Personas felices hacen aún más felices a los ciberdelincuentes

Array

Controlar las emociones (sobre todo, la felicidad) es fundamental para la seguridad de nuestras finanzas y para no ser víctimas del phishing.

Publicado el 02 Mar 2020

felicidad y phishing

Los que dicen que el dinero no hace la felicidad tienen más razón de la que creen: que la felicidad no necesariamente es amiga del dinero ¡tiene incluso un fundamento científico!

El asunto funciona de la siguiente manera: cuando tratamos de tomar decisiones racionales sobre el dinero (como organizar nuestro presupuesto o cuidar los gastos) debemos intentar hacerlo con la cabeza lo más fría posible. En términos generales, nos debemos esforzar por sacar las emociones de la ecuación. 

Pero ¿qué pasa cuando la emoción nos desborda? En ese caso, somos más susceptibles de ser víctimas de las estrategias basadas en Ingeniería social que utilizan los estafadores; esto sucede por efecto de la serotonina y la dopamina, pero eso lo explicaremos más adelante. 

Lo cierto es que el efecto de las hormonas les permite a otras personas o incluso a empresas ‘jugar’ con nuestras emociones para lograr que aceptemos sus ideas, productos o servicios. En otras palabras, poner al usuario feliz, triste o indignado, entre muchos otros sentimientos, hace parte de las estrategias de comunicación. 

Esto tiene muchas cosas buenas, por supuesto. Por ejemplo, la empresa de tecnología SAS, especialista en analítica, usa Inteligencia Artificial para desarrollar soluciones que permitan identificar y  analizar los rasgos en las expresiones faciales de las personas cuando están felices, tristes, sorprendidas, temerosas, disgustadas… y lo hace para saber cómo reacciona una persona ante un producto específico y aprovechar esta información para toma de mejores decisiones de negocio o para reducir el fraude en la mayoría de la industrias. 

La misma empresa analiza si la Inteligencia Artificial puede utilizarse para identificar reacciones que vayan más allá de la emoción; esto se aplica en el desarrollo del denominado software de análisis de sentimientos.

Pero el asunto también tiene su lado negativo: como el exceso de felicidad nos relaja, los ciberdelincuentes están muy atentos a sacar provecho de épocas en las que priman las emociones positivas (como Navidad o San Valentín, entre otras). Por eso, no es coincidencia que el phishing financiero haya crecido 9,5% en el último trimestre de 2019; según la empresa de seguridad Kaspersky, esto se debe a que el usuario baja la guardia, pensando en su periodo vacacional. 

¿Cuál es el fundamento científico?

Para explicar todos esos fenómenos relacionados con la felicidad, el riesgo ante las estafas y otros ataques cibernéticos se han realizado diferentes estudios. Uno de ellos fue adelantado por Google, en alianza con un grupo de investigadores de la Universidad de la Florida liderados por la profesora Daniela Oliveira. La conclusión fue clara: las personas felices son más propensas a ser víctimas de fraude en línea. El estudio resaltó, entre otras cosas, que los adultos mayores son más vulnerables y que las emociones juegan un papel fundamental. 

[su_note note_color=”#AED6F1″ text_color=”#333333″ radius=”3″ class=””]Consulte aquí el estudio ‘Disección de correos electrónicos de phishing para mayores vs. jóvenes adultos: sobre la interacción de las armas de influencia y el dominio de la vida en la predicción de la susceptibilidad al phishing’.[/su_note]

Esto se debe a que el cortisol –la hormona relacionada con el estrés– aumenta la vigilancia y hace que sea más probable detectar un engaño. Por su parte, la serotonina y la dopamina –hormonas asociadas con sentimientos positivos– pueden conducir a comportamientos riesgosos e impredecibles que hacen que las personas sean más vulnerables. A esto pueden sumar la inteligencia de los delincuentes, quienes se especializan en jugar con las emociones. 

Según Oliveira, hay tres tácticas de persuasión, que son las más comunes en los correos de phishing (mensajes con los que se busca engañar al destinatario para que entregue información personal, financiera o de cualquier tipo que finalmente derive en un ataque): el uso de una autoridad respetada por la víctima, la promesa de un beneficio económico si el individuo interactúa con el correo (o la pérdida económica si decide ignorarlo) y la apelación al factor emocional. 

Un ejemplo de esto último son las causas benéficas. Google identificó que luego de los incendios forestales de California en 2018 hubo una ola de phishing pidiendo dinero para ayudar a las víctimas. Durante tres semanas se enviaron mensajes a 158 personas para analizar su comportamiento en línea y se identificó bajo qué circunstancias los participantes hacían clic en enlaces engañosos. Estos correos tenían vínculos maliciosos basados en técnicas de phishing identificadas por Google. 

