La multitarea aumenta el riesgo de phishing, encuentra el estudio

En la era de la información, la multitarea a menudo se usa como una insignia de honor. Pero según una nueva investigación dirigida por Xuecong Lu, profesor asistente de seguridad de la información y forense digital en la Escuela de Negocios Massry de Ualbany, la multitarea también puede cegarnos a las amenazas ocultas, aumentando así nuestras posibilidades de ser víctimas del cibercrimen.

Publicado en el Revista Europea de Sistemas de InformaciónEl estudio de LU se centra en el phishing, correos electrónicos fraudulentos diseñados para robar credenciales de inicio de sesión, información personal o dinero.

«Gran parte de la investigación existente supone que las personas están sentadas en silencio y enfocadas cuando llega un correo electrónico de phishing», dijo Lu. «En realidad, estamos constantemente multitarea, cambiando entre mensajes, reuniones y documentos. Esa atención dividida nos hace más vulnerables».

Según Forbes, los delincuentes envían un estimado 3.4 mil millones de correos electrónicos de phishing todos los días. IBM ha descubierto que las infracciones relacionadas con el phishing ahora cuestan a las empresas casi $ 5 millones por incidente.

Carga cognitiva y phishing

El estudio utilizó dos experimentos con casi 1,000 participantes para probar cómo la carga de memoria afecta la detección de phishing. Cuando los participantes tuvieron que hacer malabarismos con tareas de memoria complejas, su precisión se desplomó.

Según la investigación:

• La alta carga de memoria reduce la detección: cuando se les pidió a las personas que hicieran malabarismos con tareas de memoria desafiantes, tenían mucho más probabilidades de perder las señales de advertencia de los correos electrónicos de phishing
• La atención dividida debilita el juicio: los participantes que dividen el enfoque entre múltiples tareas lucharon para separar los mensajes legítimos de las estafas
• Las tareas más simples mejoran la precisión: cuando la carga mental era más ligera, los participantes atraparon intentos de phishing de manera más consistente

«Esto muestra que la carga cognitiva es un factor crítico», dijo Lu, quien enseña en el Departamento de Seguridad de la Información y Forense digital en la Escuela de Negocios Massry de Ualbany. «Cuando tu cerebro ya está ocupado, es más probable que te pierdas las banderas rojas en un correo electrónico».

Indicaciones y señales de encuadre

El estudio también probó si los recordatorios podrían ayudar a las personas a mantenerse alerta. Una breve advertencia, como «tener cuidado, algunos mensajes pueden ser intentos de phishing», mejorando la detección, especialmente para los correos electrónicos que prometían recompensas.

Los autores encontraron que:

• Atención de recordatorios de reenvío: un mensaje simple fue suficiente para compensar algunos de los efectos negativos de la multitarea
• Las estafas al estilo de recompensa necesitan una precaución adicional: los correos electrónicos enmarcados de ganancia que ofrecían premios o ventajas eran más fáciles de caer a menos que se recordara a los participantes que tengan cuidado
• Mensajes amenazantes Dirigieron el escrutinio de forma natural: los correos electrónicos con marco de pérdidas advierte sobre las penalizaciones o los bloqueos de la cuenta desencadenaron más vigilancia incluso sin indicaciones

«Estos hallazgos sugieren que los sistemas de capacitación y advertencia deben ser conscientes del contexto», dijo Lu. «Necesitamos intervenciones que lleguen a las personas en el momento, cuando están distraídos y menos capaces de detectar peligro».

Defensas más inteligentes

Las apuestas financieras subrayan por qué la investigación es importante. Según IBM, el costo promedio de una violación de datos relacionada con el phishing es de $ 4.88 millones, un recordatorio de que incluso un solo clic en un momento de distracción puede ser enormemente costoso.

Para reducir ese riesgo, el estudio señala varias estrategias prácticas:

• Entrena en condiciones del mundo real: la capacitación de ciberseguridad debe incluir escenarios que imiten las distracciones que enfrentan los empleados en el trabajo diario
• Construir alertas justo a tiempo: los recordatorios emergentes o los empujones de seguridad pueden ayudar a los usuarios a detenerse y reconsiderar antes de hacer clic en
• Reconocer la manipulación emocional: enseñar a las personas cómo los estafadores explotan la urgencia o la promesa de las recompensas las hace menos propensas a ser víctimas

«Nuestra investigación subraya que las personas son la última línea de defensa», dijo Lu. «La tecnología puede filtrar muchas amenazas, pero los atacantes saben que los humanos son el vínculo débil. Al comprender cómo funcionan la atención y la memoria, podemos construir sistemas más inteligentes que protejan a los usuarios incluso cuando no están completamente enfocados».