«Phishing»: ese irrefrenable impulso humano de hacer clic sin pensar

Security Awareness
27 noviembre 2021
click-phishing-sitp

Que levante la mano quien nunca se haya topado con un correo electrónico sospechoso. O quien no haya conocido a nadie que haya caído en la trampa del «phishing». Sin embargo, a pesar del conocimiento generalizado, el robo de información sensible sigue creciendo exponencialmente y los ataques de «ransomware» siguen afectando a empresas de todos los tamaños, con un alto índice de éxito. Tanto es así que, según un reciente informe del FBI, el «phishing» y sus variantes, como el «vishing», el «smishing» y el «pharming» son, de lejos, uno de los delitos informáticos más extendidos y exitosos.

Pero ¿qué es lo que hace que este tipo de estafa sea tan insidiosa? Sin duda, la continua evolución de las técnicas de ciberdelincuencia, pero, sobre todo, ese irrefrenable impulso humano de responder inmediatamente a un estímulo y actuar sin antes «contar hasta 10». En general, esa forma de actuar nunca presagia nada bueno, pero frente a un monitor y un teclado puede tener graves consecuencias. En resumen, no se tarda nada en hacer clic en un enlace o en un archivo adjunto, pero arreglar los daños que pueden derivarse de esta acción puede requerir mucho tiempo y mucho dinero.

Los ciberdelincuentes lo saben muy bien y, como refinados conocedores de la mente humana, son conscientes de que la clave de su éxito radica en su capacidad de manipular a una persona para que realice una acción concreta. Por otra parte, al margen de los tópicos, no solo caen en la trampa los usuarios inexpertos, sino también aquellos que tienen más experiencia, precisamente porque se mueven y actúan de forma más casual y repetitiva.

En 2020, se enviaron y recibieron 306,4 millones de correos electrónicos al día. Abrir un correo electrónico y hacer clic en un enlace es para muchos un hábito consolidado y un gesto casi mecánico. Pero ahí radica la trampa en la que muchos caen, al igual que el éxito de los ataques de «phishing».

Las 5 trampas del «phishing»: aprendamos a reconocerlas

Por tanto, los ataques de «phishing» están diseñados para que la gente actúe antes de pensar demasiado. Para ello, los «hackers» utilizan algunos trucos muy eficaces. Aprendamos a reconocerlos.

  • La fuente de confianza: una técnica es hacer que el destinatario del correo electrónico se sienta seguro. Las campañas de «phishing» suelen utilizar identidades falsas y marcas famosas como remitentes. Microsoft aparece repetidamente como una de las marcas de falsificación favoritas de los ciberdelincuentes. Netflix y PayPal también encabezaron la lista.
  • El irresistible clic: el 79 % de las personas afirma ser capaz de reconocer un correo electrónico de «phishing», aunque en realidad el porcentaje de quienes hacen clic en un enlace de un correo electrónico sospechoso sigue siendo muy alto. Una de las razones del clic impulsivo está probablemente relacionada con el hábito de utilizar aplicaciones simples e intuitivas. Hacer clic se ha convertido prácticamente en una respuesta pavlovliana cuando un correo electrónico contiene un enlace.
  • Acciones sencillas: la falta de reflexión antes de realizar una acción suele estar también relacionada con la sencillez de la tarea que se vaya a realizar y su repetitividad. Esto hace que muchos clics se realicen sin pensar demasiado en las posibles consecuencias. Si la actividad que se va a realizar está relacionada con el trabajo, aún es más probable que se haga clic, lo que desencadenará el ataque de «phishing». No es casualidad que las tareas repetitivas y reconocidas, como el restablecimiento de contraseñas, sean las favoritas de los «hackers».
  • La urgencia: los correos de «phishing» suelen contener una especie de condicionamiento para inducir a la gente a hacer clic automáticamente. De hecho, a menudo están vinculados a una fecha límite o a la necesidad de realizar una determinada acción como, por ejemplo, el pago de una factura. Algunas campañas de «phishing», las que se dirigen a una persona concreta («spear phishing»), se basan precisamente en la presión emocional que puede generar un director ejecutivo, por ejemplo, si envía un correo electrónico al departamento de contabilidad con una solicitud urgente de transferencia de dinero a una cuenta bancaria. Obviamente, la cuenta del director ejecutivo ya habrá caído en manos de un ciberdelincuente y el departamento de contabilidad no puede evitar quedar bien.
  • Sobrecarga de trabajo: un estudio sobre hospitales objeto de campañas de «phishing» concluyó que el personal con exceso de trabajo es el más propenso a hacer clic en un enlace de «phishing». Si uno no tiene tiempo para pensar, es más probable que la respuesta se produzca automáticamente.

«Basta con un clic», leemos con frecuencia en la web. Lástima que ese clic pueda ser un arma dirigida a nosotros mismos o a la empresa en la que trabajamos. Romper el automatismo del clic es crucial para contrarrestar las técnicas cibernéticas y el éxito del «phishing».

Adquirir la conciencia necesaria para navegar por la red de forma más segura solo es posible con la formación correcta y la educación adecuada para adoptar una actitud digital a prueba de «hackers».

Artículos relacionados