Las indicaciones de seguridad interactivas ayudan a promover un comportamiento más seguro en línea, según un estudio

Está ocupado trabajando en un proyecto cuando, de repente, aparece un mensaje de seguridad en la pantalla que le advierte de un posible riesgo de seguridad. ¿Actúas o ignoras y regresas rápidamente al trabajo? Si el mensaje incluye una lista de cosas que se deben y no se deben hacer en materia de seguridad, es probable que lo ignore si es como la mayoría de las personas.

Los mensajes de seguridad persuasivos, conocidos como apelaciones al miedo, se utilizan para advertir a los usuarios sobre las vulnerabilidades de seguridad y promover un cambio de comportamiento. A menudo ignorados, pueden presentarse en forma de solicitudes de contraseña en línea, como medidores de seguridad de contraseña y sugerencias para mejorar la contraseña.

Sin embargo, si el atractivo del miedo es interactivo y proporciona retroalimentación en tiempo real en respuesta a las acciones del usuario, es más probable que el usuario interactúe con el mensaje mientras está en línea, según una investigación de Anthony Vance, profesor de Virginia Tech Pamplin College of Business.

En un estudio publicado en MIS Trimestral, Vance, profesor y miembro de la Iniciativa Cibernética de la Commonwealth en el Departamento de Tecnología de la Información Comercial y director de Seguridad Integrada de Pamplin, y sus coautores, probaron la efectividad de las apelaciones de miedo interactivas que interrumpirían a los usuarios durante tareas como navegar por Internet, estudiar, compras en línea, y más. Exploró cómo las apelaciones interactivas al miedo pueden alentar a las personas a actuar de manera más segura mientras realizan otras tareas en línea.

Para probar la teoría de que las apelaciones interactivas al miedo pueden fomentar un comportamiento más seguro, los investigadores se asociaron con Socwall.com, un depósito de imágenes de papel tapiz de computadora con un promedio de 10 000 usuarios diarios, para probar diferentes tipos de apelaciones al miedo en los participantes mientras creaban contraseñas en la sitio.

El experimento se llevó a cabo durante un período de un mes con 427 usuarios que estaban buscando fondos de pantalla en el sitio. Los investigadores desarrollaron una herramienta interactiva que midió y comunicó la seguridad de la contraseña en términos del tiempo estimado que le tomaría a un atacante descifrar la contraseña y compartió esta información en tiempo real a medida que los usuarios ajustaban sus contraseñas.

Probaron cuatro tratamientos: el control sin retroalimentación de contraseña para el usuario, un tratamiento solo interactivo con un medidor de seguridad de contraseña tradicional sin sugerencias de mejora, un llamado de miedo no interactivo con una lista detallada de pautas y una breve advertencia, y un interactivo Miedo apelar con un mensaje de advertencia y el indicador dinámico de contraseña «tiempo para descifrar».

Cuando los participantes visitaron la página de registro de Socwall.com, el servidor web asignó aleatoriamente uno de los cuatro tratamientos, requiriendo que crearan un nombre de usuario y una contraseña únicos para sus cuentas.

La investigación demostró cómo las apelaciones de miedo interactivas condujeron a contraseñas que eran 39 veces más seguras que las contraseñas creadas por usuarios con apelaciones de miedo no interactivas. Contrariamente a la sabiduría convencional, el tratamiento del medidor de seguridad de la contraseña no resultó en contraseñas más seguras.

Para profundizar su comprensión de estos resultados, los investigadores realizaron grupos focales con 40 estudiantes participantes para descubrir comentarios adicionales sobre cada una de las apelaciones.

Afirmando los resultados del estudio de campo, la mayoría de los participantes estuvo de acuerdo en que la retroalimentación en tiempo real provista en el llamado de miedo interactivo fue el motivador más fuerte para tomar medidas para mejorar la seguridad de sus contraseñas.

Cuando los estudiantes revisaron el tratamiento del medidor de seguridad de la contraseña, tuvieron dificultades para poner el medidor en contexto. Para el recurso de miedo no interactivo, los estudiantes tuvieron dificultades para filtrar la gran cantidad de información incluida en las pautas y discernir si su nueva contraseña era segura.

La investigación demostró cómo las apelaciones interactivas al miedo son más convincentes que los otros tipos de tratamientos probados en el estudio. Al hacer que las apelaciones al miedo sean más interactivas, estimula una mayor participación cognitiva en la tarea por parte de los usuarios y los alienta a cumplir con la solicitud y practicar un comportamiento más seguro mientras realizan actividades en línea para el trabajo, la escuela y más.

Encontrar formas de hacer que las apelaciones al miedo sean más atractivas es especialmente importante cuando una apelación al miedo interrumpe el trabajo de una persona.

«Cuando las apelaciones de miedo se entregan como una tarea secundaria, interrumpen el trabajo del usuario (es decir, la tarea principal), como responder a un correo electrónico. Esto generalmente hace que el usuario ignore la apelación de miedo, lo que deja al usuario o a su organización vulnerable a las amenazas cibernéticas. – dijo Vance.

Los resultados tienen implicaciones para las apelaciones al miedo en contextos de ciberseguridad más allá de la seguridad de las contraseñas.

«Es fácil ver cómo se pueden aplicar estos hallazgos para temer apelaciones sobre amenazas de malware, phishing o incluso en contextos como configuraciones de privacidad o configuraciones de firewall, que si se manejan mal, pueden conducir a resultados peligrosos relacionados con la seguridad y la privacidad de una persona. – dijo Vance.