conseguía que revisaran los permisos concedidos. Y en (Balebako, y otros, 2011), los mismos investigadores informaban a los usuarios del uso que se hacía de su ubicación, lo que condujo a que restringieran el acceso que las apps hacían de su localización. En (Wang, y otros, 2014), informar de cuánta gente puede ver tu post en redes sociales condujo a que muchos usuarios borraran el post para evitar el arrepentimiento en el futuro. Comportamiento normativo: Muestra el lugar que ocupa cada usuario en relación con la media de los usuarios. A nadie le gusta quedarse atrás, todo el mundo quiere estar por encima de la media. Por ejemplo, tras la selección de una contraseña, el mensaje «el 87% de tus compañeros han creado una contraseña más robusta que tú» consigue que usuarios que crearon una débil recapaciten y creen una más segura. Orden: Presenta la opción más segura al principio de la lista. Tendemos a seleccionar lo primero que nos ofrecen. Convenciones: Usa convenciones pictográficas: el color verde indica «seguro», el color rojo indica «peligro». Un candado representa seguridad, y así sucesivamente. Prominencia: Destacar las opciones seguras atrae la atención sobre ellas y facilita su selección. Cuanto más visible sea la opción más segura, mayor será la probabilidad de que la seleccionen. Marcos: Se puede presentar el resultado de una acción como obtener una ganancia o como evitar una pérdida. La aversión a la pérdida suele resultar un impulso más poderoso. IMPLICACIONES ÉTICAS DE LOS EMPUJONCITOS Como puedes imaginar, este asunto de los empujoncitos no está exento de implicaciones éticas, ya que estás creando intervenciones para influir en la conducta explotando agujeros en los procesos cognitivos de los usuarios. Vamos, puede decirse que estás hackeando su cerebro con trucos Jedi. Las investigadoras K. Renaud y V. Zimmermann han publicado un completo trabajo en el que exploran las ramificaciones éticas de los empujoncitos en su sentido más amplio (Renaud & Zimmermann, 2018). Proponen una serie de principios generales para crear empujoncitos éticos. Así que antes de lanzarte a diseñar tus propios empujoncitos para tu organización, te recomiendo reflexionar en profundidad sobre estos cinco principios éticos: 1. Autonomía: El usuario final debería ser libre de elegir cualquiera de las opciones ofrecidas, con independencia de la dirección hacia la que le dirija el empujoncito. En términos generales, ninguna opción será prohibida o eliminada del entorno. Si se requiere restringir las opciones por motivos de seguridad, se considera necesario añadir una explicación. 2. Beneficio: El empujoncito solamente debería desplegarse cuando proporciona un beneficio claro y la intervención está plenamente justificada. 3. Justicia: Debería poder beneficiarse el máximo número posible de individuos, no solo el creador del empujoncito. 4. Responsabilidad social: Deben considerarse los resultados anticipados y los no anticipados del empujoncito. Deberían contemplarse siempre empujoncitos pro-sociales que avancen el bien común. 5. Integridad: Los empujoncitos deben diseñarse con un respaldo científico, en la medida de lo posible. USA LOS EMPUJONCITOS PARA EL BIEN Los empujoncitos están usándose cada vez más en ciberseguridad con el objetivo de influir en las personas para que elijan la opción que el diseñador del empujón considere mejor o más segura. Se están explorando nuevas arquitecturas de la elección como un medio para diseñar mejores entornos de toma de decisiones de ciberseguridad, sin necesidad de recurrir a políticas restrictivas ni limitar opciones. Si bien el diseño neutral es una falacia, sé cauto y ético al diseñar empujoncitos en tu organización: que ayuden a los usuarios a vencer aquellos sesgos y heurísticas que ponen en peligro sus decisiones sobre privacidad y seguridad. Empuja tu organización hacia una mayor seguridad respetando la libertad de las personas. 8: CAPÍTULO LA REPRESENTATIVIDAD HEURÍSTICA EN BUSCA DEL PHISHING ENGAÑARTE INCLUSO A TI PERFECTO DE LA CAPAZ DE Lanzas al aire una moneda (sin trucar) seis veces seguidas: ¿cuál de las tres secuencias siguientes crees que es más probable, representando «cara» con un 1 y «cruz» con un 0? 1. 1 0 1 0 1 0 2. 1 1 1 1 1 1 3. 1 0 1 10 1 La mayoría de la gente elige la tercera secuencia, 1 0 11 01, porque parece más aleatoria. Las dos primeras parecen demasiado ordenadas y no coinciden con nuestra idea intuitiva de aleatoriedad. En realidad, las tres secuencias son equiprobables, con una probabilidad cada una de ellas de (1/2)6 = 1/64. Pero como estamos más acostumbrados a ver secuencias desordenadas que ordenadas (porque de hecho hay más), de alguna manera la tercera secuencia es la que mejor representa nuestra imagen preconcebida de cómo debe ser la aleatoriedad. Este error de pensamiento lleva precisamente por nombre «heurística de la representatividad»: asumimos que un ejemplo pertenece a una clase en función de lo bien que ese ejemplo represente a nuestro estereotipo (idea preconcebida) de la clase. Por ejemplo, si ves por la calle a un joven con melena, vestido de cuero y muñequera de pinchos, te resulta más fácil imaginar que le gusta la música Heavy que si va vestido de traje y corbata con el pelo engominado. Recuerda que una heurística es un atajo de pensamiento: en lugar de responder a una pregunta complicada respondemos a otra equivalente, pero más sencilla. En el ejemplo de la moneda, en lugar de responder a la pregunta de interés, «¿Cuál es la probabilidad de cada secuencia?», nos preguntamos: «¿Cuál es la secuencia que parece más aleatoria?». El uso de la heurística de la representatividad refleja la presunción implícita de que lo similar va con lo similar. Pensamos erróneamente que un miembro de una categoría dada debería parecerse al estereotipo de la categoría, que un efecto debería parecerse a su causa. Como ocurre con todas las heurísticas, la representatividad requiere un mínimo de recursos cognitivos y nos sirve bien en la mayoría de las situaciones: si un deportista mide más de dos metros es más probable que juegue a baloncesto que a fútbol, si un hombre viaja con un maletín con forma de guitarra es más probable que transporte dentro una guitarra que una ametralladora y si recibes un correo de tu jefe es más probable que te lo haya enviado tu jefe a que sea un ataque de phishing. Pero por desgracia, no siempre es así. SI OYES RUIDO DE CASCOS, NO ESPERES CEBRAS Marcos es un joven de España de unos 30 años, con gafas, desaliñado, viste camisetas negras con dibujos de películas y series frikis y usa Linux. ¿Qué crees que es más probable? A. Trabaja como programador en ElevenPaths en Madrid B. Trabaja de reponedor en un supermercado Arrastrados por la heurística de la representatividad, muchos se sienten tentados de señalar la A como más probable. Sin embargo, en España existen muchas, muchas más personas trabajando en un supermercado que en ElevenPaths en Madrid, por lo que, aunque posiblemente haya una proporción mayor de amantes de Linux entre los empleados de ElevenPaths que entre los reponedores, su número total seguirá siendo muy inferior al de linuxeros en supermercados. El problema surge porque un fuerte estereotipo nos está cegando hacia otras fuentes de información, como por ejemplo la tasa base: el conocimiento de la frecuencia relativa de un subconjunto con respecto al total. Cuanto más se parece un individuo al estereotipo de la clase general, con mayor obstinación ignoramos la tasa base. De hecho, en las escuelas de medicina de EEUU circula el siguiente aforismo: «si oyes ruido de cascos, no esperes cebras». Lo que viene a decir que a la hora de diagnosticar una enfermedad hay que pensar primero en las causas más probables, en lugar de en las más exóticas. En otras palabras, al evaluar la probabilidad de un suceso no podemos ignorar la tasa base. Si has visto la película «Moneyball» recordarás cómo Billy Beane crea un equipo de baseball extraordinario reclutando a jugadores con una magnífica estadística de bateo, pero que habían sido descartados por otros ojeadores porque no poseían el aspecto estereotipado de gran bateador. Ante el asombro de los demás clubes, Beane obtuvo resultados excelentes con muy bajo coste. Y todo porque fue el único que no sucumbió a la ilusión de la representatividad. Como ves, esta heurística nos hace olvidar lo (poco) que sabemos sobre probabilidad y estadística y nos apresura a tomar decisiones con consecuencias a menudo desastrosas, como en el siguiente ejemplo. QUE ALGO SEA MUY PLAUSIBLE NO IMPLICA QUE SEA MUY PROBABLE Sergio tiene 35 años. Estudió informática y, desde la adolescencia, le ha gustado el hacking y la programación. Después de la carrera, trabajó dos años en una empresa de antivirus y luego tres años como pentester en una firma internacional de ciberseguridad, donde ascendió hasta jefe de departamento. A continuación, estudió un máster de Risk Fraud Management y escribió su Trabajo de Fin de Máster sobre Teoría de Juegos para detección de malware. ¿Qué crees que es más probable? A. Sergio trabaja en un gran banco. B. Sergio