Eres menos racional de lo que crees cuando tomas decisiones de riesgo en condiciones inciertas

lunes, 5 de noviembre de 2018

Te propongo el siguiente juego de azar:
  • Opción A: Te doy 1.000 € con un 100 % de probabilidad
  • Opción B: Lo echamos a suertes: si sale cara, te doy 2.000 €; si sale cruz, no te doy nada
¿Qué opción elegirías? ¿La ganancia segura o la posibilidad de ganar el doble (o nada)? Si eres como el 84 % de la población, habrás elegido la opción A, la ganancia segura.
Vale, ahora te propongo un nuevo escenario. Tienes que pagar una multa y te dan a elegir cómo hacerlo:
  • Opción A: Pagas 1.000 € de multa con un 100 % de probabilidad.
  • Opción B: Lo echan a suertes: si sale cara, pagas 2.000 € de multa; si sale cruz, te vas de rositas sin pagar ni un euro.
¿Qué opción elegirías en este caso? ¿Pagar la multa sí o sí o jugártela a suertes, pudiendo pagar nada (o el doble)? Pues en este caso, si eres como el 70 % de la población, habrás elegido la opción B.
Entonces, ¿lo estás haciendo bien? ¿Mal? Vamos a examinar ahora qué está pasando aquí desde un punto de vista puramente racional.

Según la teoría de la utilidad esperada, elegirás siempre la opción que maximice la utilidad de la decisión
El valor esperado de una decisión E[u(x)] (o el retorno que puedes esperar) se calcula como el producto de dos cantidades bien sencillas: la probabilidad de la ganancia p multiplicada por el valor (o utilidad) de la ganancia u(x). Es decir, cuanto más probable sea que ganes algo y mayor sea su valor, mayor será el valor esperado. Se representa matemáticamente así:


Si fuéramos racionales al 100 %, haciendo uso de esta fórmula siempre sabríamos qué hacer en cada momento y cómo tomar la decisión perfecta: bastaría con calcular la probabilidad de cada decisión y su utilidad y escoger la que maximizara el valor esperado. Por desgracia, el ser humano no es una máquina racional de toma de decisiones. No somos un "homo economicus" capaz de realizar análisis de coste-beneficio perfectos y elegir resultados óptimos con total objetividad. La Teoría de la Utilidad Esperada, tan bonita sobre el papel, incurre en dos grandes fallos cuando la aplicamos al día a día más allá de los juegos matemáticos de azar:
  1. Somos muy malos estimando la probabilidad de ganar
  2. Somos muy malos estimando el valor de la ganancia
Para verlo con mayor claridad, repasemos las dos propuestas del inicio del artículo a la luz de esta teoría.

En el juego de azar, el valor esperado de la opción A es:

E(A)=1,0∙1.000=1.000

Mientras que el valor esperado de la opción B es:

E(B)=0,5∙2.000+0,5∙0,0=1.000

¡Ambos valores son idénticos! Por tanto, desde un punto de vista estrictamente racional, tanto debería importarnos uno como otro. Y ¿qué ocurre con el segundo escenario?

En este caso, el valor esperado de la opción A es:

E(A)=1,0∙(-1.000)=-1.000

Y el de la opción B, en cambio:

E(B)=0,5∙(-2.000)+0,5∙0,0=-1.000

Una vez más, ambas son iguales. Por lo tanto, una vez más lo mismo daría elegir una que otra.
Entonces, ¿por qué más gente elige la opción A del primer escenario y la opción B del segundo en lugar de elegir cualquiera de ellas? ¡Porque no somos puramente racionales! 
  • Preferimos una pequeña ganancia segura que una gran ganancia posible. Ya lo dice el refrán: "más vale pájaro en mano que ciento volando". 
  • Sin embargo, aborrecemos una pequeña pérdida segura y preferimos una posible gran pérdida. Es decir, la pérdida segura suscita tanta aversión que, antes que perder, asumimos el riesgo.
Por supuesto, el cerebro no hace ningún cálculo matemático. Simplemente aplica una heurística: si puedes ganar algo con seguridad, tómalo y no lo arriesgues por ganar más; si puedes evitar una pérdida segura, arriésgate, aunque la posible pérdida sea mayor. Cuando se ponderan ganancias y pérdidas del mismo calibre, estas últimas «pesan» más.

De hecho, la satisfacción de ganar es muy inferior al dolor de la pérdida. Es muy fácil de ver. Si sales a la calle con 100 € y pierdes 50, tu valoración subjetiva de esta pérdida es mayor que si sales con los bolsillos vacíos y te encuentras 50 €, aunque se trata de una ganancia objetivamente equivalente. Sí, al final en ambos casos acabas con 50 € en el bolsillo, pero el proceso no te da igual. ¡Ni mucho menos!


