¿Qué hace que los usuarios hagan clic en enlaces maliciosos?
Arun Vishwanath, profesor de comunicación en la Universidad de Buffalo, ha publicado un interesante artículo en The Conversation para explicar la fragilidad humana cuando se trata de ciberseguridad. El artículo ejemplifica principalmente los casos de fraude de spearphishing, que no es más que un phishing altamente personalizado y eficiente para enganchar a los usuarios, especialmente en entornos corporativos.
Este tipo de ataque es especialmente peligroso porque, una vez que el usuario hace clic en el enlace o anuncio recibido, se instala un malware en el equipo y el sistema lo entiende como un agente interno fiable, y ningún antivirus actúa en su contra. Por lo tanto, los humanos son el blanco del spearphishing porque, en este caso, son la única barrera de protección de datos.
El profesor Vishwanath también expone en el artículo la investigación que desarrolló con otros colaboradores sobre el comportamiento humano frente al fraude cibernético. El estudio se llama S.C.A.M., abreviatura de Sospecha, Cognición, Modelo de Automatización, un título interesante para el tema, debido al significado original de esta palabra en el idioma inglés, que significa estafa.
En resumen, el estudio pretendía entender qué es lo que lleva a los usuarios a hacer clic en enlaces maliciosos. Entre los hallazgos obtenidos, los más generales y relevantes se pueden resumir en:
1) EN PRIMER LUGAR, LOS USUARIOS A LOS QUE NOS REFERIMOS SON HUMANOS, NO ROBOTS PROGRAMADOS ARTIFICIALMENTE.
El ser humano depende naturalmente de la eficiencia cognitiva, es decir, buscamos y preferimos utilizar atajos mentales para realizar una acción. En una situación de spearphishing, al ver una promoción conocida de una tienda frecuentada constantemente o el logo del banco en el que se tiene una cuenta, difícilmente una persona se lo pensaría dos veces antes de hacer clic, porque la acción inmediata es un atajo mental.
Por lo tanto, a menudo el ímpetu de la eficiencia cognitiva termina impidiéndonos investigar la información en el enlace o promoción antes de hacer clic en ellos.
2) NOTICIAS SOBRE MALWARES QUE INFECTAN PRINCIPALMENTE A LOS ORDENADORES.
La frecuente propagación de noticias de malwares que infectan a miles de ordenadores y llevan a las empresas a la bancarrota hace que la gente crea erróneamente que los sistemas operativos móviles son más seguros o inmunes a los ataques cibernéticos. Con esto en mente, los usuarios se sienten más seguros y confiados para hacer clic en cualquier enlace o abrir cualquier correo electrónico en sus smartphones. A menudo incluso descargando aplicaciones no oficiales y dejando activada la función de "desarrollador" del teléfono.
3) LA CREENCIA DE QUE LAS ACCIONES EN LÍNEA SON 100% SEGURAS.
La falsa imagen, a menudo propagada por los medios de comunicación, de que las transacciones bancarias son más seguras en línea, las compras virtuales son más rápidas y fáciles, etc., hace que la gente baje la guardia, haciendo poco esfuerzo por revisar/enviar los mensajes, los enlaces recibidos, o incluso los sitios web en los que pueden realizar dichas transacciones.
4) EL USO CONSTANTE DE LOS MEDIOS SOCIALES, MENSAJES Y CORREOS ELECTRÓNICOS.
Cuanto mayor sea el uso de recursos virtuales y en línea, mayor será la confianza del usuario en su forma de actuar de forma virtual. Esta confianza no siempre es beneficiosa, porque hace que la gente sea menos consciente de algunos peligros constantes.
Posibles soluciones
Dados los problemas, la gran solución presentada por Vishwanath es entrenar y preparar a los usuarios para que no caigan en el spearphishing o en cualquier otro tipo de fraude cibernético. El estudio del profesor señala que algunas formas básicas de preparar una formación adecuada para un entorno empresarial determinado serían:
-
Detectar cuáles son las principales causas que llevan al usuario a caer en el fraude;
-
Detectar quiénes son los "superdetectores", es decir, los usuarios que apenas caen en el fraude, e identificar sus formas de pensar y actuar en el entorno en línea.
Al detectar formas de prevenir el fraude que las personas en el mismo entorno ya practican, es más fácil enseñar a otros a adquirir los mismos hábitos y prácticas de ciberseguridad.
Una formación en ciberseguridad puede ser vista como un tipo de Programación Humana o Programación Neurolingüística. Esta técnica de formación humana, desarrollada en los años setenta, consiste en herramientas didácticas que sustituyen comportamientos que no se adaptan a la senda del logro de sus objetivos. Estas herramientas, por otro lado, están diseñadas teniendo en cuenta cómo los seres humanos procesan la información y la experiencia y cómo utilizan sus sentidos, instintos e intuición para procesar estos datos mundiales.
Hacker Rangers, el software online desarrollado por Perallis Security, es una de esas herramientas de Programación Humana que pueden ayudar a los usuarios a tomar conciencia y aprender en la práctica cómo prevenir el fraude virtual. Hacker Rangers aún tiene el diferencial de estar en un formato de juego! Una forma práctica y divertida de aprender sobre ciberseguridad.
Así, como el profesor Vishwanath y yo concluimos desde la perspectiva de la Programación Neurolingüística, los humanos son el eslabón más débil de la ciberseguridad, pero con una formación adecuada no tienen porqué serlo.
Hacker Rangers - Plataforma Gamificada para conscientização em cibersegurança
Translated from: https://www.perallis.com/news/o-que-leva-os-usuarios-a-clicarem-em-links-maliciosos