trabaja en un gran banco en la unidad de ciberseguridad, donde dirige un equipo de respuesta ante emergencias informáticas. He planteado este problema en docenas de cursos y la práctica totalidad de mis alumnos han elegido siempre la misma respuesta: la B. Por supuesto es la respuesta equivocada. Supongo que a estas alturas del capítulo lo habrás detectado con rapidez. Los empleados de la unidad de ciberseguridad de un banco suponen un pequeñísimo subconjunto de todos los empleados del banco: es matemáticamente imposible que la probabilidad de ocurrencia de un subconjunto sea mayor que la probabilidad del conjunto completo. Figura 12. La probabilidad de trabajar en un departamento determinado siempre será inferior a la de trabajar en la empresa. Por ejemplo, es más probable sacar de una baraja una carta de corazones o sacar un as que sacar un as de corazones. Si tú también has elegido la B, entonces has sido víctima de otro error de pensamiento muy común conectado con el anterior: la «falacia de la conjunción». Figura 13. La probabilidad de que dos eventos ocurran juntos (en «conjunción») es siempre menor o igual que la probabilidad de que cada uno ocurra por separado. Resulta obvio que la probabilidad de que dos eventos ocurran juntos (en «conjunción») es siempre menor o igual que la probabilidad de que cada uno ocurra por separado: Cuando muestro la historia de Sergio antes de hacer la pregunta, triunfa la intuición y ésta da una respuesta equivocada. En cambio, cuando lanzo la pregunta directamente, sin contar previamente la historia de Sergio, nadie elige la B, al contrario, todos eligen la A. Sin una historia plausible, gana la lógica. Si lo piensas bien, por cada nuevo detalle añadido a un escenario, la probabilidad del escenario solo puede decrecer. Por el contrario, su representatividad y, por lo tanto, su aparente probabilidad, aumentan. ¡Qué paradoja! Cuanto más plausible nos pintan un escenario y con mayor lujo de detalle, menos probable es en términos estadísticos y, sin embargo, más probable nos lo representamos. Ahora bien, las historias más coherentes no son necesariamente las más probables, pero son plausibles. Y confundimos coherencia, plausibilidad y probabilidad. Los resultados más representativos se combinan con la descripción de personalidad para producir las historias más coherentes. Este error de juicio resulta especialmente pernicioso cuando se elaboran escenarios hipotéticos para hacer pronósticos y previsiones. Considera los siguiente dos escenarios y evalúa su probabilidad: A. Durante las próximas elecciones del 28 de abril se espera un ciberataque masivo en Twitter contra políticos españoles, capaz de secuestrar más de 100 cuentas. B. Durante las próximas elecciones del 28 de abril se espera que un miembro que fue expulsado de un partido político y que posee conexiones con grupos hacktivistas orqueste como represalia un ciberataque masivo en Twitter contra los miembros de su partido, capaz de secuestrar más de 100 cuentas. El escenario B nos plantea una historia mucho más vívida y emocionante, es decir, más plausible, aunque su probabilidad es mucho menor. De hecho, el segundo escenario está contenido dentro del primero: los políticos de un partido español constituyen un subconjunto del conjunto de todos los políticos españoles. No obstante, añadir detalles a un escenario lo vuelve más persuasivo. Aunque eso sí, resulta menos probable que sea cierto. Es una trampa muy común al estimar escenarios. Aquí tienes otro ejemplo: ¿qué escenario es más probable? A. Telefónica recibirá un ataque cibernético. B. Telefónica recibirá un ataque cibernético a gran escala desde Corea del Norte orientado a interrumpir las comunicaciones de gran parte de nuestro país y sembrar el caos. Ahora sí, estás totalmente prevenido y sabes que el escenario A es el más probable. Te invito a que hagas esta prueba con tus amigos y verás que la mayoría elige la B. EN BUSCA DEL MALWARE PERFECTO ¿Cómo puede un ciberdelincuente aprovecharse entonces de la heurística de la representatividad? Explotará nuestra tendencia a creernos más un escenario rico en detalles representativos que otro que posea menos detalles. Si una historia contiene detalles que «tienen que estar», tendemos a creérnosla más que si careciera de ellos, aunque, matemáticamente, cuantos más detalles incorpora una historia, con menor probabilidad será verdadera comparada con otra con menos detalles. Por ejemplo, el ciberdelincuente podría llamar a su víctima con la intención de suplantar al administrador de seguridad, explicándole que la llama desde el CPD porque ha recibido alertas de comportamiento anormal en la red originándose desde su ordenador (el de la víctima), por lo que necesita conectarse en remoto para hacer una comprobación de seguridad, para lo que requiere sus credenciales de acceso con el fin de iniciar sesión con su usuario y verificar qué está pasando. Debido a que todos estos detalles encajan con nuestra imagen estereotipada del trabajo rutinario de un administrador de seguridad, es más probable que la víctima le revele sus credenciales que si simplemente llamara diciendo que es el administrador de seguridad y que necesita su contraseña. Y fíjate cómo, de acuerdo con la teoría de la probabilidad, este segundo escenario es mucho más probable que el primero, … ¡pero menos plausible! La presencia de material plausible es probable que aumente nuestra creencia en la petición implausible. En otras palabras, para explotar la representatividad y la conjunción se precede una petición implausible de tantas afirmaciones y detalles plausibles como sea posible, enriqueciendo así la historia. Cuanto más plausibles sean las primeras afirmaciones, más fácil le resultará a la víctima creer en la última petición, por implausible que resulte. Esta estrategia puede apreciarse en: Ataques de ingeniería social, por teléfono, por email e incluso en persona, que buscan suplantar a una persona de la propia organización con el fin de obtener información sensible de la víctima. Cebos que utilizan dispositivos físicos infectados, tipo unidades USB, perfectamente etiquetados y olvidados adrede en lugares verosímiles, para que la víctima los encuentre y se sienta tentada de conectarlos. Mensajes de phishing con textos muy bien redactados que ofrecen varios detalles plausibles antes de solicitar que se haga clic en un enlace que típicamente conducirá a una página familiar de inicio de sesión. Estos ataques están tan dirigidos que suelen englobarse en la categoría del spear phishing. Ventanas falsas de alerta de virus simulando proceder del antivirus del equipo y que solicitan ejecutar el «antivirus» para limpiar el equipo porque supuestamente ha sido detectado algún tipo de malware. AUTODEFENSA CONTRA ATAQUES A NUESTRA HEURÍSTICA DE LA REPRESENTATIVIDAD Resumiendo, para evitar dejarte arrastrar por la heurística de la representatividad, necesitamos recordar las siguientes pautas, algunas inspiradas en la siempre estimulante obra Irracionalidad (Sutherland, 2015): Si un escenario requiere cumplir una condición adicional, no importa cuán plausible parezca la condición, el escenario será menos probable, no más. No juzgues únicamente por las apariencias. Si algo se parece más a una X que a una Y, sin embargo, puede ser más probable que sea una Y si hay muchas más Ys que Xs. ¡Infórmate sobre la tasa base! Siempre es menos probable que una declaración que contenga dos o más datos sea verdadera que una que contenga solo uno de los datos, por muy verosímiles que sean todos ellos. Cuídate de creer que una declaración es verdadera porque sabes que parte de ella es verdadera. Que una historia sea muy plausible no implica que sea muy probable. CAPÍTULO 9: LA FALACIA DE PLANIFICACIÓN (Y OTROS SESGOS OPTIMISTAS) POR QUÉ ENTREGAS TARDE TODOS TUS PROYECTOS Y TE SALEN MÁS CAROS DE LO PREVISTO Y QUÉ PUEDES HACER PARA REMEDIARLO «Cualquier persona que cause daño al pronosticar debe ser tratada como un tonto o como un mentiroso. Algunos pronosticadores causan más daño a la sociedad que los criminales.» (Taleb, 2007) En 1957, la Casa de la Ópera de Sydney se presupuestó por 7 millones de dólares y un plazo de ejecución de cuatro años. Finalmente, costó 102 millones de dólares y tardó 14 años en completarse. ¡Un sobrecoste del 1.400%! Posiblemente, el mayor de la Historia. Los sobrecostes y retrasos son una constante en las obras de ingeniería: el canal de Panamá, la nueva Sede del Banco Central Europeo, los túneles de la M-30, el AVE Madrid Barcelona, la variante de Pajares, la T4 de Barajas, la línea 9 del metro de Barcelona, … La lista no tiene fin. Tras estudiar cientos de obras en 20 países a lo largo de los últimos 70 años, el experto en políticas de infraestructuras y profesor de la Universidad de Oxford, Bent Flyvbjerg, llegó a la conclusión de que el 90% de los proyectos no consiguió cumplir el presupuesto (Flyvbjerg, 2009). Y no sólo ocurre con las grandes obras civiles, también con los grandes proyectos de ingeniería: el Airbus A400M, los F-100 australianos o el proyecto Galileo para reemplazar a GPS, que lleva