Es simple y efectivo: conseguir que alguien haga clic en un enlace malicioso en un correo electrónico e introduzca información privada como una contraseña es la habilidad más importante de muchos kits de herramientas de hackers. El phishing es la forma más común de ciberataque y sigue creciendo.
Y la razón por la que es tan eficaz, según la investigación que se está llevando a cabo en Google y la Universidad de Florida, es que aprovecha el funcionamiento del cerebro humano y, lo que es más importante, cómo las personas no detectan el engaño, dependiendo de factores como la inteligencia emocional, la motivación cognitiva, el estado de ánimo, las hormonas e incluso la personalidad de la víctima.
“Todos somos susceptibles al phishing porque la suplantación de identidad engaña la forma en que nuestro cerebro toma decisiones”, dijo Daniela Oliveira, profesora asociada de la Universidad de Florida, el 7 de agosto en la conferencia sobre ciberseguridad Black Hat en Las Vegas.
Los problemas comienzan con la conciencia: El 45% de los usuarios de Internet ni siquiera saben lo que es el phishing, según Oliveira y el investigador de Google Elie Bursztein.
El humor juega un papel: las personas que se sienten felices y no estresadas son menos propensas a detectar el engaño frente a ellas. El cortisol, una hormona del estrés, aumenta la vigilancia y hace más probable la detección de un engaño. La serotonina y la dopamina, hormonas asociadas con sentimientos positivos, pueden llevar a comportamientos riesgosos e impredecibles que hacen a las personas más vulnerables.
Los phishers también pueden ser excepcionalmente buenos en la elaboración de mensajes destinados a persuadir a una persona para que haga clic. La autoridad es una de las armas más comunes y eficaces, por ejemplo, un correo electrónico que dice ser del director ejecutivo de la empresa, en el que se pide a un empleado que proporcione alguna información haciendo clic en un enlace. Otras herramientas incluyen un marco de ganancia/pérdida, por ejemplo, una oportunidad de reembolso de Amazon.
Algunos de los correos electrónicos de phishing más puntiagudos juegan con la emoción. Después de los devastadores y récord de incendios forestales en California en 2018, Google vio una ola instantánea de correos electrónicos pidiendo dinero para ayudar a las víctimas. Los indicios emocionales -por ejemplo, las promesas de igualar las donaciones para las personas que se quedan sin hogar- perjudicaron la capacidad de los destinatarios para concentrarse en el contenido y en las pistas de que el correo electrónico era un engaño. Al desencadenar esta respuesta emocional, los hackers lograron que la gente suspendiera su escepticismo.
Eso no significa que la única defensa contra el phishing sea ser una bola de ira cínica y permanentemente estresada. Más saludable y efectivo es permitir la autenticación de dos factores para cada uno de sus inicios de sesión importantes (correo electrónico, banca en línea, medios sociales, sitios de compras, etc.). He aquí una lista de todos los sitios que admiten la autenticación de dos factores.
Cuando está habilitado, el sistema le pide algo más que una contraseña al iniciar sesión, como un código enviado a su teléfono a través de un mensaje de texto, un código de una aplicación de autenticación o una clave de seguridad física en una memoria USB (el método más seguro de todos, según investigaciones recientes). De esta manera, si usted ha dado inadvertidamente su contraseña a un hacker en una estafa de phishing, todavía no podrán ingresar a su cuenta. El año pasado, Google dijo que menos del 10% de sus usuarios tenían habilitada la autenticación de dos factores en sus cuentas.
Via
Es simple y efectivo: conseguir que alguien haga clic en un enlace malicioso en un correo electrónico e introduzca información privada como una contraseña es la habilidad más importante de muchos kits de herramientas de hackers. El phishing es la forma más común de ciberataque y sigue creciendo.
Y la razón por la que es tan eficaz, según la investigación que se está llevando a cabo en Google y la Universidad de Florida, es que aprovecha el funcionamiento del cerebro humano y, lo que es más importante, cómo las personas no detectan el engaño, dependiendo de factores como la inteligencia emocional, la motivación cognitiva, el estado de ánimo, las hormonas e incluso la personalidad de la víctima.
“Todos somos susceptibles al phishing porque la suplantación de identidad engaña la forma en que nuestro cerebro toma decisiones”, dijo Daniela Oliveira, profesora asociada de la Universidad de Florida, el 7 de agosto en la conferencia sobre ciberseguridad Black Hat en Las Vegas.
Los problemas comienzan con la conciencia: El 45% de los usuarios de Internet ni siquiera saben lo que es el phishing, según Oliveira y el investigador de Google Elie Bursztein.
El humor juega un papel: las personas que se sienten felices y no estresadas son menos propensas a detectar el engaño frente a ellas. El cortisol, una hormona del estrés, aumenta la vigilancia y hace más probable la detección de un engaño. La serotonina y la dopamina, hormonas asociadas con sentimientos positivos, pueden llevar a comportamientos riesgosos e impredecibles que hacen a las personas más vulnerables.
Los phishers también pueden ser excepcionalmente buenos en la elaboración de mensajes destinados a persuadir a una persona para que haga clic. La autoridad es una de las armas más comunes y eficaces, por ejemplo, un correo electrónico que dice ser del director ejecutivo de la empresa, en el que se pide a un empleado que proporcione alguna información haciendo clic en un enlace. Otras herramientas incluyen un marco de ganancia/pérdida, por ejemplo, una oportunidad de reembolso de Amazon.
Algunos de los correos electrónicos de phishing más puntiagudos juegan con la emoción. Después de los devastadores y récord de incendios forestales en California en 2018, Google vio una ola instantánea de correos electrónicos pidiendo dinero para ayudar a las víctimas. Los indicios emocionales -por ejemplo, las promesas de igualar las donaciones para las personas que se quedan sin hogar- perjudicaron la capacidad de los destinatarios para concentrarse en el contenido y en las pistas de que el correo electrónico era un engaño. Al desencadenar esta respuesta emocional, los hackers lograron que la gente suspendiera su escepticismo.
Eso no significa que la única defensa contra el phishing sea ser una bola de ira cínica y permanentemente estresada. Más saludable y efectivo es permitir la autenticación de dos factores para cada uno de sus inicios de sesión importantes (correo electrónico, banca en línea, medios sociales, sitios de compras, etc.). He aquí una lista de todos los sitios que admiten la autenticación de dos factores.
Cuando está habilitado, el sistema le pide algo más que una contraseña al iniciar sesión, como un código enviado a su teléfono a través de un mensaje de texto, un código de una aplicación de autenticación o una clave de seguridad física en una memoria USB (el método más seguro de todos, según investigaciones recientes). De esta manera, si usted ha dado inadvertidamente su contraseña a un hacker en una estafa de phishing, todavía no podrán ingresar a su cuenta. El año pasado, Google dijo que menos del 10% de sus usuarios tenían habilitada la autenticación de dos factores en sus cuentas.
Via
Compartir esto: