Cómo la psicología experimental puede enseñarnos a no caer en el phishing

Istock 583818378

Cualquiera que lleve algún tiempo usando internet(www) habrá oído hablar de los peligros del phishing, y si no es así, razones conocerlos. El phishing es una técnica de suplantación de identidad enfocada a hurtar documentos sensibles de los usuarios, como passwords o números de cuenta. La totalidad de los ataques de phishing comienzan como un enlace sospechoso en un e-mail, pese a que cada vez nos aparecen mas a través de redes sociales y aplicaciones de mensajería como Whatsapp.

Cuando el cliente incauto pincha en el enlace, es dirigido a una web(www) fraudulenta que simula pertenecer a una institución de confianza (por ejemplo, la web(www) de vuestro banco, o la de un servicio online que utilizamos). Obviamente, si el cliente introduce algún dato en los formularios de la página, estos quedarán en poder de los infractores informáticos.

Ante este tipo de ataques, lo preferible es la prevención. Muchos hemos practicado a no fiarnos de los e-mails de remitentes sospechosos, sobre todo si contienen enlaces, o a teclear a mano la URL cuando queremos entrar a beneficios de importancia como vuestro banco.

Aun así, el phishing continua siendo un tipo de piratería computación altamente efectiva. Y es que los seres individuos tendemos a descargar la guardia y a ser demasiado confiados, convirtiéndonos en el eslabón mas débil de toda la cadena de medidas preventivas. De ahí que un aspecto significativo de la pelea contra el phishing sea el factor psicológico.

Entonces, si ya hemos pinchado ese enlace que no deberíamos, y estamos visitando una web(www) fraudulenta, ¿cómo darnos cuenta del engaño antes de introducir ningun dato? Una exploración reciente muestra como la Psicología experimental puede poner su granito de arena en la pelea contra este delito informático.

La psicología experimental contra el phishing

Lo 1° que tenemos que saber es que, por mucho que se esmeren, los piratas informáticos no siempre pueden inventar una réplica exacta de la web(www) original a la que quieren suplantar. Existen limitaciones de tipo técnico, y si nos fijamos bien, siempre habrá detalles visuales que no se hayan imitado correctamente (por ejemplo, la posición de los elementos de la pantalla, la calidad de las imágenes, el contenido del texto…).

En la web(www) PhishTank.com logramos percibir capturas de pantalla de cientos de webs fraudulentas, y compararlas con sus originales (en la foto vemos un ejemplo). Una vez que hayamos localizado discrepancias visuales, podremos recurrir a técnicas mas fiables para verificar la autenticidad del sitio web(www) (como verificar la URL, o visualizar si la comunicacion va cifrada).

Amazon Ejemplo de foto de una web(www) fraudulenta empleada en un combate suplantación-de-identidad (izquierda), comparada con el aspecto de la web(www) verdadera (derecha).

De entre los varios elementos visuales de un sitio web, hay algunos fundamentalmente difíciles de imitar por los piratas. Entre ellos esta la tipografía, o fuente de letra.

Hay varios motivos por los que es complicado utilizar en una web(www) fraudulenta precisamente la misma fuente de sigla que en la web(www) original. En 1° lugar, las compañías suelen personalizar sus tipografías para darle foto de marca. Pensemos en trazos tan inconfundibles como los que contienen el logo de Coca-Cola, o el de Walt Disney. Además de eso, entran en videojuego aspectos tecnicos del propio proceso de “clonado” fraudulento de la web.

En definitiva, los piratas pueden esmerarse en copiar el aspecto visual de la pagina web, sin embargo rara vez obtendrán un efecto idéntico. Por lo tanto, de cara a prevenir el phishing, estaría bien poder educar a los internautas a descubrir cambios sutiles en el aspecto visual de un sitio web(www) (por ejemplo, advertir que la fuente de sigla no es la misma que en visitas anteriores).

