Por qué tiene éxito el phishing y los correos fraudulentos

Un conocido efecto psicológico explica el éxito del phishing.

Desde hace mucho, cibercriminales se han valido de la psicología como herramienta del engaño. Pero podemos también utilizar los fenómenos psicológicos para explicar por qué ciertos métodos criminales funcionan, y contribuir a generar la estrategia adecuada de protección. Muchos psicólogos analizan los esquemas de ataque y las razones por las cuales son eficaces. Hoy examinamos una hipótesis que explica por qué, pese a la potencia de las tecnologías antiphishing, los correos fraudulentos aún registran víctimas y pueden causar un daño considerable. Y, lo más importante, analizamos qué hacer al respecto.

Las medidas antispam y antiphishing son componentes clave para la seguridad en línea de cualquier empresa. Al investigar los ciberincidentes, nuestros expertos en ciberseguridad normalmente descubren que el problema comenzó con un correo electrónico, sin importar si es un correo masivo o un ataque dirigido. Actualmente, los filtros de correo pueden identificar los típicos correos de phishing con un alto grado de certeza; sin embargo, los atacantes todavía logran burlar la seguridad (por ejemplo, al secuestrar la casilla de correo de un socio como en este ataque con correos) y entregar el mensaje a una víctima humana, que siempre se trata del eslabón más débil en la cadena. Y cuanto más eficaces sean los filtros, mayor es la posibilidad de que el mensaje que abra una brecha logre engañar al usuario.

El experimento

La existencia de una correlación directa entre la frecuencia de los mensajes de correo maliciosos y el éxito que los usuarios tienen al identificarlos fue tema de una  hipótesis de dos investigadores estadounidenses— Ben D. Sawyer del Massachusetts Institute of Technology, y Peter A. Hancock de la University of Central Florida. Ellos basaron su teoría en el “efecto de prevalencia,” muy conocido en psicología, que básicamente expone que es más probable que una persona omita (o no detecte) una señal poco común que una que ocurre con frecuencia.

Los investigadores decidieron probarlo en la práctica mediante un experimento en el cual se enviaron mensajes de correo a los participantes, algunos de los cuales contenían archivos adjuntos maliciosos. El porcentaje de mensajes de correo maliciosos varió para cada participante:  para algunos, solo un 1% contenía archivos adjuntos con malware, mientras que para otros el 5% o 20%. El resultado confirmó su hipótesis: mientras menos frecuente sea una amenaza, más difícil resulta que las personas la detecten. Además, la dependencia ni siquiera es lineal, sino que se aproxima a la logarítmica.

Debemos señalar que el experimento de mensajes de correos maliciosos utilizó una muestra bastante pequeña (33 individuos), y todos los participantes eran estudiantes, así que sería precipitado aceptar la conclusión sin pensarlo. Pero en la psicología, ¿normalmente se considera que el efecto de prevalencia ha quedado demostrado y, en tal caso, por qué no debería aplicarse a los correos de phishing? En cualquier caso, Sawyer y Hancock prometen refinar su hipótesis al someterla a pruebas mejoradas.

Los investigadores han sugerido una explicación posible del fenómeno que involucra la confianza creciente en la seguridad del sistema. En esencia, sugieren que las tecnologías antiphishing protegen a los usuarios frente a las amenazas de mensajes de correo maliciosos, y al mismo tiempo les hacen bajar la guardia. A propósito, los investigadores también proponen que los cibercriminales pueden estar al tanto del efecto y, en consecuencia, envían malware con menor frecuencia.

Conclusiones prácticas

Como puedes suponer, no estamos a favor de abandonar los sistemas de seguridad automatizados. Sin embargo, si la hipótesis de Sawyer y Hancock está en lo correcto, entonces es posible que los usuarios puedan beneficiarse de encontrarse ocasionalmente con un correo de phishing. Pero no uno verdadero, por supuesto.

Kaspersky Automated Security Awareness Platform, nuestra solución de seguridad para capacitar en ciberseguridad a los empleados de las empresas de todos los tamaños te deja verificar regularmente qué tan bien tus empleados están aprendiendo las habilidades para evitar los correos maliciosos. Como parte de las verificaciones, reciben correos de phishing simulados ante los cuales deben responder correctamente. Esto ayudará a que los empleados se mantengan alerta, de modo que no olviden cómo luce un intento de phishing.

Incluso si la teoría cae en descrédito, dichos correos no causarán ningún daño. Como mucho, el encargado de la capacitación sabrá quiénes son los eslabones más débiles.

 

Consejos