Oliveira describe en la siguiente Charla TED cómo la susceptibilidad de las personas al phishing varía según la edad, el sexo y los niveles de emoción y cognición.

El que no entiende es como el que no sabe

Según datos presentados en la conferencia BlackHat de 2019, solo Gmail bloquea más de 100 millones de correos electrónicos de phishing. Uno de los mayores problemas, por lo cual este mecanismo de engaño sigue siendo una técnica efectiva, radica en que el 45% de los internautas aún no comprende bien qué es el phishing.

Entonces, ¿qué es el phishing? Es un tipo de ataque cibernético que llega mediante mensajes maliciosos distribuidos por todo tipo de medios en línea (por ejemplo, correo electrónico, SMS, redes sociales, WhatsApp). Con ellos se intenta influir en los usuarios para que realicen acciones como ingresar a un enlace malicioso y dejar allí datos como su número de cuenta y clave de acceso. Para hacerlo, los mensajes simulan provenir de un servicio legítimo (un establecimiento comercial, un banco, una entidad del estado) que le genere confianza a la víctima.

Aunque los sistemas de seguridad mejoren –como el bloqueo de correos– el riesgo depende mucho del factor humano. Por eso las campañas de seguridad involucran diferentes capas y actores. Entre las acciones que se recomiendan para no ser víctimas del phishing se encuentran: 

  • Educar a los usuarios: todos los días las campañas evolucionan, pero también se siguen usando técnicas ‘ancestrales’ como la del príncipe de Nigeria que quiere compartir su fortuna. Es necesario que los usuarios comprendan qué es el phishing, cómo detectarlo y cómo protegerse. No en vano empresas de seguridad  (como Kaspersky y Eset, entre otras) así como los mismos bancos están alertado constantemente sobre este tipo de ataques. 
  • Es necesario tomarse un tiempo para revisar la información de los mensajes, identificar la dirección del remitente, los errores gramaticales, la redacción (hay mensajes en los que tutean y tratan de usted al mismo tiempo), analizar las URL que incluyen, entre otras recomendaciones.
  • El uso de una autenticación de dos pasos hace que sea más difícil para los phishers acceder a las cuentas de sus víctimas. 
  • Aprovechar los avances en inteligencia artificial para detectar técnicas de phishing. En esto trabajan varias empresas, desde los proveedores de correo electrónico, los bancos y actores especializados en estos temas.
  • Crear advertencias de phishing fáciles de entender para los usuarios.

[su_box title=”Cifras sobre delitos electrónicos en Colombia” style=”default” box_color=”#EC7063″ title_color=”#FFFFFF” radius=”3″ class=””]

Según el estudio de tendencias del cibercrimen en Colombia, los principales vectores de engaño en el país durante 2019 fueron el phishing (correos fraudulentos personalizados, con 80%), la suplantación de identidad (60%), el enmascaramiento de correos, spoofing (53%) y la infección de sitios visitados frecuentemente (37%). El principal interés de los cibercriminales en el contexto nacional se basa en la motivación económica.

Este estudio fue realizado por investigadores del Tanque de Análisis y creatividad de las TIC (TicTac), la Cámara Colombiana de Informática y Telecomunicaciones (CCIT) y el Centro de Capacidades para la Ciberseguridad de Colombia (C4) de la Policía Nacional. 

La investigación también prevé que durante 2020 habrá un incremento en el número de ciberataques que utilizan inteligencia artificial, además de la automatización de ataques ya consolidados como phishing bancario a través de redes sociales. Así que no se puede bajar la guardia, especialmente cuando estén felices. 

Consulte también el informe ‘Tendencias de Cibercrimen Colombia 2019-2020’.[/su_box]

[su_divider top=”no” text=”Go to top” style=”default” divider_color=”#999999″ link_color=”#999999″ size=”3″ margin=”15″ class=””]

[su_note note_color=”#FCF3CF” radius=”5″]Este contenido fue desarrollado con apoyo de BBVA, que no ha influido en el enfoque editorial. Entre BBVA e Impacto TIC existen acuerdos comerciales a efectos de comunicar información factual y objetiva enfocada en educación financiera.[/su_note]

Foto de portada: Creada por Freepik.

¿Qué te ha parecido este artículo?

¡Síguenos en nuestras redes sociales!

D
Sandra Defelipe Díaz

Soy periodista, productora, formadora y emprendedora digital, y tengo el orgullo de ser la integrante más antigua de Impacto TIC, lo que ha hecho que este sea mi principal espacio de formación continua. También les tengo historias de capoeira, cultura y de Tenjo, Cundinamarca. Sandra fue periodista de Impacto TIC desde antes de su fundación hasta 2022, y sigue colaborando.

email Sígueme en

Artículos relacionados

Artículo 1 de 5