Este es un ejemplo de los artículos que semanalmente escribo de forma exclusiva para los mecenas de la Comunidad.


Si quieres recibir contenido exclusivo como éste directamente en tu bandeja de correo, revisa las opciones de mecenazgo de esta página.

*******

buzon lleno

Ya he contado en más de una ocasión, tanto por estos lares como en mis charlas y talleres, que hoy en día las campañas de phishing son el principal vector de ataque de la industria del cibercrimen.

Sin peros. La forma más sencilla de infectar a un dispositivo es atacando al humano, no la máquina.

Y sabedores de esto, creo que resulta obvio entender mi reticencia a delegar responsabilidades en una pieza de software como puede ser un antivirus, a la que históricamente hemos esperado que obre su magia sin interacción alguna con el usuario.

Pero solo con eso ya no basta: Necesitamos formación. Que los usuarios sean capaces de identificar un correo malicioso de uno legítimo. Un anuncio de un botón real… Esas cosas, ya sabes.

Y mientras tanto, en ese afán, me entero que algunos buscan caminos alternativos la mar interesante.

Este es el caso del que quería hablarte hoy.


La hipótesis de dos investigadores estadounidenses, Ben D. Sawyer del Instituto Tecnológico de Massachusetts, y Peter A. Hancock, de la Universidad de Florida Central, habla sobre la existencia de una correlación directa entre la frecuencia de los mensajes de correo maliciosos y la identificación exitosa del usuario.

En su teoría, estos investigadores se basaron en el «efecto de prevalencia» (ES), muy conocido en psicología, que básicamente expone que es más probable que una persona omita (o no detecte) una señal poco común que una que ocurre con frecuencia.

Los investigadores decidieron ponerlo en práctica mediante un experimento en el que se enviaron mensajes de correo a los participantes, algunos de los cuales contenían archivos adjuntos maliciosos. El porcentaje de mensajes de correo maliciosos varió para cada participante: para algunos, solo un 1 % contenía archivos adjuntos con malware, mientras que para otros se trataba del 5 % o del 20 %. El resultado confirmó su hipótesis: cuanto menos frecuente sea una amenaza, más difícil resulta que las personas la detecten. Además, la dependencia ni siquiera es lineal, sino que se aproxima a la logarítmica.

Lo que en teoría se podría aplicar directamente a las campañas de phishing. Y mejor aún, en la lucha contra ellas.

Si te fijas, los sistemas anti-spam y anti-phishing actuales buscan por todos los medios bloquear cualquier ataque de estos para que el usuario no los vea. Pero si aceptamos el efecto de prevalencia como mantra, esto supone que estamos ayudando (hasta cierto punto, claro) a aumentar la tasa de éxito de los cibercriminales (bloqueamos la mayoría de sus campañas, ergo las que entran tienen mayor probabilidad de ser efectivas):

  • Del lado de los cibercriminales: Tienen que encontrar el equilibrio entre el interés de inundar a la víctima con correos maliciosos y ese número suficientemente poco común de correos que permita que estos tengan mayor eficiencia engañando.
  • Del lado de los buenos: Que lo mismo sí interesa crear correos falsos «no maliciosos» de vez en cuando en las bandejas de entrada de los usuarios para aumentar el índice de correos «malignos» y mejorar esa tasa de fallo a la hora de engañarlos con correos realmente fraudulentos.

Es decir, que quizás parte del trabajo de las herramientas anti-phishing sea, además de la obvia (bloquear a los malos), generar correos «falsos» no maliciosos para educar al usuario, de forma que cuando se les pase alguno realmente malicioso el efecto de prevalencia haga su función y haya menor tasa de éxito.

¿Interesante, verdad?


Cabe destacar, eso sí, que en el experimento tan solo participaron 33 individuos, todos estudiantes, por lo que sería precipitado aceptar esta conclusión sin pensar. Pero en la psicología, el efecto de prevalencia ha quedado demostrado, por tanto, ¿por qué no debería aplicarse a los correos de phishing? A fin de cuentas aquí estamos hablando de unos elementos conductuales más del ser humano. El factor tecnológico apenas tiene impacto en este escenario.

Tienes por aquí el paper de estos investigadores (EN/PDF) si quieres ahondar en las matemáticas que hay tras todo esto.

________

Este es un ejemplo de los artículos que semanalmente escribo de forma exclusiva para los mecenas de la Comunidad.

Si quieres recibir contenido exclusivo como éste directamente en tu bandeja de correo, revisa las opciones de mecenazgo de esta página.

Articulo exclusivo PabloYglesias