acumulados 10.000 millones de euros de sobrecoste y 15 años de retraso. Ahí es nada. ¿Y tus proyectos? ¿Cuestan más de lo que presupuestas? ¿Tardan en ejecutarse más de lo esperado? POR QUÉ SOMOS TAN MALOS ESTIMANDO COSTES Y PLAZOS: LA TENSIÓN ENTRE LA VISIÓN INTERNA Y LA VISIÓN EXTERNA ¡Que tire la primera piedra quien no haya sido excesivamente optimista al estimar cuánto le va a costar completar algo, en tiempo y recursos! Los psicólogos Daniel Kahneman y Amos Tversky acuñaron el término falacia de la planificación para referirse a este fenómeno paradójico: aunque todos hemos fallado miserablemente una y otra vez al estimar el plazo y presupuesto de ejecución de todo tipo de proyectos personales y profesionales en los que nos hemos visto involucrados, la siguiente vez, ¡nuestros planes siguen siendo absurdamente optimistas! En su obra Pensar rápido, pensar despacio, Daniel Kahneman explica cómo puedes enfocar un problema utilizando una visión interna o una visión externa (Kahneman, Pensar rápido, pensar despacio, 2011): Cuando usas la visión interna te centras en tus circunstancias específicas y buscas evidencias en tus experiencias similares, incluidas la evidencia anecdótica y las percepciones falaces. Imaginas escenarios idílicos donde todo sale según lo planeado. Ahora bien, además de todas las variables que barajas en tu mente, existe un volumen incalculable de variables desconocidas e indeterminables: enfermedades, accidentes, incidentes de seguridad, averías, desacuerdos entre el equipo, otros proyectos más urgentes, despidos, agotamiento imprevisto de fondos, huelgas, … ¡tantas cosas imprevisibles pueden pasar! Por desgracia resulta imposible anticiparlas todas ellas. Lo que está claro es que la probabilidad de que algo salga mal aumenta cuanto más ambicioso es el proyecto. En definitiva, subestimamos lo que no sabemos. Por el contrario, cuando usas la visión externa miras más allá de ti mismo: más allá de tu experiencia pasada, más allá de los detalles de este caso particular, para prestar atención a información objetiva adicional, como por ejemplo la tasa base. En lugar de creer que tu proyecto es único, miras hacia proyectos similares en busca de datos sobre su presupuesto y duración promedios. Por desgracia, tiendes a descartar, e incluso a despreciar, la visión externa. Cuando la información estadística de casos similares entra en conflicto con tu impresión personal, desestimarás los datos. A fin de cuentas, esos proyectos duraron y costaron tanto porque los ejecutaron otros, pero tú eres diferente y a ti no puede pasarte lo que a ellos, ¿verdad? Veámoslo desde otro ángulo, gracias a este fragmento de una conversación real entre dos padres: «Voy a mandar a mi hijo a la escuela Tal.» «¿Seguro? Es muy elitista. La probabilidad de entrar en esa escuela es muy baja, tan solo del 8%.» «Bueno, bueno, la probabilidad de mi hijo será cercana al 100%, saca unas notas excelentes.» El padre, pensando en su hijo, cree que tiene una probabilidad altísima porque efectivamente el niño es muy inteligente y saca unas notas excelentes... como los cientos de otros niños que solicitan entrada en esa escuela todos los años, de los cuales solo 8 de cada 100 son admitidos. El padre utiliza solamente su visión interna para evaluar la situación. Para su pesar, la mejor estimación de la probabilidad de que su hijo entre en la escuela sigue siendo del 8%, es decir, la tasa base. En resumen, la visión externa busca situaciones similares que puedan proporcionar una base estadística para tomar una decisión: ¿otros se han enfrentado a problemas semejantes en el pasado?, ¿qué sucedió? Claro que la visión externa nos resulta una forma tan poco natural de pensar, que preferimos creer que nuestra situación es única. Como sentencia Kahneman en Pensar rápido, pensar despacio (Kahneman, Pensar rápido, pensar despacio, 2011): En la pugna entre la visión interna y la externa, la visión externa no tiene ninguna oportunidad. BIENVENIDO A LAGO WOBEGON, DONDE TODOS LOS NIÑOS SON SUPERIORES A LA MEDIA Reconócelo, tu percepción de los acontecimientos asimétrica. Según numerosos experimentos de psicología: es Atribuyes tus éxitos a tus habilidades y tus fracasos a tu mala suerte, justo lo contrario de como entiendes los éxitos y fracasos de los demás. Te consideras más inteligente que los demás. Te crees mejor conductor que los demás. Crees que tu matrimonio durará más que los demás. En definitiva, te crees especial. Pues bien, este otro error de pensamiento se conoce como sesgo optimista. Este sesgo está a su vez íntimamente relacionado con la ilusión de superioridad. Vamos, que en nuestro fuero interno nos creemos diferentes, cuando en realidad somos muy similares. El sesgo optimista juega un papel crucial en la falacia de la planificación. Como explica el experto en obras Bent Flyvbjerg en el trabajo antes citado (Flyvbjerg, 2009): «Bajo el influjo de la falacia de planificación, los directivos toman decisiones basadas en el optimismo delirante en lugar de en una ponderación racional de ganancias, pérdidas y probabilidades. Sobreestiman los beneficios y subestiman los costes. Involuntariamente tejen escenarios de éxito y pasan por alto el potencial de traspiés y errores de cálculo. Como resultado, siguen iniciativas que es poco probable que salgan dentro del presupuesto o a tiempo, o que generen los rendimientos esperados.» NO TODO ES CULPA DE NUESTRO PENSAMIENTO IMPERFECTO El optimismo de planificadores y de quienes toman decisiones no es la única causa de esos incrementos. En Pensar rápido, pensar despacio Kahneman señala otros factores (Kahneman, Pensar rápido, pensar despacio, 2011): «Los errores en los presupuestos iniciales no siempre son inocentes. A los autores de planes poco realistas con frecuencia los mueve el deseo de que su plan sea aprobado — por sus superiores o por un cliente—, y se amparan en el conocimiento de que los proyectos raras veces se abandonan sin terminarlos porque los costes se incrementen o los plazos venzan.» Con tal de conseguir financiación a toda costa, es frecuente exagerar los beneficios del futuro proyecto y atenuar los riesgos y costes. Así, Bent Flyvbjerg aporta una fórmula que enfatiza esta espiral perniciosa en la que los proyectos que mejor se ven sobre el papel son los que obtienen mayor financiación: Costes subestimados + Beneficios sobreestimados = Financiación Al final no se están comparando proyectos reales sino versiones idealizadas de los mismos con beneficios sobredimensionados y costes y problemas barridos bajo la alfombra. QUÉ PUEDES HACER PARA PLANIFICAR MEJOR TU PRÓXIMO PROYECTO La información estadística sobre proyectos similares puede salvarnos de la falacia de la planificación. Por muy optimista que seas, puedes esperar encontrarte en promedio con dificultades similares a las enfrentadas por los equipos de otros proyectos. Bent Flyvbjerg propuso el método conocido como «Pronóstico por clase de referencia» para eliminar el sesgo optimista al predecir la duración y el coste de proyectos. El pronóstico por clase de referencia requiere los siguientes tres pasos para tu proyecto particular: 1. Identifica una clase de referencia relevante de proyectos pasados. La clase debe ser lo suficientemente amplia como para ser estadísticamente significativa, pero lo suficientemente restringida como para poder compararse verdaderamente con tu proyecto. Por supuesto, este paso será más difícil cuanto más raro sea el problema entre manos. En el caso de decisiones comunes (al menos para otros, aunque no para ti), identificar la clase de referencia es inmediato. 2. Establece una distribución de probabilidad para la clase de referencia seleccionada. Esto requiere acceso a datos empíricos creíbles para un número suficiente de proyectos dentro de la clase de referencia para obtener conclusiones estadísticamente significativas. 