La psicología del phishing: el efecto de prevalencia

Un conocido efecto psicológico explica el éxito del phishing.

Los ciberdelincuentes llevan mucho tiempo utilizando la psicología como herramienta de engaño. Pero nosotros también podemos utilizar los fenómenos psicológicos para explicar por qué ciertos métodos delictivos funcionan y para contribuir a generar la estrategia de protección adecuada. Muchos psicólogos analizan la estrategia de ataque y los motivos que avalan su eficacia. Hoy examinamos una hipótesis que explica por qué, pese a la potencia de las tecnologías antiphishing, los correos fraudulentos continúan registrando víctimas y pueden causar un daño considerable. Y, lo más importante, analizamos qué hacer al respecto.

Las medidas antispam y antiphishing son unos componentes clave para la seguridad online de cualquier empresa. Al investigar los ciberincidentes, nuestros expertos normalmente descubren que el problema comienza con un correo electrónico, ya sea un correo masivo o un ataque dirigido. Actualmente, los filtros de correo pueden identificar los típicos correos de phishing con un alto nivel de acierto; sin embargo, los atacantes siguen burlando la seguridad (por ejemplo, al secuestrar un buzón de entrada de correo de un socio) y consiguen entregar el mensaje a una víctima humana, que siempre se trata del eslabón más débil de la cadena. Y, cuanto más eficaces sean estos filtros, mayor es la posibilidad de que el mensaje logre engañar al usuario.

El experimento

La  hipótesis de dos investigadores estadounidenses, Ben D. Sawyer del Instituto Tecnológico de Massachusetts, y Peter A. Hancock, de la Universidad de Florida Central, habla sobre la existencia de una correlación directa entre la frecuencia de los mensajes de correo maliciosos y la identificación exitosa del usuario. En su teoría, estos investigadores se basaron en el “efecto de prevalencia“, muy conocido en psicología, que básicamente expone que es más probable que una persona omita (o no detecte) una señal poco común que una que ocurre con frecuencia.

Los investigadores decidieron ponerlo en práctica mediante un experimento en el que se enviaron mensajes de correo a los participantes, algunos de los cuales contenían archivos adjuntos maliciosos. El porcentaje de mensajes de correo maliciosos varió para cada participante: para algunos, solo un 1 % contenía archivos adjuntos con malware, mientras que para otros se trataba del 5 % o del 20 %. El resultado confirmó su hipótesis: cuanto menos frecuente sea una amenaza, más difícil resulta que las personas la detecten. Además, la dependencia ni siquiera es lineal, sino que se aproxima a la logarítmica.

Cabe destacar que en el experimento tan solo participaron 33 individuos, todos estudiantes, por lo que sería precipitado aceptar esta conclusión sin pensar. Pero en la psicología, el efecto de prevalencia ha quedado demostrado, por tanto, ¿por qué no debería aplicarse a los correos de phishing? En cualquier caso, Sawyer y Hancock prometen pulir su hipótesis sometiéndola a pruebas mejoradas.

Los investigadores han sugerido una explicación posible a este fenómeno relacionada con la creciente confianza en la seguridad del sistema. En esencia, sugieren que las tecnologías antiphishing protegen a los usuarios frente a las amenazas, al mismo tiempo que les hacen bajar la guardia. Por cierto, los investigadores también creen que los ciberdelincuentes podrían estar al tanto de este efecto y, en consecuencia, enviar malware con menor frecuencia.

Conclusiones prácticas

Como podrás suponer, no estamos a favor de abandonar los sistemas de seguridad automatizados. Sin embargo, si la hipótesis de Sawyer y Hancock está en lo cierto, es posible que beneficie a los usuarios el hecho de encontrarse ocasionalmente con un correo de phishing. Pero no uno auténtico, por supuesto.

Kaspersky Automated Security Awareness Platform,nuestra solución para formar a los empleados de empresas de todos los tamaños en materia de ciberseguridad, te permite comprobar de forma regular el proceso de aprendizaje de tus empleados. Como parte de estas comprobaciones, reciben correos de phishing simulados ante los cuales deben responder correctamente. Esto ayudará a que los empleados se mantengan en alerta, para que no se olviden de los intentos de phishing.

Aunque la teoría no se confirme, dichos correos no causarán ningún daño. Como mucho, el encargado de la formación sabrá quiénes son los eslabones más débiles.

Consejos