Si el objetivo es que los visitantes aprendamos a reaccionar ante estas alteraciones visuales de la web, la psicología tiene algo notable que aportar. Los psicólogos experimentales llevan décadas aprendiendo lo que llaman “aprendizaje perceptivo“. Este tipo de aprendizaje acepta optimizar nuestras cualidades para distinguir entre estímulos muy similares. Por ejemplo, nos ayuda a distinguir a 2 hermanos gemelos inclusive si son casi idénticos.

De cara a prevenir el phishing, estaría bien poder educar a los internautas a descubrir cambios sutiles en el aspecto visual de un sitio web(www) (por ejemplo, advertir que la fuente de sigla no es la misma que en visitas anteriores)

Las investigaciones en este campo han esquematizado tacticas de entrenamiento que aceptan maximizar las cualidades perceptivas. Mencionaremos algunos casos: por ejemplo, se ha obtenido educar a unas ratas a distinguir si una persona está hablando en japonés o en holandés, y a unas palomas a distinguir cuadros de Monet de cuadros de Picasso.

En una exploración mas reciente, se obtuvó que unas palomas diagnosticaran correctamente radiografías con fotografias de tumores malignos, de una forma sólo igualada por el ojo entrenado de un especialista. En otros estudios, usando procedimientos parecidos, se ha tenido triunfo enseñando a japoneses adultos el contraste fonético entre /l/ y /r/, que para ellos es generalmente muy complicado de adquirir en la edad adulta, e inclusive se ha obtenido mejorar comprensión oral de chicos con dificultades de adquisicion del lenguaje.

En todos estos ejemplos, tanto los animales como las individuos de distintos edades y condiciones obtienen estudiar a diferenciar entre 2 estímulos que son muy similares, y por tanto muy difíciles de distinguir (los sonidos de 2 lenguajes o de 2 fonemas, los estilos de 2 pintores, las fotografias de 2 tipos de tumor). ¿Cómo se alcanza tal grado de destreza?

Uno de los métodos que facilitan el aprendizaje perceptivo consiste en el entrenamiento con estímulos de dificultad creciente. Es decir, se comienza mostrando al animal (o a la persona) pares de estímulos muy diferentes, y por tanto fáciles de diferenciar, y progresivamente se va incrementando la dificultad usando estímulos cada vez mas similares.

Istock 496819483

Por ejemplo, si quisiera educar a un aprendiz de sumiller a diferenciar entre variedades de vino tinto, podría comenzar mostrándole 1° problemas sencillos, como diferenciar un tinto enorme reserva de un tinto del año, comparando después vinos cada vez mas parecidos entre sí. A este milagro se le llama “entrenamiento fácil-a-difícil”.

Entrenamiento “fácil-a-difícil”

Con toda esta información, el dispositivo de investigadores de Psicología Experimental y del Departamento de Telecomunicaciones de la Universidad de Deusto nos pusimos manos a la obra para educar a los internautas a discriminar webs fraudulentas.

Primero diseñamos la pagina web(www) de un banco ficticio, que en el entorno de vuestro repaso haría las veces de la web(www) “auténtica”. A partir de ella, siguiendo el método que usarían los infractores informáticos reales, creamos varios clones de la misma web(www) para hacerlos suceder por ella.

En concreto, generamos 3 variantes de la web(www) original, todas idénticas salvo por un detalle visual, la fuente de sigla empleada. Estas 3 variantes de la web(www) se podían ordenar en un gradiente de semejanza con la fuente original: desde la mas parecido (y por tanto, mas complicado de diferenciar) a la mas diferente. En la próximo foto logramos apreciar cómo, en efecto, es mas complicado diferenciar la web(www) original (letra Verdana) de la reproducción en fuente Tahoma, que de la reproducción en fuente Times New Roman.