3. Compara tu proyecto con la distribución de la clase de referencia, para establecer el resultado más probable para tu proyecto. Al evaluar planes y pronosticar, tendemos a centrarnos en lo que es diferente, ignorando que las mejores decisiones a menudo se centran en lo que es lo mismo. Si bien esta situación que tienes entre manos parece un poco diferente, a la hora de la verdad, casi siempre es la misma. Aunque duela, admitamos que no somos tan especiales. APRENDE DE LOS ANTIGUOS FILÓSOFOS ESTOICOS A PENSAR SOBRE LO QUE PUEDE SALIR MAL: EL ANÁLISIS PREMORTEM DE LOS PROYECTOS Los filósofos estoicos practicaban la llamada premeditatio malorum: algo así como una reflexión sobre lo que puede salir mal antes de acometer una empresa. Por ejemplo, antes de un viaje por mar, ¿qué podría salir mal? Podría desatarse una tormenta, el capitán podría caer enfermo, el barco podría ser atacado por piratas, etc. De esta manera, puedes prepararte para estas eventualidades. Y si nada puede hacerse ante una, si lo peor ocurre, al menos no te cogerá por sorpresa. El psicólogo estadounidense Gary Klein retoma esta vieja idea y recomienda realizar un análisis premortem del proyecto en estudio (Klein, 2007): «Un premortem en un entorno empresarial tiene lugar al principio de un proyecto y no al final, de modo que el proyecto se puede mejorar en lugar de realizar una autopsia cuando ha fracasado. A diferencia de una sesión de crítica típica, en la que a los miembros del equipo del proyecto se les pregunta qué podría salir mal, el premortem opera bajo el supuesto de que el «paciente» ha muerto y por eso pregunta qué fue lo que salió mal. La tarea de los miembros del equipo es generar razones plausibles para el fracaso del proyecto.» Si deseas aplicarlo, prueba a pronunciar este breve discurso al equipo reunido: «Imagina que ha pasado un año. Hemos seguido la planificación del proyecto al pie de la letra. El resultado ha sido un desastre. En los próximos cinco minutos escribe todas y cada una de las razones que explican el desastre, en especial, aquellas que normalmente no listarías como problemas potenciales.» Las razones apuntadas te mostrarán cómo podrían salir las cosas. Al final, un premortem puede ser la mejor manera de evitar un doloroso postmortem. CAPÍTULO 10: LA HEURÍSTICA DEL AFECTO TUS SENTIMIENTOS INFLUYEN EN TU PERCEPCIÓN DEL RIESGO Y DEL BENEFICIO MÁS DE LO QUE CREES «La seguridad es tanto un sentimiento como una realidad.» —Bruce Schneier Daniel Gardner abre su libro The Science of Fear con la estremecedora historia de los atentados del 11S en EEUU (Gardner, 2009): «Y así, en los meses posteriores a los ataques del 11 de septiembre, mientras los políticos y periodistas se preocupaban sin cesar por el terrorismo, el ántrax y las bombas sucias, las personas que huían de los aeropuertos para protegerse del terrorismo se estrellaron y murieron en las carreteras de Estados Unidos. Y nadie se dio cuenta. (…) Resultó que el cambio de aviones a automóviles en Estados Unidos duró un año. Luego los patrones de tráfico volvieron a la normalidad. Gigerenzer también encontró que, exactamente como se esperaba, las muertes en las carreteras estadounidenses se dispararon después de septiembre de 2001 y volvieron a los niveles normales en septiembre de 2002. Con estos datos, Gigerenzer pudo calcular el número de estadounidenses muertos en accidentes automovilísticos como resultado directo de cambiar de aviones a coches. Fue de 1.595.» ¿Qué mató a todas estas víctimas? El miedo. Todos sabemos que volar en avión en más seguro que conducir un coche. De hecho, lo más peligroso de viajar en avión es el trayecto en coche al aeropuerto. Las estadísticas están ahí para demostrarlo. ¿Por qué entonces nos da más miedo volar en avión que montar en coche? Porque la aceptación del riesgo no sólo depende de estimaciones técnicas de riesgo y beneficio sino también de factores subjetivos, como el sentimiento. NUESTRAS PREFERENCIAS EMOCIONALES DETERMINAN NUESTRAS CREENCIAS SOBRE EL MUNDO La heurística del afecto permite a alguien tomar una decisión basada en un afecto, es decir, en un sentimiento, en lugar de en una deliberación racional. Esta heurística funciona mediante la siguiente sustitución: Si tienes un buen presentimiento acerca de una situación, puedes percibirla como de bajo riesgo; recíprocamente, un mal presentimiento puede inducirte a una mayor percepción de riesgo. Estás usando tu respuesta afectiva a un riesgo (por ejemplo, ¿cómo me siento con respecto a los alimentos genéticamente modificados, la energía nuclear, el cáncer de mama o las armas de fuego?) para inferir cómo de grave es para ti ese riesgo (por ejemplo, ¿cuál es el número anual de muertes por cáncer de mama o por armas de fuego?). Y, a menudo, te encontrarás que existe un importante gap entre el riesgo real y el riesgo percibido. En nuestro cerebro, el riesgo lleva asociado una serie de factores psicológicos que determinan sinos sentimos más o menos asustados. ¿Y cómo pueden medirse estos factores? Uno de los investigadores más destacados sobre análisis de riesgos, Paul Slovic, propuso un modelo psicométrico para medir los niveles percibidos de riesgo en función de la respuesta afectiva ante distintas amenazas (Slovic, Perception of risk, 1987). En un primer trabajo, Slovic planteó 18 características para evaluar cuantitativamente la percepción del riesgo. Para simplificar, la siguiente tabla sólo recoge los factores de percepción de riesgo más directamente relacionados con la ciberseguridad:7 Tabla 2. El sentido común y nuestra percepción del riesgo. Las personas exageran los riesgos que: Las personas minimizan los riesgos que: Infunden miedo No infunden miedo Escapan a su control Permanecen bajo su control Resultan catastróficos, afectando a multitudes Afectan a uno o pocos individuos Afectan a otros, no al agente de la actividad (injustos) Afectan al agente de la actividad (justos) Vienen impuestos externamente Se toman voluntariamente Son desconocidos Resultan familiares No se comprenden bien Son bien comprendidos Aparecen como nuevos, infrecuentes Son viejos o comunes Tienen consecuencias inmediatas Manifiestan sus efectos a largo plazo Exploremos de nuevo el ejemplo de volar en avión o viajar en coche, desde esta nueva perspectiva. Si evalúas cada uno de los factores anteriores para ambas actividades, llegarás a un resultado similar al del gráfico siguiente: Figura 14. Evaluación subjetiva del riesgo de montar en coche o de volar en avión. Ahora tal vez te parezca más claro por qué nos da más miedo volar en avión que montar en coche a pesar de lo que digan las estadísticas y los estudios de accidentes y mortalidad. ¡Somos seres emocionales! Revisa los capítulos anteriores sobre las heurísticas de disponibilidad y de representatividad y comprobarás cómo explican la mayoría de los comportamientos listados en la tabla. LA PARADOJA DE ELLSBERG: PREFERIMOS EL RIESGO A LA INCERTIDUMBRE Tienes ante ti dos urnas, A y B, conteniendo ambas bolas negras y rojas. La urna A contiene un 50% de bolas rojas y un 50% de bolas negras. No sabes qué proporción de bolas rojas y negras contiene la urna B. Si extraes una bola de cualquiera de las urnas y es roja, ganarás 100 €. ¿En qué urna meterías la mano, la A o la B? Piénsalo bien antes de seguir leyendo. La mayoría elige la A. ¿Tú también? Juguemos de nuevo. Sigues teniendo ante ti las mismas dos urnas. Pero ahora ganarás 100 € si extraes una bola negra. ¿En qué urna meterías la mano, la A o la B? De nuevo, la mayoría elige la A. ¿Tú también? ¡Pues es completamente ilógico! Si en el primer caso eliges la urna A será porque crees que puede contener más bolas rojas que negras. Al menos tienes la certeza de que contiene un 50% de bolas rojas y temes que la otra urna contenga un porcentaje menor de bolas rojas. Entonces, si crees que la B tiene menos bolas rojas que la A, es que en el fondo temes que tenga un porcentaje de bolas negras superior al 50%, luego la lógica dicta que si en el primer caso escoges la urna A, la B será la opción a elegir en el segundo. Este experimento, adaptado por Rolph Dobelli del famoso experimento del psicólogo de Harvard Daniel Ellsberg, se conoce como la «Paradoja de Ellsberg» (Dobelli, 2016). Viene a demostrar que preferimos las probabilidades conocidas (urna A) a las probabilidades desconocidas (urna B). En otras palabras, aborrecemos la incertidumbre: lo desconocido, lo incierto, lo incontrolable, lo poco familiar nos hacen sentir inseguros. MIEDO Y FAMILIARIDAD CONDICIONAN TU PERCEPCIÓN DEL RIESGO ANTE LAS AMENAZAS Posteriormente, al profundizar en el estudio de estos factores, Slovic observó cómo existen dos dimensiones dominantes entre todas ellos: miedo y familiaridad. Ambas dimensiones pueden representarse gráficamente para facilitar la clasificación de los riesgos. Figura 15. La familiaridad y el miedo suscitado por un riesgo determinan cómo lo percibimos. Limitándonos a estos dos factores, la heurística del afecto puede redefinirse como la siguiente sustitución: A la hora de evaluar dos amenazas A y B, cuanto más miedo te infunda y menos familiar te resulte una de las dos, percibirás su nivel de riesgo como más alto en comparación con la otra. Inconscientemente, realizas el juicio: volar en avión infunde más miedo y resulta menos familiar que montar en coche, luego tiene que ser más arriesgado. Así que ubicas el avión en el cuadrante inferior derecho (Alto Riesgo) y el coche, en el superior izquierdo (Bajo Riesgo). Y ni todas las estadísticas del mundo cambiarán este afecto. Puedes probarlo con tu cuñado. Esta heurística se aplica en especial cuando necesitas tomar decisiones rápidas. Cuanto te encuentras bajo presión y sin tiempo, no puedes evitar sentir reacciones afectivas o emocionales hacia la mayoría de las opciones. Por supuesto, además del afecto, también entran en acción los atajos psicológicos que te ayudan a determinar si un riesgo parece alto o bajo: son los sesgos cognitivos y heurísticas que hemos repasado en anteriores capítulos. La familiaridad constituye un factor realmente determinante en la evaluación de riesgos. Cuanto más familiarizado estás con una actividad o suceso, menos atención le prestas. El cerebro se ve bombardeado por millones de datos de entrada y tiene que filtrarlos, extrayendo la información importante. Por lo