El estudio del delito cibernético muestra que los usuarios responden al phishing de manera diferente en función de su dispositivo

En los últimos años, el tipo más común de delito cibernético ha sido Phishing, una forma de fraude en línea. En Phishing, un atacante, disfrazado de una entidad de confianza, engaña a una víctima para abrir un correo electrónico, mensaje instantáneo o texto, y luego hacer clic en un enlace malicioso, desencadenando procesos indeseables como la instalación de malware o un sistema congelado como parte de un ataque de ransomware. Los ataques de phishing, que a menudo evaden filtros de spam y otras herramientas de seguridad cibernética, han resultado en miles de millones de dólares de pérdidas para individuos y organizaciones.

En un nuevo estudio, los investigadores investigaron el efecto del tipo de dispositivo utilizado en el comportamiento de evitación de riesgo de las personas, específicamente, su tendencia a evitar vínculos potencialmente riesgosos como los utilizados en los ataques de phishing. Descubrieron que los usuarios respondieron de manera diferente a los ataques cibernéticos en función del tipo de dispositivo que usaron: el uso móvil se asoció con un comportamiento más eventor de riesgo que el uso de PC.

El estudiarrealizado por investigadores de la Universidad Carnegie Mellon y la Universidad Ben-Gurion de la Beer-sheva de Negev, aparece en el Revista Internacional de Gestión de la Información.

«El hecho de que los intentos de phishing exitosos requieran que las víctimas colaboren con sus atacantes destacan la importancia de identificar los factores que influyen en el comportamiento de evitación de los usuarios», explica Naama Ilany-Tzur, profesora asistente de enseñanza en el programa de sistemas de información en el Heinz College de Carnegie Mellon, quien dirigió el estudio.

«Basándose de la evidencia de que los usuarios móviles procesan información de manera diferente a los usuarios de computadoras personales, nuestro estudio sugiere que el dispositivo utilizado puede influir en el comportamiento de evitación de riesgo de los usuarios, como se manifiesta en su tendencia a evitar hacer clic en mensajes potencialmente riesgosos».

Los investigadores analizaron datos de una compañía de ciberseguridad que desarrolla soluciones de seguridad para pequeñas redes. Para detectar delitos de Internet, la compañía monitorea todas las solicitudes de URL de todos los dispositivos conectados a cada una de las redes a las que sirve.

Los investigadores seleccionaron al azar 30 redes estadounidenses y la compañía les proporcionó todos los registros disponibles de solicitudes de URL de móviles y PC de estas redes durante una semana en agosto a septiembre de 2020. Los investigadores luego seleccionaron al azar unas 500,000 solicitudes de URL para examinar.

A continuación, para explorar la sensibilidad de los usuarios a las señales de riesgo de diferentes niveles de seguridad, los investigadores realizaron dos experimentos en línea en los que los dispositivos y los niveles de riesgo de URL se asignaron aleatoriamente a los participantes (más de 250 trabajadores de la plataforma Mecánica Amazonas para cada experimento). Después de pedir a los participantes que completen una tarea relacionada con las imágenes en línea, simularon un ataque de phishing para ver quién hacer clic en el enlace proporcionado y quién no.

Los usuarios móviles tenían menos probabilidades que los usuarios de la PC a hacer clic en una URL en un mensaje similar al phishing, según el estudio. Los investigadores observaron esta diferencia para las URL de menor riesgo, mientras que los usuarios de PC y móviles mostraron tendencias similares para evitar el riesgo cuando se enfrentan a URL de mayor riesgo.

Los autores inferieron la causalidad y concluyeron que el uso del dispositivo era responsable de las diferencias en el comportamiento de evitación de riesgo; También determinaron que la sensibilidad de los usuarios a los niveles de riesgo diferencial dependía del dispositivo que estaban usando.

Los hallazgos del estudio respaldan la naturaleza contextual del comportamiento de evitación de riesgo, lo que sugiere que la configuración de uso móvil puede limitar la capacidad de los usuarios para participar en la evaluación de riesgos, lo que posiblemente hace que su comportamiento sea más evitable de lo necesario cuando los enlaces no representan ningún riesgo significativo. Por el contrario, la configuración de uso de PC puede ser más adecuada para participar en la evaluación de riesgos, lo que permite a los usuarios responder de manera consistente con el nivel real de riesgo.

«En un momento de creciente crimen de Internet, nuestro trabajo se suma a la creciente comprensión del comportamiento de evitación de riesgo», sugiere Lior Fink, profesor de ingeniería industrial y gestión de la Universidad de Ben-Gurion de la Beer-Sheva de Negev, que coautoró el estudio. «A la luz de la amplia variedad de dispositivos disponibles para los usuarios, nuestro estudio también avanza la comprensión de las diferencias de comportamiento por dispositivo».

Los resultados, dicen los autores, pueden ayudar a las empresas de ciberseguridad a diseñar soluciones que se ajustan mejor al dispositivo que se utiliza y el comportamiento del usuario deseado. Por ejemplo, la efectividad de los mecanismos de seguridad puede depender del dispositivo que se está utilizando. Los resultados también pueden informar políticas y regulaciones relacionadas con la seguridad y la privacidad.

Entre las limitaciones del estudio, los autores señalan que sus estudios experimentales no podrían imitar completamente un ataque de phishing real.