Cómo los ataques de phishing engañan a nuestros cerebros

clave titán de seguridad de google

clave titán de seguridad de google Foto: Google





Es simple y efectivo: lograr que alguien haga clic en un enlace malicioso en un correo electrónico e ingrese información privada, como una contraseña, es la habilidad más importante en las herramientas de muchos piratas informáticos. El phishing es el más común. ciberataque y sigue creciendo.

Y la razón por la que es tan eficaz, según una investigación realizada en Google y la Universidad de Florida, es que aprovecha cómo funciona el cerebro humano y, lo que es más importante, cómo las personas no detectan el engaño, dependiendo de factores como la inteligencia emocional, motivación cognitiva, estado de ánimo, hormonas e incluso la personalidad de la víctima.

Todos somos susceptibles al phishing porque el phishing engaña la forma en que nuestro cerebro toma decisiones, dijo Daniela Oliveira, profesora asociada de la Universidad de Florida, el 7 de agosto en la conferencia de ciberseguridad Black Hat en Las Vegas.



Los problemas comienzan con la conciencia: el 45% de los usuarios de Internet ni siquiera saben qué es el phishing, según Oliveira y el investigador de Google Elie Bursztein.

El estado de ánimo juega un papel: las personas que se sienten felices y no estresadas son menos probable que detecte el engaño frente a ellos. El cortisol, una hormona del estrés, aumenta la vigilancia y aumenta la probabilidad de detectar un engaño. La serotonina y la dopamina, hormonas asociadas con sentimientos positivos, pueden conducir a comportamientos riesgosos e impredecibles que hacen que las personas sean más vulnerables.

Los phishers también pueden ser excepcionalmente buenos en la elaboración de mensajes destinados a persuadir a una persona para que haga clic. La autoridad es una de las armas más comunes y efectivas; por ejemplo, un correo electrónico que dice ser del director ejecutivo de la empresa y le pide a un empleado que proporcione información haciendo clic en un enlace. Otras herramientas incluyen un marco de ganancia/pérdida, por ejemplo, una oportunidad de reembolso de Amazon.



Algunos de los correos electrónicos de phishing más puntiagudos juegan con la emoción. Después de los devastadores y récords incendios forestales de California en 2018, Google vio una ola instantánea de correos electrónicos pidiendo dinero para ayudar a las víctimas. Las señales emocionales, por ejemplo, las promesas de igualar las donaciones para las personas que se quedaron sin hogar, afectaron la capacidad de los destinatarios para concentrarse en el contenido y las pistas de que el correo electrónico era un engaño. Al desencadenar esta respuesta emocional, los piratas lograron que la gente suspendiera su escepticismo.

Eso no significa que la única defensa contra el phishing sea ser una bola de ira cínica y estresada permanentemente. Más saludable y efectivo es habilitar la autenticación de dos factores para cada uno de sus inicios de sesión importantes (correo electrónico, banca en línea, redes sociales, sitios de compras, etc.). Aquí hay una lista de todos los sitios que admiten autenticación de dos factores .

Cuando está habilitado, el sistema le pide algo además de una contraseña cuando inicia sesión, como un código enviado a su teléfono a través de un mensaje de texto, un código de un aplicación de autenticación , o una clave de seguridad física en una memoria USB (el método más seguro de todos, según investigación reciente ). De esa manera, si sin darse cuenta le ha dado su contraseña a un pirata informático en una estafa de phishing, aún no podrá iniciar sesión en su cuenta. El año pasado, Google dijo que menos del 10% de sus usuarios tenían habilitada la autenticación de dos factores en sus cuentas.



esconder