general, importante es todo aquello novedoso, todo lo que supone un cambio. Con el tiempo, sometido una y otra vez al mismo estímulo, el cerebro se habitúa y termina ignorándolo. La «habituación» es un fenómeno maravilloso que permite que puedas desenvolverte en la vida cotidiana sin necesidad de prestar atención absolutamente a todo. El lado malo es que terminas insensibilizado hacia los estímulos frecuentes. Cuanto más familiar te resulta una actividad, menor termina pareciéndote su riesgo. De ahí que tal vez fumes, comas comida ultraprocesada, whatsappees mientras conduces y cruces la calle leyendo tu Facebook en el móvil ¡todos los días! Son actividades a las que estás tan habituado (te son tan familiares) que ya no te parecen arriesgadas. LA SORPRENDENTE RELACIÓN ENTRE NUESTROS JUICIOS SOBRE RIESGO Y BENEFICIO Y no acaba aquí la historia. Paul Slovic no sólo llegó a las conclusiones descritas anteriormente en su modelo psicométrico del riesgo. Descubrió además sorprendentes relaciones entre nuestros juicios sobre riesgo y beneficio (Slovic, Finucane, Peters, & MacGregor, 2002): «En el mundo, riesgo y beneficio tienden a estar positivamente correlados, mientras que en la mente (y en los juicios) de las personas resultan estar negativamente correlados. (…) Las personas basan sus juicios sobre una actividad o una tecnología no solo en su conocimiento racional y objetivo sobre ella sino también en los sentimientos suscitados. (…) Si les gusta una actividad, se sienten movidos a juzgar los riesgos como bajos y los beneficios como altos; si no les gusta, tienden a juzgar lo contrario: alto riesgo y bajo beneficio.» El ejemplo paradigmático aquí es la energía nuclear. Como todo el mundo sabe, la energía nuclear es una Cosa Mala, por lo tanto, tiene que plantear un Alto Riesgo. ¿Y cómo de beneficiosa es la energía nuclear? Pues como es una Cosa Mala, tiene que suponer un bajo beneficio. Sin embargo, los rayos X de las radiografías son una Cosa Buena, ya que las usan los médicos para salvar vidas, luego tienen que plantear Bajo Riesgo y Alto Beneficio. Así funciona nuestro cerebro. ¿Y los datos? Pues no hacen falta, la decisión ya está tomada. Solo servirían para confirmar la postura de partida. El resultado final es que sobreestimamos los riesgos de la energía nuclear y subestimamos los riesgos de los rayos X. Bajo este modelo, el afecto viene antes y dirige nuestros juicios de riesgo y beneficio. Si una visión general afectiva guía las percepciones de riesgo y beneficio, proporcionar información sobre el beneficio debería cambiar la percepción del riesgo y viceversa. REUBICA EL RIESGO EN EL LUGAR QUE LE CORRESPONDE EN EL AFECTO DE TUS EMPLEADOS Todos los estudios sobre la percepción del riesgo confirman que los expertos en la materia evaluada sucumben en menor medida a la heurística del afecto. Después de todo, tienen un mayor conocimiento del campo, adquirido a través de la experiencia y del estudio. Es decir, conocen con mayor precisión las probabilidades, la naturaleza de las amenazas y el impacto de los incidentes. En definitiva, están mejor equipados para evaluar el riesgo real: su gap entre riesgo real y riesgo percibido es menor que entre los legos en la materia. La conclusión es clara: si quieres ayudar a tus empleados a tomar mejores decisiones de seguridad, necesitarás aumentar su conciencia en seguridad de la información (Information Security Awareness, ISA). Esta conclusión es tan obvia que da vergüenza ponerla por escrito. Otra cosa es que se haga. Y entre los mayores retos de esta concienciación se encuentra el reeducar al usuario sobre las tecnologías que le son muy familiares y beneficiosas, porque termina perdiendo de vista su riesgo real. Por lo tanto, uno de los puntos clave de todo programa será la deshabituación. Cuanto más familiarizados están los empleados con una tecnología y más beneficiosa la perciben, menos riesgo ven en ella. Los cibercriminales explotan precisamente esta alta familiaridad, bajo miedo y alto beneficio de ciertas tecnologías para transformarlas en vectores de entrada de ataques. Algunos ejemplos de este tipo de tecnologías familiares, agradables y beneficiosas son: El correo electrónico, tecnología con la que trabajamos todos los días a todas horas. Las memorias USB, esos pequeños dispositivos de aspecto inocente con tanta información útil. Los archivos ofimáticos de Word, Excel, PowerPoint, PDF, en los que pasamos horas diariamente y que tan alegremente compartimos. Anuncios en páginas web legítimas, que estamos hartos de ver por todas partes y son molestos, sí, pero a veces también anuncian algo valioso. Juegos y apps descargados en el smartphone, tan divertidos, tan útiles, tan monos. Fotos y vídeos intercambiados en las redes sociales. Los propios empleados de la compañía, con quienes tomamos café todas las mañanas y cuyos hijos conocemos. No viene mal de vez en cuando realizar campañas de seguridad con los empleados para recordarles que el correo electrónico, los USBs, los archivos ofimáticos, la navegación, los juegos, los materiales multimedia, los propios compañeros, etc., por muy familiares y amigables que parezcan, son la principal vía de entrada de ciberataques. Al final, tu percepción de la seguridad no solo es cuestión racional sino también emocional. No puedes combatir directamente la heurística del afecto, porque así funciona nuestro cerebro. En cambio, puedes guiar el afecto de tus empleados hacia las distintas tecnologías, elevando su nivel de conciencia. CAPÍTULO 11: EL SESGO DE ANCLAJE EL PESTAÑEO DE UN CIBERCRIMINAL EN BRASIL PUEDE CAUSAR UNTSUNAMI DE PHISHING EN RUSIA Responde por favor a estas preguntas: 1. ¿Crees que tu empresa recibe en una semana más o menos de 3.000 intentos de phishing? 2. ¿Qué número de intentos de phishing crees que recibe? Si eres como la mayoría de las personas, la cifra de 3.000 intentos de la primera pregunta (elegida completamente al azar) habrá influido en tu estimación del número de intentos de phishing recibidos. Esta tendencia a confiar en la información inicial para anclar juicios e interpretaciones posteriores se conoce como «sesgo de anclaje»: el primer dato que recibimos se convierte en un «ancla» y todas las evaluaciones futuras se basan en ella. Desde que descubriera este sesgo en (Hammond, Keeney, & Raiffa, 1998), al igual que sus autores, a lo largo de los años, yo mismo he planteado las dos mismas preguntas en cursos y conferencias. En la mitad de los casos, utilizo 3.000 en la primera pregunta; en la otra mitad, uso 30.000. No falla. Las respuestas a la segunda pregunta aumentan en muchos miles al proponer la cifra más grande en la primera pregunta. Una vez echada el ancla, estamos predispuestos a interpretar la información alrededor de esa ancla, sin alejarnos mucho de ella, incluso aunque descubramos que el ancla es incorrecta o irrelevante. Si no podemos volver a anclar en torno a otra información, el ancla inicial nos impedirá tomar decisiones totalmente racionales basadas en un análisis imparcial. CUANDO EL ORDEN DE LOS FACTORES SÍALTERA EL PRODUCTO A veces utilizo este otro experimento maquiavélico con mis alumnos para demostrarles la potencia del anclaje. Pido a la mitad del grupo que realicen mentalmente el siguiente cálculo y escriban la respuesta ¡en cinco segundos! 1 x 2 x 3 x 4 x5 x 6 x 7 x8 Al segundo grupo, independiente del primero, le pido que realice en cambio este otro cálculo mental: 8x7x6x5x4x3x2x1 Obviamente, la respuesta debe ser la misma: 40.320. Curiosamente, los que parten de 1 x 2 x … dan una más baja que los que parten de 8 x 7 x … Si tú mismo has intentado la prueba, habrás comprobado cómo, dado el poco tiempo disponible, solo puedes calcular las primeras multiplicaciones y luego tienes que adivinar el resto en función del resultado inicial. Este resultado al que has llegado funciona como el ancla. A continuación, te dejas llevar por la intuición (por el Sistema I) para decidir si la respuesta completa es un poco o mucho más alta o más baja que ese resultado inicial. Finalmente, ajustas tu estimación en consecuencia. Y no solo funciona como ancla el orden de los factores de una multiplicación, también el de las opciones en una encuesta. En un experimento, a los sujetos se les hizo una de estas dos preguntas (Schuman & Presser, 1996): Pregunta 1: ¿Debería el divorcio en este país ser más fácil de obtener, más difícil de obtener o permanecer como está ahora? Pregunta 2: ¿Debería ser más fácil obtener el divorcio en este país, permanecer como está ahora o ser más difícil de obtener? En respuesta a la primera pregunta, el 23% de los sujetos eligió leyes de divorcio más fáciles, el 36% eligió leyes de divorcio más difíciles y el 41% dijo que la situación actual estaba bien. En respuesta a la segunda pregunta, el 26% eligió leyes de divorcio más fáciles, el 46% eligió leyes de divorcio más difíciles y el 29% eligió la situación actual. Sí, el orden en que se enumeran las alternativas afecta a los resultados. VEO ANCLAS POR TODOS LADOS. Y SON MUY ROBUSTAS. En efecto. Los efectos de anclaje son omnipresentes (Pohl, 2016): Desde