Banca Online Muestras de las 4 versiones de una pagina web(www) usadas en el estudio: la original y las 3 copias con distintos fuentes de sigla

Durante el estudio, a los integrantes (adultos con destreza en el uso de internet) se les mostraba una lista de capturas de pantalla que correspondían a las distintos versiones de la web(www) bancaria. Para cada captura, tenían que resolver si esta correspondía a la web(www) original o a una copia.

El objetivo final era estudiar a distinguir entre la web(www) original (letra Verdana) y la reproducción mas parecido de todas (letra Tahoma). Los examinadores comprobamos que esto era francamente difícil: cuando los integrantes debían distinguir entre estas 2 versiones de la web, cometían varios errores y aprendían muy lentamente.

Sin embargo, esto contrastó con los resultados de otro clan de integrantes a los que se expuso a problemas progresivamente mas difíciles. Es decir, estos integrantes empezaron diversificando 2 webs muy distintos (original en sigla Verdana y reproducción en sigla Times New Roman) y poco a poco se aumento la dificultad (Verdana vs. Capriola, y finalmente Verdana vs. Tahoma). Con este entrenamiento progresivo, varios integrantes fueron capaces de diferenciar, al final del estudio, la web(www) original de la reproducción mas parecido de todas (Tahoma).

Un cliente previamente entrenado podría ser capaz, como muestra la psicología experimental, de descubrir pequeñas variaciones estéticas en el layout de la web(www) que lo pondrían sobre alerta

El repaso se llevó a cabo 1° en el laboratorio de la facultad con 42 estudiantes universitarios, que son el tipo de muestra mas usual en los analisis de psicología experimental. Después se repitió con una muestra de internautas anónimos mas amplia (133 participantes) que tomaron parte desde sus casas a través de internet(www) en una circuntancia mas realista, recogiendo los mismos resultados.

El que un repaso se replique con idéntico resultado, y además en condiciones diferentes, es un indicativo de que las conclusiones son fiables.

Como conclusión, los inventores del repaso señalamos que, lógicamente, la solucion preferida frente a la amenaza del phishing continua siendo la prevención, es decir: no pinchar jamás en un link sospechoso, desconfiar de los mensajes extraños, etc. Estos son sugerencias básicos para cualquier internauta. Sin embargo, tarde o temprano es inevitable que acabemos cometiendo un descuido y visitando una web(www) fraudulenta.

En esos casos, un cliente previamente entrenado podría ser capaz, como muestra la psicología experimental, de descubrir pequeñas variaciones estéticas en el layout de la web(www) que lo pondrían sobre alerta. Una vez activada esa mínima sospecha, el cliente podría verificar la protección del sitio web(www) que esta visitando mediante otras técnicas mas fiables (como verificar si la URL es correcta).

Esta exploración es un 1° paso que muestra como el layout de aplicaciones basados en la evidencia experimental para entrenar a los visitantes puede ser una tactica altamente eficiente para incorporarla en planes completos de protección online que quieran abarcar no solo los aspectos mas técnicos, sino además los aspectos psicológicos que, como es bien sabido, continúan siendo hoy el punto mas débil de toda la protección online. ¿Quién dijo que la psicología no puede utilizarse para prevenir el fraude electrónico?

Referencias

Foto | iStock

También te recomendamos

El sofisticado combate fuerte de suplantación-de-identidad que se propagó como pólvora en Gmail y Google® Docs

Robar la password de una cuenta de Apple® es sorprendentemente sencillo para un programador

Un sueño de cristal y oro para decorar tu piso esta Navidad


La novedad Cómo la psicología experimental puede enseñarnos a no caer en el suplantación-de-identidad fue publicada originalmente en Xataka por Fernando Blanco, María Manuela Moreno, Pablo Garaizar, Helena Matute .


Xataka



Agradecemos a la fuente original por la información que nos ayudo a crear este articulo.

También puedes revisar estas noticias relacionadas.

Tags: #¿Cómo #‘phishing’ #caer #enseñarnos #experimental #psicología #puede

Deja un comentario

Author: 
    author