La estrategia F*CK: La aplicación del efecto pratfall en las empresas

El efecto pratfall

En la década de 1960, el psicólogo Elliot Aronson acuñó el término "efecto pratfall" (pratfall significa error vergonzoso) al describir algunos de los resultados de sus investigaciones. El efecto pratfall es un fenómeno por el cual las personas de las que se piensa que son competentes, son percibidas como más simpáticas o atractivas cuando cometen una torpeza.

Aronson realizó un experimento en el que grabó a un actor mientras fingía estar respondiendo a cuestionarios. En una condición, tras "resolver" los cuestionarios (92% de aciertos, a propósito), el actor fingía derramar una taza de café sobre sí mismo. En la otra condición, no hubo ninguna torpeza. Las grabaciones se reprodujeron ante una amplia muestra de estudiantes, quienes después puntuaron la simpatía del participante. Curiosamente, el torpe fue mejor valorado.

Publicidad de Avis utilizando el efecto pratfall.

No tenemos que esperar a ser torpes o simularlo para poner en práctica el efecto pratfall. Volkswagen (VW), Avis, Stella Artois y otras marcas lo han utilizado en campañas publicitarias. Hablemos de un caso de VW. El VW Beetle tuvo éxito gracias a la aguda redacción publicitaria que señalaba algunos aspectos (aparentemente) desalentadores del modelo. "Feo", "lento", "ruidoso" y "caro" son palabras que habrías visto en alguno de los anuncios de aquellos gloriosos años del Beetle. Gracias al publicista y escritor Richard Shotton, he encontrado este divertido anuncio de VW: "Think small", presentando el tamaño supuestamente no tan correcto del vehículo. Contraintuitivo. Así es la complejidad de la mente humana.

Publicidad de Volkswagen.

VW utilizó estos puntos débiles en su propio beneficio: dieron a entender que el Beetle tenía un aspecto extraño porque se centraban en la excelencia de la ingeniería, no en el aspecto superficial. —Shotton

Fallas épicas y honestidad

¿Has tenido alguna vez un incidente colosal de ciberseguridad? Seguro que sí. Fluid Attacks también ha pasado por ello (lo sé porque fui parcialmente responsable de uno). La historia de "FCK" y, más ampliamente, el efecto pratfall nos dicen algo valioso sobre la gestión de incidentes y la comunicación de quiénes somos.

Allá por 2014, uno de nuestros clientes nos llamó enfadado por un incidente de seguridad provocado posiblemente por uno de nuestros pentesters. Este realizó un ataque de denegación de servicio hacia una estación de trabajo y, al parecer, colapsó un dispositivo de seguridad de red intermedio, dejando fuera de servicio grandes sistemas corporativos durante unos 45 minutos.

Leíste bien: Una empresa de AppSec contratada para hacer que los productos de software sean más seguros, provoca que sistemas de misión crítica de uno de sus clientes estén fuera de servicio (una contradicción). Nos reunimos inmediatamente con el director que nos había contratado. Le pedimos que nos informara sobre el incidente; las pérdidas parecían importantes desde el punto de vista financiero. Fue una reunión incómoda y tensa de 30 minutos. Nuestro colega admitió su error, y no tuvimos más que ofrecer una disculpa sincera y volver con una propuesta para compensar el corte. El proyecto se detuvo.

Unos días después, mi jefe se reunió con el cliente, quien aceptó reanudar el proyecto y nuestra propuesta de indemnización. Después reflexionamos sobre este incidente. Las palabras de nuestro CEO de entonces aún resuenan en mi mente: "La responsabilidad antes que la rentabilidad". Hoy, ese cliente sigue confiando en Fluid Attacks.

Algo similar, pero más de carácter público, puede apreciarse en lo que le sucedió a la compañía Zoom Communications con su plataforma en plena pandemia del COVID-19. Cuando Zoom se enfrentó a una serie de vulnerabilidades de seguridad en 2020, su aumento inicial de popularidad se convirtió rápidamente en una crisis. Se descubrieron numerosos problemas de seguridad y privacidad, como "Zoombombing" (participantes no invitados que interrumpían las reuniones), fallos de enrutamiento de datos y afirmaciones engañosas sobre su cifrado.