lo trivial, como por ejemplo las estimaciones de la temperatura media en la Antártida (Mussweiler & Strack, Comparing Is Believing: A Selective Accessibility Model of Judgmental Anchoring, 1999) o del número de países africanos en la ONU (Tversky & Kahneman, 1974). Hasta lo apocalíptico, como las estimaciones de la probabilidad de guerra nuclear (Plous, 1989). Pasando por preguntas de conocimiento general (Tversky & Kahneman, 1974). Estimaciones de precios (Mussweiler, Strack, & Pfeiffer, 2000). Estimaciones de autoeficacia (Cervone & Peake, 1986). Evaluaciones de probabilidad (Plous, 1989). Valoración de productos (Ariely, Loewenstein, & Prelec, 2003). Juicios legales (Enough & Mussweiler, 2006). Negociaciones (Galinsky & Mussweiler, 2001). El anclaje no solo aparece por todas partes, sino que su influencia puede resultar sorprendentemente robusta (Pohl, 2016): El anclaje ocurre incluso si los valores de anclaje son claramente irrelevantes para la estimación crítica, por ejemplo, porque fueron seleccionados al azar (Tversky & Kahneman, 1974). Los valores inverosímilmente extremos también pueden producir el efecto (Strack & Mussweiler, 1997). Más aún, los efectos de anclaje pueden persistir incluso durante períodos de tiempo bastante largos. Por ejemplo, los efectos de anclaje aún eran aparentes una semana después de que se había considerado el valor de anclaje (Mussweiler T., 2001). Además, los valores de anclaje no necesitan mucha atención para influir en los juicios. Incluso las anclas incidentales como un número en la camiseta de un jugador de fútbol (Critcher & Gilovich, 2007) o anclas presentadas subliminalmente pueden tener efectos de anclaje (Rooijen & Daamen, 2006). Tal vez lo más preocupante, se ha demostrado que el anclaje no se ve afectado por el conocimiento ni por la experiencia (Cheek, Coe Odess, & Schwartz, 2015). Y ya, para echarse a temblar, el anclaje puede llegar a ser tan robusto que incluso las instrucciones explícitas para corregir una posible influencia de un ancla pueden no mitigar el efecto (Wilson, Houston, Etling, & Brekke, 1996). Es decir, incluso advertir explícitamente sobre la posible distorsión e informar sobre su dirección no disminuye el efecto del ancla. Estamos vendidos. CÓMO LEVAR ANCLAS PARA PROTEGER TUS DECISIONES Y JUICIOS Nadie puede evitar la influencia del anclaje. Pero puedes reducir su impacto gracias a las siguientes buenas prácticas, adaptadas de (Hammond, Keeney, & Raiffa, 1998): Antes de tomar una decisión sobre un problema, examínalo desde diferentes perspectivas. Evita las corazonadas. Intenta utilizar puntos de partida y enfoques alternativos en lugar de seguir con la primera línea de pensamiento que se te ocurra. Antes de consultar a otros, primero piensa en el problema por tu cuenta para evitar anclarte a sus ideas. Recíprocamente, cuídate de no anclar a tus asesores, consultores y otras personas a quienes solicites información y asesoramiento. Antes de ofrecerles una cifra, deja que sean ellos los primeros en exponer sus ideas, estimaciones y decisiones tentativas. Si revelas demasiado al principio, tus propias ideas preconcebidas pueden simplemente serte devueltas por ellos. Abre tu mente. Busca información y opiniones de una gran variedad de personas para ampliar tu marco de referencia e impulsar tu mente en nuevas direcciones. Ten especial cuidado con los anclajes durante las negociaciones. Recopila información objetiva antes de cualquier negociación para evitar anclarte en la propuesta inicial de la otra parte. Al mismo tiempo, busca oportunidades para usar las anclas en tu propio beneficio. Si eres el vendedor, por ejemplo, sugiere un precio alto, pero defendible, como oferta de apertura. Las personas con mayor conocimiento del dominio son menos susceptibles a los efectos de los anclajes irrelevantes. Lee, acude a conferencias, haz cursos, no dejes de formarte nunca sobre tu campo. Te volverás menos susceptible a muchas anclas. SI NO SABES EL PRECIO, NO REGATEES EN LA CALLE, COMPRA EN LA TIENDA DEL AEROPUERTO Hace muchos años pasé un verano en Indonesia. Un día, paseando por la calle, me llamaron la atención los batiks de un puesto callejero. Decidí comprar varios. El vendedor empezó pidiendo 25 dólares por cada uno. ¡Ya estaba echada el ancla! Tras un arduo regateo, conseguí comprar varios a 15 dólares la unidad. Me marché muy ufano, felicitándome de mis habilidades de negociación. Cuál fue mi sorpresa cuando a mi regreso a España, en la tienda del aeropuerto de Jakarta, encontré los mismos batiks por 5 dólares cada uno. Como yo no contaba con un precio oficial de referencia, el ancla del vendedor fue mi referencia. El insidioso problema con el anclaje es que puedes ser consciente de su existencia, puedes incluso prestarle atención: «Hmmm, he aquí un ancla», y, por desgracia, no tendrás forma de saber cómo está afectando a tu juicio por la sencilla razón de que ya no puedes dar marcha atrás e imaginar cómo habrías evaluado la situación si el ancla hubiera sido diferente o no hubiera habido ancla en absoluto. Así que, cada vez que tomes una decisión importante, asume que cualquier número sobre la mesa ha tenido un efecto de anclaje en ti. CAPÍTULO 12: LA FALACIA DEL COSTE HUNDIDO SI NO FUNCIONA, NO LO TOQUES, DÉJALO QUE SE HUNDA Hace varios años organizamos un viaje a Chamonix para ascender al Mont Blanc, el pico más alto de la Unión Europea, con una altitud de 4.810 m. Comenzamos la ascensión por la vía habitual desde Nid d'Aigle, al que se accede en un pintoresco tranvía de montaña, pasando luego por el refugio de Tête Rousse y después por el peligroso corredor de Goûter (hoy cerrado), donde caen rocas del tamaño de lavadoras, hasta llegar al refugio de Goûter para hacer noche. Lo de hacer noche es un decir, ya que lo normal es comenzar la ascensión final hasta el pico a las dos o tres de la madrugada. Ahora bien, si el pronóstico del tiempo es malo, lo recomendable es no salir del refugio y esperar a que mejore. Imagínate que llevas varios días esperando y no mejora. Solo te queda un día más y tendrás que volver. El pronóstico sigue siendo malo. ¿Qué decidirías? Opción A: Adentrarte en la tormenta de nieve y arriesgarte a hacer cumbre el último día posible. Opción B: Volverte sin haber hecho cumbre, perdiendo todo el tiempo y dinero invertido en la expedición fallida. Por fortuna, a nosotros nos hizo buen tiempo y no tuvimos que tomar esa decisión. Por desgracia, en ocasiones otros tomaron la decisión equivocada: desafiaron la tormenta de nieve y murieron congelados en el refugio Vallot. Este dilema es un ejemplo más de los muchos que nos brinda la vida cotidiana: 1. Pagas 10€ por ir al cine a ver una película. A los 30 minutos se disipan todas tus dudas: es infumable sin esperanza de redención. ¿Qué haces? ¿Te quedas a verla terminar o te marchas ya? 2. Tu relación sentimental hace años que no funciona. ¿Qué haces? ¿Sigues con la misma pareja o rompéis y te buscas otra? 3. Has comprado acciones de una compañía y desde que las compraste no han parado de bajar. ¿Qué haces? ¿Esperas a que aumenten de valor por encima del precio de compra o las vendes inmediatamente? Si en todos los casos tomas la primera decisión, entonces has sucumbido a la falacia del costo hundido. El costo hundido es un concepto económico que se refiere a cualquier inversión que ya ha ocurrido y que no puede recuperarse. Como en los ejemplos, la inversión puede ser monetaria, de tiempo, de energía mental o de cualquier otro recurso finito: el tiempo y dinero que has invertido ya en la película, la implicación emocional en la pareja o el dinero en la inversión. Cuando se aplica en psicología, la falacia del costo hundido puede entenderse como: «Justificar una mayor inversión porque de lo contrario los recursos ya invertidos se perderán, sin tener en cuenta las pérdidas generales involucradas en la inversión adicional». Esta falacia refleja nuestra tendencia a continuar un esfuerzo una vez que se ha realizado una inversión inicial, posiblemente porque no queremos parecer ni derrochadores ni que hemos tomado malas decisiones en el pasado ni que somos volubles. Necesitamos justificar la inversión inicial. Es la razón por la que un jugador sigue apostando en un casino cuando ya lo ha perdido todo: «una apuesta más, solo una, y recuperaré lo perdido». En el fondo, confiamos con optimismo que seremos capaces de corregir la situación si invertimos más recursos, hasta que finalmente aparezcamos triunfadores: 1. «A lo mejor la película mejora al final». 2. «Seguro que soy capaz de cambiar a mi pareja». 