Según la teoría prospectiva, tu eversión a la pérdida hará que arriesgues más por no perder que por ganar
¿Recuerdas el artículo anterior, Historia de dos mentes: La abismal diferencia entre el riesgo real y el riesgo percibido? La moderna psicología de la economía del comportamiento propone un modelo del ser humano radicalmente diferente al "homo economicus": en condiciones de incertidumbre, cuando se enfrenta a una situación muy compleja, nuestro cerebro cambia el problema por otro más sencillo. Son las heurísticas o atajos de pensamiento, que nos conducen a tomar decisiones «irracionales» aunque perfectamente explicables.

La siguiente curva matemática captura gráficamente la esencia de la Teoría Prospectiva, propuesta por Kahneman y Tversky:


La curva recoge tres características cognitivas esenciales de la Teoría Prospectiva, propias del Sistema 1:
  1. No se trata de una línea recta (o cóncava), como cabría esperar de la teoría de utilidad. Curiosamente, tiene forma de S, lo que indica que la sensibilidad a las ganancias y a las pérdidas va disminuyendo: tendemos a sobreestimar las pequeñas probabilidades y a subestimar las grandes.
  2. También choca que las dos curvas de la S no son simétricas. La pendiente de la función cambia de manera abrupta en el punto de referencia como consecuencia de la aversión a la pérdida: tu respuesta ante una pérdida es más enérgica que ante una ganancia objetivamente equivalente. De hecho, este valor se estima entre 2 y 3 veces más fuerte. 
  3. Por último, las opciones no se evalúan en función de su resultado, sino en función del punto de referencia. Si todo tu capital consiste en 1.000,00 € en el banco, que te ingresen 1.000,00 € adicionales seguro que te hace más ilusión que si tienes ya 1.000.000,00 € en el banco. Son los mismos 1.000,00 €, pero dado que el punto de referencia es diferente, no los aprecias igual. De igual modo ocurrirá para una pérdida: seguro que no te afecta lo mismo perder 1.000,00 € si tienes 2.000,00 € que si tienes 1.000.000 €, ¿a que no? 

Una teoría de la decisión en seguridad de la información
A la luz de todo lo explicado, están quedando claras dos ideas:
  1. No evaluamos las pérdidas y ganancias de manera totalmente objetiva.
  2. Nos dejamos influir por el punto de referencia y por la aversión de la pérdida.
Visto lo cual, cabe especular con las siguientes dos hipótesis sobre cómo invertirás en medidas de seguridad en función de cómo se te presente la información:

  • Hipótesis 1: Cuando se te presentan positivamente dos opciones de inversión en medidas de seguridad de la información, preferirás la opción de mayor certidumbre
  • Hipótesis 2: Cuando se te presentan negativamente dos opciones de inversión en medidas de seguridad de la información, preferirás la opción de menor certidumbre
Veámoslo con un ejemplo. Imagínate que tu empresa te ha asignado un presupuesto para un paquete de seguridad de la información. Sin esa inversión, se estima que tu empresa experimentará pérdidas por un total de 600.000,00 € (en esta cantidad se incluyen las pérdidas financieras, físicas, datos, reputación, tiempo, etc.). ¿Cuál de los dos paquetes A o B siguientes elegirías en cada escenario?

  • Escenario 1: Opciones presentadas positivamente:
    • Paquete A: Conseguirás salvar con seguridad 200.000,00 € de activos.
    • Paquete B: Existe una probabilidad de 1/3 de que salves los 600.000,00 € de activos y una probabilidad de 2/3 de que no salves nada.
  • Escenario 2: Opciones presentadas negativamente:
    • Paquete A: Se perderán con seguridad 400.000,00 € de activos.
    • Paquete B: Existe una probabilidad de 1/3 de que no se pierda ningún activo y una probabilidad de 2/3 de que se pierdan los 600.000,00 € de activos.
Por supuesto, se trata de los dos escenarios del inicio de este artículo, aunque replanteados en términos de decisión de seguridad. Aunque los paquetes A y B en ambos escenarios conducen a la misma utilidad esperada, según la Teoría Prospectiva, en la práctica la mayoría de directores de seguridad escogerán la A en el primer escenario (más vale salvar algo con seguridad que arriesgarse a no salvar nada) y escogerán la B en el segundo escenario. No obstante, un experimento mostró que en este segundo caso tantos eligieron uno como otro, si acaso con preferencia por la A. 