Reconociendo que en el ámbito digital también se responde favorablemente a la autenticidad, en lugar de desviar la culpa, el CEO Eric S. Yuan pidió disculpas públicas, reconociendo las deficiencias de la empresa. No se trataba solo de un control de daños, sino de una especie de pratfall digital. Al admitir abiertamente sus defectos, Zoom se humanizó, pasando de ser un gigante tecnológico intocable a una empresa que se enfrenta a retos del mundo real. Esta transparencia, demostrada a través de su compromiso de congelar las funciones durante 90 días para dar prioridad a la seguridad, mostró un nivel de responsabilidad que tuvo eco entre los usuarios.

No deberíamos tener miedo a ser sinceros cuando se comete un posible (enorme) error. Los clientes valoran a las compañías que se perciben como cercanas a ellos. Todo el mundo sabe que los humanos cometemos errores, y las empresas o marcas también. Admitir las equivocaciones y los puntos débiles es una prueba concreta de honradez y, en consecuencia, hace más creíbles otras afirmaciones.

Si alguna vez eres responsable de un fallo de seguridad, díselo rápidamente a tu compañía. Acepta tu responsabilidad y apuesta por el efecto pratfall. Muchas organizaciones han temido a las pésimas reacciones por errores empresariales siguiendo este camino, pero han salido adelante.

Ejemplo de un fallo evitable

Fui alumno de DataCamp durante unos tres años. Esta compañía ofrece formación online en ciencia de datos en muchas tecnologías (Python, R, SQL y otras). En 2019, me enteré de un escándalo relacionado con esa empresa. El CEO estuvo involucrado en el acoso sexual de un instructora en 2017. La comunidad de ciencia de datos, en apoyo a la víctima, inició un "boicot" (véase un ejemplo). En pocas palabras, decenas de instructores comenzaron a decirle a la gente que no tomara sus cursos en DataCamp y que usara otros recursos disponibles. ¿El motivo? La dirección de DataCamp intentó ocultar o restar importancia al incidente mientras que la gente había exigido transparencia y responsabilidad por el asunto desde hacía tiempo.

El 24 de abril de 2019, un comunicado muy tardío de la Junta Directiva de la compañía anunciaba que el CEO dejaba su cargo indefinidamente. Seguro que si la estrategia hubiera sido otra, todo esto se podría haber evitado. DataCamp es un gran actor mundial en el mercado del e-learning, y no supo adoptar el efecto pratfall. Yo diría que su enfoque "racional" condujo a una desastrosa gestión de las relaciones públicas, deteriorando su confianza.

No somos perfectos, pero hacemos lo mejor que podemos

Como vimos en este post, ser abiertos y enfrentarnos a nuestros defectos puede tener enormes beneficios. Queríamos compartir con ustedes otra perspectiva de la naturaleza humana relacionada con nuestra misión en ciberseguridad. Ningún individuo y ninguna organización están totalmente protegidos contra las brechas de seguridad. Debemos comprender ese hecho y prepararnos lo mejor que podamos para evitar esos problemas. En Fluid Attacks, intentamos, lo mejor que podemos, infundir esa premisa entre nuestros empleados. También compartimos con nuestros clientes que no somos intachables y que de vez en cuando ocurren c*gadas.

Te invitamos a conocer nuestra solución Hacking Continuo si aún no la conoces (inicia una prueba gratuita de 21 días). Esta evalúa tus aplicaciones a lo largo del SDLC a través de herramientas automatizadas y expertos y constantemente te reporta y te ayuda a priorizar y remediar sus vulnerabilidades de seguridad. Nuestra plataforma de gestión de vulnerabilidades es un componente crítico de nuestra propuesta de valor. Sabemos que esta plataforma aún no es puntera. Sabemos que no somos ni el número uno ni el número dos en soluciones AppSec, pero de lo que estamos seguros es de que trabajamos duro para mejorar día a día nuestro portfolio en favor de tu ciberseguridad.