3. «Las acciones tienen que subir en algún momento, no pueden bajar eternamente, recuperaré mi dinero». Cuando nos dejamos guiar por estos pensamientos, en lugar de analizar la situación presente con objetividad, basamos nuestras decisiones, en todo o en parte, en las inversiones irrecuperables del pasado. Desde un punto de vista estrictamente racional, no tiene sentido seguir adelante en esas situaciones: 1. Si continúas en el cine, no sólo habrás perdido el dinero de la entrada y 30 minutos de tu vida, sino que además perderás otros 100 minutos más. 2. Si continúas con esa pareja, no sólo no la cambiarás, sino que aumentará tu infelicidad y te privarás de la oportunidad de conocer a otra persona más indicada y rehacer tu vida. 3. Cuanto más tardes en vender, más dinero perderás si esa empresa no funciona y no podrás invertir ese dinero en otros activos más rentables. Por desgracia (y por fortuna) no somos estrictamente racionales. Todos estamos sometidos en mayor o menor medida al influjo del costo hundido, con importantes consecuencias en el desarrollo de software y de nuevos productos, la adopción de nuevas tecnologías, la creación de políticas, la gestión de la cartera de productos y muchas otras esferas de la vida personal y empresarial. SI ESTÁS EN UN AGUJERO, DEJA DE CAVAR Eres el CISO de una empresa. Llevas gastados 5 millones de euros en un proyecto de detección y respuesta a incidentes basado en los últimos avances en IA y ML. El proyecto va muy retrasado y se está viendo que las expectativas iniciales estaban muy infladas y no conseguirá ni de lejos los resultados espectaculares que se le presagiaban. Requieres una inversión adicional de 6 millones para darle una oportunidad al proyecto. El Comité te propone cancelarlo e invertir esa misma cantidad en un nuevo proyecto que actualmente parece obtener mayores ganancias. ¿Qué harías tú? ¿Invertirías los 6 millones en el nuevo proyecto de resultados seguros o en sacar adelante el proyecto inicial con resultado incierto? En otras palabras, ¿qué es mejor? ¿Una pérdida segura o una apuesta desfavorable? Como predice la Teoría Prospectiva, en estas circunstancias nuestra aversión a la pérdida nos impulsa a preferir la apuesta insensata. Por supuesto hay otros muchos factores en juego. La cancelación del proyecto significa admitir públicamente que el CISO cometió un error épico y dejará una mancha permanente en su historial. Antes que pasar por esa ordalía, puede estar dispuesto a invertir los recursos que hagan falta hasta conseguir el éxito del proyecto. De hecho, a veces puede culparse a la propia cultura corporativa de perpetuar la falacia del costo hundido entre sus directivos. Cuando se castigan con excesiva severidad las malas decisiones conducentes a resultados desfavorables, inadvertidamente se está fomentando que los proyectos fallidos se prolonguen sin cesar, con la vana esperanza de que invertir más y más recursos pueda transformarlos en éxitos. SI SALES A ESCALAR, LLEVA UNA CUERDA ¿Cómo puedes evitar caer en esta trampa? Es una cuestión delicada. No puedes cancelar cualquier proyecto ante la primera dificultad y tampoco deberías continuar con la única motivación de recuperar el costo hundido. Por eso se habla a veces del dilema del coste hundido: la dificultad emocional de decidir si continuar o abortar un proyecto fallido. La forma racional de tomar decisiones exige basarse en la evaluación de las posibilidades y probabilidades futuras. El pasado y el presente son relevantes para el juicio solo en la medida en que brinden información que pueda usarse para evaluar eventos futuros. En general, esto implica ignorar los costos hundidos o no recuperables asociados con la decisión, ya sean psicológicos o económicos. Para ayudarte a tomar mejores decisiones, puedes probar estas técnicas, adaptadas de (Hammond, Keeney, & Raiffa, 1998): Busca y escucha atentamente las opiniones de las personas que no participaron en las decisiones anteriores y que, por lo tanto, es poco probable que se comprometan con ellas. Examina por qué te angustia admitir un error anterior. Si el problema radica en tu propia autoestima herida, enfréntala de frente. Estate atento a la influencia de los sesgos de costos hundidos en las decisiones y recomendaciones hechas por tus subordinados. Reasigna responsabilidades cuando sea necesario. No cultives una cultura de miedo al error, que conduzca a los empleados a perpetuar sus errores. Al recompensar a las personas, contempla la calidad de su toma de decisiones (teniendo en cuenta lo que se sabía en el momento en que se tomaron sus decisiones), no solo la calidad de los resultados. Establece límites de tiempo, dinero, energía antes de emprender los proyectos y cíñete a ellos. No solo consideres los costos y beneficios de continuar con un proyecto. Considera además los costos de oportunidad. Si te aferras al curso original, renuncias a usos alternativos para los recursos comprometidos en el proyecto. Instaura una cultura de «fracaso rápido». Elimina el estigma de la palabra «fracaso». Fracasar rápidamente es uno de los antídotos definitivos contra la falacia de costos hundidos en el mundo de la ingeniería del software. En una cultura de innovación constante los proyectos tienden a considerarse más bien como experimentos de los que aprender en lugar de tener que alcanzar el éxito a toda costa. Antes de adentrarte en la tormenta, pregúntate qué vale más: si el costo hundido (y por tanto irrecuperable ya) o todo lo que perderás si el proyecto fracasa igualmente a pesar de los nuevos recursos invertidos. CHECKLIST: 12 PREGUNTAS PARA LLEGAR A DECISIONES SIN DISTORSIONES DE SESGOS Conocer los sesgos cognitivos y las heurísticas no basta para superarlos. Por desgracia, una de sus características más insidiosas es que no tenemos forma de saber que estamos siendo su víctima: casi nunca nos atrapamos a nosotros mismos en el acto de cometer errores intuitivos. ¡Qué difícil nos resulta corregir errores que no podemos ver! Lo máximo a lo que podemos aspirar es aceptar nuestros sesgos, a sabiendas de que no podemos eliminarlos en nosotros mismos. En (Kahneman, Lovallo, & Sibony, 2011), Daniel Kahneman y varios colegas ofrecen un sistema para detectar los sesgos y minimizarlos dentro de una organización. Parten de la premisa de que no podemos controlar nuestra propia intuición, pero sí podemos aplicar un pensamiento racional para detectar la intuición defectuosa de los demás y mejorar su juicio. Proponen aplicar este sistema en un caso de uso muy frecuente en todo tipo de organizaciones: revisar una recomendación de otra persona y determinar si aceptarla, rechazarla o pasarla al siguiente nivel. Es decir, puedes usar tu pensamiento del Sistema Dos para detectar errores del Sistema Uno en las recomendaciones que otros te han dado. Gracias a las preguntas del siguiente checklist podrás desenmascarar sesgos cognitivos en los equipos que hacen las recomendaciones. Categoría Comprobación Preguntas Acciones Pregúntate a preliminares: Cuestiones timismo autoservicio Sesgo de ¿Existe razón errores sospechar por interés el para propio del motivados alguna equipo Revisa la propuesta con cuidado extra, especialmente en busca de optimismo Pregúntale al desafiantes: Preguntas equipo recomendación? que hace la excesivo. Heurística del afecto ¿Se ha propuesta? propia equipo enamorado de suel Aplica rigurosamente todos los controles de calidad de este checklist. Pensamiento de grupo ¿Hubo opiniones adecuadamente? exploraron divergentes? ¿Se Solicita visiones discrepantes, con discreción si fuera necesario. Sesgo de saliencia analogía éxito haya exceso ¿Puede análisis? memorable influido en que con el una en un Pide más analogías y analiza rigurosamente su semejanza con la situación actual. Sesgo de confirmación ¿Se han incluido alternativas creíbles junto con la recomendación? Pide opciones adicionales. Sesgo de disponibilidad Situvieras que tomar de nuevo esta decisión en un año, ¿qué información querrías? ¿Puedes obtener más ahora? Utiliza checklists con los datos requeridos para cada tipo de decisión. Sesgo de ¿Sabes de dónde Vuelve a anclar anclaje proceden ¿Puede números? números de extrapolaciones partir histórico, la manga, delhaber sacados una los a con cifras generadas con otros modelos o puntos de referencia y pide nuevos análisis. motivación para usar un ancla en particular? Efecto halo éxito ¿Está el organización persona, enfoque tendrá equipo en asumiendo elun otra? que mismo que área tiene ouna Elimina falsas inferencias y pide al equipo que busque ejemplos adicionales comparables. Falacia coste Efecto dotación hundido de del la ¿Los están en historia recomendación exceso que apegados dehacen a una Considera el asunto como si fueras un CEO recién llegado. pasadas decisiones? Preguntas sobre Pregúntales evaluación: propuesta la de Excesooptimista Falacia confianza Sesgo planificación Negligencia competidor de ladel optimista? excesivamente ¿Es el caso base Haz que el equipo cree un caso adoptando la visión externa; utiliza juegos de guerra. Negligencia del ¿Es el caso peor Haz que el desastre suficientemente malo? equipo realice un premortem: imagina que lo peor ha pasado y desarrolla una historia sobre las causas. pérdida Aversión a la ¿Es el equipo que recomiendo excesivamente cauteloso? Realinea los incentivos para compartir la responsabilidad del riesgo o para eliminar el riesgo. BIBLIOGRAFÍA Almuhimedi, H., Schaub, F., Sadeh, N., Adjerid, I., Acquisti, A., Gluck, J., . . . Agarwal, Y. (2015). Your Location has been Shared 5,398 Times!: A Field Study on Mobile App Privacy Nudging. Proceedings of the 33rd