type: guide
title: "Sesgos cognitivos del analista de inteligencia"
parent: "[[cti-recursos-juniors-unificado]]"
source: "Extraccion de la nota madre cti-recursos-juniors-unificado"
tags:
  - topic/cognitive-biases
  - topic/intelligence-analysis
  - method/review
processed: true
status: seedling

Sesgos cognitivos del analista de inteligencia

Extraccion atomica de la nota madre cti-recursos-juniors-unificado. Seccion fuente: "G. Sesgos cognitivos a vigilar". El master sigue intacto para lectura lineal.

G. Sesgos cognitivos a vigilar

Info

Tu cerebro miente todos los días. Estos 6 sesgos son los más letales para un junior CTI. Profundiza en LISAInstitute_MPAI-A5-M1 y [[sesgos-cognitivos-analista]].

Sesgo	Cómo ataca al analista CTI	Antídoto
Confirmación	Encuentras un IOC que apunta a APT28; sólo buscas evidencia que confirme APT28; ignoras que también podría ser FIN7 con TTPs solapadas	Aplica ACH (`[[entidad-ach]]`): lista 3+ hipótesis competidoras y para cada IOC marca cuál refutaría/apoyaría
Anclaje	El primer reporte que leíste decía "ransomware Conti". Todo lo que lees después lo lees buscando Conti; ignoras que Conti se disolvió y ahora son Black Basta + otros derivados	Antes de leer evidencia, escribe tu prior probability de la hipótesis con WEP. Re-evalúa cada N piezas
Disponibilidad	El último ataque sonado fue ransomware. Sobrestimas que el próximo también lo será y dejas de mirar phishing/data exfil	Mira base rates (datos de tu sector últimos 12 meses, no últimos 7 días)
Representatividad	El IP X ha hecho phishing antes; encuentras nueva actividad → asumes phishing. Olvidas que el botnet del IP cambió de operador y ahora hace bruteforce	Trata cada caso como independiente; pídete "¿qué evidencia base-rate apoya esta clasificación?"
Atribución errónea	Atribuyes una intrusión a un país por un campo `Russian language` en metadatos. Olvidas false flags y trabajos a sueldo	Atribución sólo con convergencia de 3+ pilares (TTPs + Infrastructure + Victimología) y siempre con WEP+Confidence
Tunnel vision / resistencia al cambio	Llevas 2 días con la hipótesis "X". Aparece evidencia que la rompe. La descartas como ruido y sigues	Programa Key Assumptions Check (`[[entidad-key-assumptions-check]]`) cada 24h en investigaciones largas

Ritual diario anti-sesgo

Antes de mandar un reporte, pregúntate: "¿Qué tendría que ser cierto para que mi conclusión esté equivocada? ¿He buscado esa evidencia con la misma intensidad que la confirmatoria?" Si la respuesta es "no", retrasa 30 minutos y re-analiza. Esto es la base de Devil's Advocacy — [[entidad-devils-advocacy]].

Themes

tema-cti-fundamentos-doctrina