Un empleado de la Universidad de MacEwan recibió en 2017 un correo electrónico de alguien que decía ser un contratista de la construcción y que le pedía que cambiara el número de cuenta donde se enviaban casi 12 millones de dólares en pagos. Una semana después, el contratista real llamó preguntando cuándo llegaría el pago. El correo electrónico sobre el cambio de número de cuenta era falso. En lugar de ir al contratista, los pagos se enviaron a cuentas controladas por delincuentes.
Los correos electrónicos falsos que intentan que la gente haga cosas que normalmente no haría, como enviar dinero, ejecutar programas peligrosos o dar contraseñas, se conocen como correos electrónicos de phishing. Los expertos en ciberseguridad suelen culpar a las personas que reciben estos mensajes por no darse cuenta de que son falsos.
Como investigador de ciberseguridad, he descubierto que la mayoría de las personas son buenas en casi todas las habilidades que los expertos en seguridad informática utilizan para notar los correos electrónicos falsos en sus bandejas de entrada. La diferencia se reduce a escuchar tus instintos.
Cómo lo hacen los profesionales
En una investigación anterior, descubrí que cuando los expertos en ciberseguridad recibían un mensaje de correo electrónico de phishing, ellos, al igual que la mayoría de las personas, asumían que el correo electrónico era real. Al principio, tomaban todo lo que decía el correo electrónico al pie de la letra. Intentaron averiguar qué les pedía el correo electrónico y cómo se relacionaba con cosas de su vida.
A medida que leían, se daban cuenta de pequeñas cosas que parecían fuera de lugar, o diferentes de lo que normalmente se encontraría en mensajes de correo electrónico similares. Se dieron cuenta de cosas como las erratas en un correo electrónico profesional, o la falta de erratas de un ejecutivo ocupado. Se dieron cuenta de cosas como que un banco proporcionaba información sobre la cuenta en un mensaje de correo electrónico en lugar de la notificación estándar de que el destinatario tenía un mensaje esperándole en el sistema de mensajería segura del banco. También se dieron cuenta de cosas como que alguien, de forma poco habitual, les enviaba un correo electrónico sin mencionarlo primero en persona.
Pero notar estas señales no es suficiente para descubrir que el correo electrónico es un fraude. En cambio, los expertos se sintieron incómodos con el mensaje de correo electrónico. No fue hasta que vieron algo en el mensaje que les recordaba al phishing cuando empezaron a sospechar. Veían una anomalía como un enlace en el que el correo electrónico intentaba que hicieran clic. En sus mentes, esto se asocia comúnmente con los correos electrónicos de phishing.
Combinado con la sensación de incomodidad del mensaje de correo electrónico, este recordatorio hizo que los expertos reconocieran que el phishing podría explicar las cosas extrañas que notaban. Sospecharon del mensaje e investigaron para averiguar si se trataba de un fraude.
Buenos instintos
Si es así como lo hacen los expertos, ¿qué hace la gente normal? Cuando entrevisté a personas sin experiencia en seguridad informática, descubrí un proceso similar. La mayoría de la gente se dio cuenta de cosas que parecían extrañas, se sintió incómoda con el correo electrónico, se acordó del phishing e investigó.
Mi investigación descubrió que la gente es buena en los dos primeros pasos: notar cosas en el correo electrónico que parecen extrañas y sentirse incómodo. Casi todas las personas con las que hablé se dieron cuenta de varios problemas cuando vieron un correo electrónico falso, y me contaron que se sintieron incómodos con el mensaje.
Y si la gente pensaba en el phishing, también era buena para investigar. Sin embargo, en lugar de fijarse en los detalles técnicos, la mayoría se ponía en contacto con el remitente o pedía ayuda a otras personas. Pero aún así eran capaces de averiguar correctamente si un mensaje de correo electrónico era un ataque de phishing.
Historias de phishing
La mayor parte de la formación sobre phishing enseña a la gente a buscar problemas en el correo electrónico. Pero para la mayoría de la gente, lo difícil del phishing no es notar las cosas raras en un mensaje de correo electrónico. La gente suele tratar con correos electrónicos extraños pero reales. Muchos mensajes se sienten un poco fuera de lugar. A veces tu jefe tiene un mal día, o el banco cambia sus políticas. Ningún mensaje de correo electrónico es perfecto, y la gente suele ser consciente de ello.
El reto para la mayoría de la gente era recordar que el phishing existe, y reconocer que el phishing podría explicar esas cosas raras. Sin ese conocimiento del phishing, la rareza de los mensajes de phishing puede perderse en la rareza cotidiana del correo electrónico.
La mayoría de las personas que entrevisté conocen el phishing en general. Sin embargo, las personas que se dieron cuenta de los mensajes de phishing contaron historias sobre incidentes específicos de phishing de los que habían oído hablar. Me hablaron de una ocasión en la que alguien de su organización cayó en un correo electrónico de phishing, o de una noticia sobre un incidente como el de la Universidad de MacEwan.
La familiaridad con incidentes de phishing específicos ayuda a la gente a recordar el phishing en general y a reconocer que podría explicar las cosas extrañas que notan en un correo electrónico. Estas historias son clave para que la gente pase de «algo huele mal» a «¿es esto phishing?».
Este artículo se publicó originalmente en The Conversation bajo una licencia Creative Commons. Accede al artículo original aquí.