Annual ACM Conference on Human Factors in Computing Systems (CHI '15) (págs. 787-796). New York: ACM. doi:10.1145/2702123.2702210 Álvarez, G., & Arroyo, D. (2015). El superhéroe de las presentaciones. Gestión 2000. Ariely, D., Loewenstein, G., & Prelec, D. (2003). “Coherent Arbitrariness”: Stable Demand Curves Without Stable Preferences. The Quarterly Journal of Economics, 118(1), 73–106. doi:10.1162/00335530360535153 Arora, H., Steinbart, P., & Shao, B. (2006). Looking at Information Security through a Prospect Theory Lens. AMCIS 2006 Proceedings, (pág. 167). Acapulco. Obtenido de https://aisel.aisnet.org/amcis2006/167/ Asch, S. E. (1946). Forming impressions of personality. The Journal of Abnormal and Social Psychology, 258-290. doi:10.1037/h0055756 Balebako, R., Leon, P. G., Almuhimedi, H., Kelley, P. G., Acquisti, R., Cranor, L. F., & Sadeh, N. (2011). Nudging Users Towards Privacy on Mobile Devices. PINC2011. doi:10.1.1.259.7646 Calo, R. (2014). Code, Nudge, or Notice? Iowa Law Review, 99(2), 773-802. Obtenido de https://ssrn.com/abstract=2217013 Cervone, D., & Peake, P. K. (1986). Anchoring, efficacy, and action: The influence of judgmental heuristics on self efficacy judgments and behavior. Journal of Personality and Social Psychology, 50(3), 492-501. doi:10.1037/0022-3514.50.3.492 Cheek, N., Coe-Odess, S., & Schwartz, B. (2015). What have I just done? Anchoring, self-knowledge, and judgments of recent behavior. Judgment and Decision Making, 10(1), 76-85. Obtenido de https://psycnet.apa.org/record/2015 04044-006 Critcher, C. R., & Gilovich, T. (2007). Incidental environmental anchors. Journal of Behavioral Decision Making, 21(3), 241-251. doi:10.1002/bdm.586 Dhamija, R., Tygar, J., & Hearst, M. (2006). Why phishing works. Proceedings of the SIGCHI Conference on Human Factors in Computing Systems (CHI '06) (págs. 581-590). New York: ACM. doi:10.1145/1124772.1124861 Dobelli, R. (2016). El arte de pensar: 52 errores de lógica que es mejor dejar que cometan otros. Ediciones B. Enough, B., & Mussweiler, T. (2006). Sentencing Under Uncertainty: Anchoring Effects in the Courtroom. Journal of Applied Social Psychology, 31(7), 1535-1551. doi:10.1111/j.1559-1816.2001.tb02687.x Flyvbjerg, B. (2009). Survival of the unfittest: why the worst infrastructure gets built—and what we cando about it. Oxford Review of Economic Policy, 25(3), 344–367. doi:10.1093/oxrep/grp024 Galinsky, A. D., & Mussweiler, T. (2001). First offers as anchors: The role of perspective-taking and negotiator focus. Journal of Personality and Social Psychology, 81(4), 657-669. doi:10.1037/0022-3514.81.4.657 Gardner, D. (2009). The Science of Fear: How the Culture of Fear Manipulates Your Brain. PLUME. Hammond, J. S., Keeney, R. L., & Raiffa, H. (September de 1998). The Hidden Traps in Decision Making. Harvard Business Review. Obtenido de https://hbr.org/1998/09/the-hidden-traps-in-decision making-2 Hansen, P. G. (2017). The Definition of Nudge and Libertarian Paternalism: Does the Hand Fit the Glove? European Journal of Risk Regulation, 7(1), 155-174. doi:10.1017/S1867299X00005468 Hedlund, J. (2000). Risky business: safety regulations, risk compensation, and individual behavior. Injury Prevention, 82-89. doi:10.1136/ip.6.2.82 Kahneman, D. (2011). Pensar rápido, pensar despacio. Kahneman, D., Lovallo, D., & Sibony, O. (June de 2011). The Big Idea: Before You Make That Big Decision…. Harvard Business Review. Obtenido de https://hbr.org/2011/06/the-big-idea-before-you-make that-big-decision Khalila, L., & Abi Karam, N. (2015). Security Management: Real versus Perceived Risk of Commercial Exploitation of Social Media Personal Data. Procedia Computer Science, 304-313. doi:10.1016/j.procs.2015.09.087 Klein, G. (September de 2007). Performing a Project Premortem. Harvard Business Review. Obtenido de https://hbr.org/2007/09/performing-a-project-premortem Mussweiler, T. (2001). The durability of anchoring effects. European Journal of Social Psychology, 31(4), 431-442. doi:10.1002/ejsp.52 Mussweiler, T., & Strack, F. (1999). Comparing Is Believing: A Selective Accessibility Model of Judgmental Anchoring. European Review of Social Psychology, 10(1), 135-167. doi:10.1080/14792779943000044 Mussweiler, T., Strack, F., & Pfeiffer, T. (2000). Overcoming the Inevitable Anchoring Effect: Considering the Opposite Compensates for Selective Accessibility. Personality and Social Psychology Bulletin, 26(9), 1142–1150. doi:10.1177/01461672002611010 Persky, J. (1995). Retrospectives: The Ethology of Homo Economicus. The Journal of Economic Perspectives, 9(2), 221-231. Obtenido de https://www.jstor.org/stable/2138175 Plous, S. (1989). Thinking the Unthinkable: The Effects of Anchoring on Likelihood Estimates of Nuclear War. Journal of Applied Social Psychology, 19(1), 67-91. doi:10.1111/j.1559-1816.1989.tb01221.x Plous, S. (1993). The Psychology of Judgment and Decision Making. McGraw-Hill. Pohl, R. F. (2016). Cognitive Illusions: Intriguing Phenomena in Judgement, Thinking and Memory (2nd ed.). Psychology Press. Raja, F., Hawkey, K., Hsu, S., Wang, K.-L. C., & Beznosov, K. (2011). A brick wall, a locked door, and a bandit: a physical security metaphor for firewall warnings. Proceedings of the Seventh Symposium on Usable Privacy and Security (SOUPS '11) (pág. 1). New York: ACM. doi:10.1145/2078827.2078829 Renaud, K., & Zimmermann, V. (2018). Ethical guidelines for nudging in information security & privacy. International Journal of Human-Computer Studies, 120, 22-35. doi:10.1016/j.ijhcs.2018.05.011 Rooijen, M. R.-v., & Daamen, D. D. (2006). Subliminal anchoring: The effects of subliminally presented numbers on probability estimates. Journal of Experimental Social Psychology, 42(3), 380-387. doi:10.1016/j.jesp.2005.05.001Get Schneier, B. (2008). The Psychology of Security. AFRICACRYPT 2008 (págs. 50-79). Casablanca: Springer-Verlag. doi:10.1145/1230819.1241693 Schuman, H., & Presser, S. (1996). Questions and Answers in Attitude Surveys: Experiments on Question Form, Wording, and Context. SAGEPublications. Simon, H. (1957). Models of Man, Social and Rational: Mathematical Essays on Rational Human Behavior in a Social Setting. New York: Wiley. Slovic, P. (1987). Perception ofrisk. Science, 236(4799), 280 285. doi:10.1126/science.3563507 Slovic, P., Finucane, M., Peters, E., & MacGregor, D. G. (2002). Rational actors or rational fools: implications of the affect heuristic for behavioral economics. The of Journal Socio-Economics, 31(4), 329-342. doi:10.1016/S1053-5357(02)00174-9 Strack, F., & Mussweiler, T. (1997). Explaining the enigmatic anchoring effect: Mechanisms of selective accessibility. Journal of Personality and Social Psychology, 73(3), 437-446. doi:10.1037/0022-3514.73.3.437 Sutherland, S. (2015). Irracionalidad: El enemigo interior. Anaya. Taleb, N. N. (2007). El cisne negro: El impacto de lo altamente improbable. Booket. Thaler, R. H., & Sunstein, C. R. (2017). Un pequeño empujón: El impulso que necesitas para tomar mejores decisiones sobre salud, dinero y felicidad. Taurus. Tversky, A., & Kahneman, D. (1974). Judgment under Uncertainty: Heuristics and Biases. Science, 185(4157), 1124-1131. doi:10.1126/science.185.4157.1124 Tversky, A., & Kahneman, D. (1981). The Framing of Decisions and the Psychology of Choice. Science,, 211(4481), 453-458. Obtenido de https://www.jstor.org/stable/1685855 Wang, Y., Leon, P. G., Acquisti, A., Cranor, L. F., Forget, A., & Sadeh, N. (2014). A field trial of privacy nudges for facebook. Proceedings of the SIGCHI Conference on Human Factors in Computing Systems (CHI '14) (págs. 2367-2376). New York: ACM. doi:10.1145/2556288.2557413 Wason, P. C. (1960). On the failure to eliminate hypotheses in a conceptual task. Quarterly Journal of Experimental Psychology, 12(3), 129-140. doi:10.1080/17470216008416717 Wason, P. C. (1968). Reasoning about a rule. Quarterly Journal of Experimental Psychology, 20(3), 273-281. doi:10.1080/14640746808400161 Wayne D. Kearney, H. A. (2016). Theorising on risk homeostasis in the context of information security behaviour. Information and Computer Security, 496-513. doi:10.1108/ICS-04-2016-0029 Wilde, G. J. (1982). The Theory of Risk Homeostasis: Implications for Safety and Health. Wiley. Wilson, T. D., Houston, C. E., Etling, K. M., & Brekke, N. (1996). A new look at anchoring effects: basic anchoring and its antecedents. Journal of Experimental Psychology: General, 125(4), 387-402. doi:10.1037/0096-3445.125.4.387 Yamagishi, K. (1999). When a 12.86% mortality is more dangerous than 24.14%: implications for risk communication. Applied Cognitive Psychology, 11(6), 495-506. doi:10.1002/(SICI)1099 0720(199712)11:6%3C495::AID-ACP481%3E3.0.CO;2 J Yevseyeva, I., Morisset, C., & Morsel, A. v. (2016). Modeling and analysis of influence power for information security decisions. Performance Evaluation, 98, 36-51. doi:10.1016/j.peva.2016.01.003 Young, D., Beebe, N., & Chang, F. (2012). Prospect Theory and Information Security Investment Decisions. AMCIS 2012 Proceedings, (pág. 8). Seattle. Obtenido de https://aisel.aisnet.org/amcis2012/proceedings/ISSecurity/8