Correos electrónicos phishing y cómo podemos protegernos
Ser estafados a través de correos electrónicos phishing es un reto para aquellos que no conocen lo que realmente es. Por esa razón, algunos estudios psicológicos revelan dónde se encuentran algunos de nuestros sesgos y puntos débiles como internautas para tener así una consciencia de nuestras tendencias mentales y nuestras vulnerabilidades. De esa manera podemos ayudarnos a protegernos de caer en el anzuelo.
El término “phishing” se utiliza para referirse a una estafa mediante la cual se engaña a un usuario de Internet para que revele información personal o confidencial que el estafador puede utilizar de forma ilícita”.
Desde entonces, el phishing se ha disparado en volumen e intensidad. Todos los días se envían al menos 3.400 millones de correos electrónicos de phishing en todo el mundo, y las estafas de phishing representan la mitad de todos los ataques de fraude.
Cuando se trata de phishing, es posible perderlo todo con solo un clic.
¿De qué manera se puede presentar? Algunas personas revelaron su información personal o financiera más importante, descargaron un virus destructivo o terminaron instalando malware en su computadora que comprometió sus archivos.
La experta en ciberseguridad e informática Daniela Oliveira dice que los estafadores y delincuentes diseñan cuidadosamente los correos electrónicos de phishing para manipular nuestras emociones y aprovechar nuestros prejuicios inconscientes, por lo que los humanos están prácticamente programados para enamorarse de ellos. El engaño “es tan antiguo como los seres humanos, y el phishing es un engaño en el ciberespacio”, dice. Muchos esfuerzos para combatir el phishing implican implementar soluciones y estrategias basadas en tecnología, pero se vuelve más interesante estudiar la psicología para comprender por qué las personas caen en el phishing y cómo protegerlas de ser engañadas.
Los correos electrónicos de suplantación de identidad utilizan tácticas emocionales para hacernos pasar por alto la lógica y hacer clic en el enlace. Para explicar por qué funciona el phishing, Oliveira recurre al psicólogo y economista ganador del Premio Nobel Daniel Kahneman que propone modelos de dos sistemas de pensamiento.
El Sistema 1 es rápido, intuitivo y emocional. El sistema 2, por otro lado, es lento y deliberado. Debido a que tenemos que tomar miles de decisiones por minuto, necesitamos el Sistema 1, que depende de atajos mentales para ayudarnos a movernos por la vida de manera eficiente. Por ejemplo, tenemos un sesgo de verdad, la creencia de que es más probable que otros digan la verdad a que nos mientan; asumir lo contrario sería agotador. Pero sesgos como este también pueden dejarnos abiertos a decisiones imprudentes, por ejemplo, haciéndonos predispuestos a asumir que un correo electrónico que dice que es de nuestro banco actualizando nuestra contraseña es realmente de nuestro banco.
Al apelar a nuestros prejuicios y emociones, el phishing intenta hacer que permanezcamos en modo automático, también conocido como Sistema 1. Los phishers quieren que los usuarios “tomen una decisión rápida, no reflexiva”, explica Oliveira.
Un correo electrónico que dice ser del Servicio de Impuestos Internos de EE. UU., Por ejemplo, aprovecha el hecho de que las personas tienden a obedecer las órdenes dadas por figuras de autoridad.
Oliveira se asoció con la psicóloga Natalie Ebner, también de la Universidad de Florida, para estudiar cómo reaccionan personas de diferentes edades a diferentes tácticas de phishing. Con el pretexto de querer estudiar el uso de Internet, el equipo reclutó a un grupo de personas de entre 18 y 89 años para participar en un estudio de 21 días.
En este estudio, casi la mitad de las personas lo hizo: el 43% de los participantes mordió el anzuelo al menos una vez y el 11,9 % hizo clic más de una vez. Las mujeres mayores (las de 62 años o más) fueron significativamente más susceptibles que cualquier otro grupo.
Pero no todas las tácticas de phishing tuvieron el mismo éxito en cada grupo de edad. Los adultos más jóvenes (18-37) eran significativamente más susceptibles a los correos electrónicos que decían rebaja (el descuento en la factura de electricidad por tiempo limitado, por ejemplo), mientras que los adultos mayores (más de 62) se inclinaban por la reciprocidad. En general, la autoridad se destacó significativamente como el atractivo más convincente para todas las edades, y todos los usuarios eran significativamente más vulnerables a los correos electrónicos que trataban de cuestiones legales.
Lo que implica la autoridad y las cuestiones legales no fue una sorpresa para Oliveira. “Como seres humanos, tratamos en general de evitar infringir la ley, de cumplir con las normas y reglas”, dice. “Así es como estamos programados para comportarnos”.
Un hallazgo preocupante tuvo que ver con la evaluación de las personas de su propia susceptibilidad a las estafas por correo electrónico.
Curiosamente, las personas indicaron una baja probabilidad de que se enamoraran de ellas, pero contrasta esto con el hecho de que el 43% del grupo hizo clic en un correo electrónico de phishing al menos una vez. Y con los usuarios de mayor edad, esta división fue aún mayor. Los adultos menores de 37 eran más conscientes de su vulnerabilidad que los adultos mayores de 62. Oliveira dice que esto es “más problemático”: “Los adultos mayores son más susceptibles y están menos conscientes”.
Es posible darse cuenta de la naturaleza humana para escanear correos electrónicos cuando estamos en el modo instintivo del Sistema 1. Y podemos contrarrestar esta tendencia instándonos a entrar en modo reflexivo del Sistema 2 con correos electrónicos que soliciten información importante (como contraseñas o números de cuenta), soliciten pagos o cuelguen obsequios, especialmente descargas. Por lo tanto, antes de hacer clic en un enlace para obtener un libro electrónico de recetas de cortesía o liquidar una multa, puede recordar que debe “participar en el Sistema 2 y decir: ‘Espere un minuto; déjame volver a comprobar’”, sugiere Oliveira. Luego, tómate un momento para verificar si el correo electrónico proviene de una dirección u organización legítima y reconoce en qué nos estamos metiendo cuando optamos por hacer clic en un enlace.
Comprender nuestra vulnerabilidad al phishing también podría hacer que cualquier entrenamiento anti-phishing que realicemos sea más efectivo.