¿Qué importancia tienen estos resultados para tu día a día? Resulta imposible enumerar todos los posibles ataques y calcular su probabilidad y su impacto, según la fórmula tradicional para computar el riesgo. Así que debes estar en guardia ante procesos mentales que te alejen de decisiones óptimas:
  • Dependiendo de cuál sea tu actitud, búsqueda del riesgo o evitación del riesgo, tenderás a reaccionar de una u otra manera, puenteando así tu racionalidad. Las personas con tendencia al riesgo elegirán las opciones B. En la práctica, tendemos a la certidumbre ante la ganancia y al riesgo ante la pérdida. Por este motivo, cuando estés tomando una decisión de seguridad, detente a reflexionar: ¿Cómo me están planteando esta opción? ¿Como una ganancia o como una pérdida? ¿Cómo suelo comportarme en estos dos escenarios? ¿Tiendo a buscar la seguridad o el riesgo? ¿Quién está tomando la decisión, el Sistema 1 o el Sistema 2?
  • Del mismo modo, cuando plantees una opción de inversión ante el comité o ante los decisores, tienes la posibilidad de hacerlo desde un marco positivo o negativo. En el primer caso, marco positivo, plantea la certeza de la ganancia y huye de las probabilidades y del riesgo. En el segundo caso, marco negativo, en lugar de plantear una pérdida segura, aunque pequeña, plantea la posibilidad de no perder (aunque te arriesgues a una gran pérdida) y enfatiza su alta probabilidad.
  • A la hora de enmarcar una inversión en seguridad, haz uso del deseo de ganar con certeza. En lugar de plantear la inversión en seguridad como la protección esperada ante hipotéticas amenazas que podrían no materializarse, enfócate en las ganancias ciertas e indiscutibles: mejora de la reputación, confianza de los clientes, procesos y operaciones eficaces, cumplimiento normativo, etc. Trata de llevar la discusión al cuadrante de las ganancias y habla sobre cuestiones cuya evidencia sea aplastante. Busca la ganancia segura y huye de las probabilidades y los futuribles.
  • Como ingeniero de seguridad o "Defensor", te encuentras típicamente en el cuadrante de las Pérdidas. En definitiva, hagas lo que hagas, pierdes: si los ataques tienen éxito, has fallado en su defensa: has perdido; si no queda constancia de ataques exitosos, ¿has ganado?, no, te dirán que has gastado en seguridad más de lo necesario: has perdido. Nadie dijo que el trabajo en ciberseguridad fuera fácil ni agradecido, es peor que el de portero de fútbol. Operar desde el cuadrante de las pérdidas fomenta una conducta de búsqueda de riesgo: es posible que arriesgues más en aras de una defensa total, pasando por alto soluciones seguras contra amenazas menores.
  • Recuerda que es muy fácil sobreestimar las pequeñas probabilidades, lo que te puede llevar a invertir en soluciones para proteger ante amenazas muy llamativas, pero de muy baja prevalencia. Puedes invertir en APTs de nombres rimbombantes y olvidarte de que la mayoría de los ataques se producen a través de métodos muy pedestres y nada glamurosos: phishing, inyecciones en páginas web, malware de toda la vida recompilado y reempaquetado contra el que existen parches, … En fin, lo de siempre, que poco o nada tiene que ver con «avanzado», «inteligente» ni «sofisticado», aunque persistentes sí que son, ya que las amenazas más exitosas de hoy son las de ayer. Nihil novum sub sole.
  • No caigas en la trampa de la sensibilidad decreciente. La curva en forma de S se va aplanando. Eso significa que un primer incidente causa mucho más impacto y revuelo que el décimo incidente de la misma magnitud. Cada ataque "dolerá" menos que el anterior a igualdad de pérdidas. La organización se va insensibilizando. Por eso es tan importante actuar desde el primer incidente, cuando la organización está «en carne viva». Cuanto más tardes en actuar, aunque el incidente se repita, se irá considerando cada vez menos y menos impactante. Después de todo, aquí seguimos, ¿no? Habrás sucumbido a «la muerte de los mil cortes».
  • Para el defensor, un ataque tiene éxito o no lo tiene, el resultado es todo o nada. Si un ataque tiene un éxito del 1 %, no estás protegido en un 99 % porque, si te atacan con éxito, habrás sucumbido al 100 %. Un incidente exitoso y grave desplazará drásticamente tu punto de referencia hacia el abismo de las pérdidas. Ya no te sentirás tan seguro como antes del incidente. La organización invertirá posiblemente en un intento de traer de vuelta el punto de referencia a su estado inicial. Cambiar el punto de referencia hace que cambie tu sensibilidad ante los mismos incidentes: si lo has bajado, un incidente que antes te habría horrorizado ahora te dejará casi indiferente; y al revés. Conviene revisar este punto de referencia, usando todas tus métricas y medidas del riesgo a tu alcance.
Por mucho que te esfuerces, tus decisiones nunca serán ideales o perfectas. Te verás sometido a innumerables restricciones y condicionantes: de recursos (económicos y personales), culturales, legislativos, etc. Y, además, tienes que añadir a la ecuación tu propio comportamiento ante el riesgo, influido a su vez por otros muchos factores de los cuales NI SIQUIERA ERES CONSCIENTE.

Este artículo pretende ayudarte a aflorar a la conciencia algunos de esos factores. Tenlos en cuenta en tus próximas decisiones de seguridad. La gente tiende a aceptar una ganancia incremental en seguridad antes que la probabilidad de una ganancia mayor; del mismo modo, tiende a arriesgarse a una gran pérdida antes que aceptar la certeza de una pérdida menor. ¿Tú también?

Gonzalo Álvarez de Marañón
Innovación y Laboratorio de ElevenPaths
@gonalvmar

No hay comentarios:

Publicar un comentario