Cómo la psicología experimental puede enseñarnos a no caer en el phishing

Cualquiera que lleve algún tiempo utilizando internet habrá oído hablar de los peligros del phishing, y si no es así, debería conocerlos. El phishing es una técnica de suplantación de identidad dirigida a robar datos sensibles de los usuarios, como contraseñas o números de cuenta. La mayoría de los ataques de phishing empiezan como un enlace sospechoso en un e-mail, aunque cada vez nos llegan más a través de redes sociales y programas de mensajería como Whatsapp.

Cuando el usuario incauto pincha en el enlace, es dirigido a una web fraudulenta que simula pertenecer a una institución de confianza (por ejemplo, la web de nuestro banco, o la de un servicio online que utilizamos). Obviamente, si el usuario introduce algún dato en los formularios de la página, estos quedarán en poder de los delincuentes informáticos.

Ante este tipo de ataques, lo mejor es la prevención. Muchos hemos aprendido a no fiarnos de los e-mails de remitentes sospechosos, sobre todo si contienen enlaces, o a teclear a mano la URL cuando queremos acceder a servicios de importancia como nuestro banco.

Aun así, el phishing sigue siendo un tipo de piratería informática altamente efectiva. Y es que los seres humanos tendemos a bajar la guardia y a ser demasiado confiados, convirtiéndonos en el eslabón más débil de toda la cadena de medidas preventivas. De ahí que un aspecto importante de la lucha contra el phishing sea el factor psicológico.

Entonces, si ya hemos pinchado ese enlace que no deberíamos, y estamos visitando una web fraudulenta, ¿cómo darnos cuenta del engaño antes de introducir ningún dato? Una investigación reciente muestra cómo la Psicología experimental puede poner su granito de arena en la lucha contra este delito informático.

La psicología experimental contra el phishing

Lo primero que tenemos que saber es que, por mucho que se esmeren, los piratas informáticos no siempre pueden crear una réplica exacta de la web original a la que quieren suplantar. Existen limitaciones de tipo técnico, y si nos fijamos bien, siempre habrá detalles visuales que no se hayan imitado correctamente (por ejemplo, la posición de los elementos de la pantalla, la calidad de las imágenes, el contenido del texto...).

En la web PhishTank.com podemos observar capturas de pantalla de cientos de webs fraudulentas, y compararlas con sus originales (en la imagen vemos un ejemplo). Una vez que hayamos detectado discrepancias visuales, podremos recurrir a técnicas más fiables para verificar la autenticidad del sitio web (como comprobar la URL, o ver si la comunicación va cifrada).

 

Ejemplo de imagen de una web fraudulenta empleada en un ataque phishing (izquierda), comparada con el aspecto de la web verdadera (derecha).

De entre los muchos componentes visuales de un sitio web, hay algunos especialmente difíciles de imitar por los piratas. Entre ellos está la tipografía, o fuente de letra.

Hay varios motivos por los que es difícil usar en una web fraudulenta exactamente la misma fuente de letra que en la web original. En primer lugar, las compañías suelen personalizar sus tipografías para darle imagen de marca. Pensemos en trazos tan inconfundibles como los que contienen el logo de Coca-Cola, o el de Walt Disney. Además de eso, entran en juego aspectos técnicos del propio proceso de "clonado" fraudulento de la web.

En definitiva, los piratas pueden esmerarse en copiar el aspecto visual de la página web, pero rara vez obtendrán un resultado idéntico. Por lo tanto, de cara a prevenir el phishing, estaría bien poder enseñar a los internautas a detectar cambios sutiles en el aspecto visual de un sitio web (por ejemplo, advertir que la fuente de letra no es la misma que en visitas anteriores).

Si el objetivo es que los usuarios aprendamos a reaccionar ante estas alteraciones visuales de la web, la psicología tiene algo relevante que aportar. Los psicólogos experimentales llevan décadas estudiando lo que llaman "aprendizaje perceptivo". Este tipo de aprendizaje permite mejorar nuestras habilidades para distinguir entre estímulos muy similares. Por ejemplo, nos ayuda a distinguir a dos hermanos gemelos incluso si son casi idénticos.

De cara a prevenir el phishing, estaría bien poder enseñar a los internautas a detectar cambios sutiles en el aspecto visual de un sitio web (por ejemplo, advertir que la fuente de letra no es la misma que en visitas anteriores)

Las investigaciones en este campo han diseñado estrategias de entrenamiento que permiten incrementar las habilidades perceptivas. Mencionaremos algunos casos: por ejemplo, se ha conseguido enseñar a unas ratas a distinguir si una persona está hablando en japonés o en holandés, y a unas palomas a distinguir cuadros de Monet de cuadros de Picasso.

En una investigación más reciente, se consiguió que unas palomas diagnosticaran correctamente radiografías con imágenes de tumores malignos, de una manera sólo igualada por el ojo entrenado de un especialista. En otros estudios, usando procedimientos parecidos, se ha tenido éxito enseñando a japoneses adultos el contraste fonético entre /l/ y /r/, que para ellos es generalmente muy complicado de adquirir en la edad adulta, e incluso se ha conseguido mejorar comprensión oral de niños con dificultades de adquisición del lenguaje.

En todos estos ejemplos, tanto los animales como las personas de diferentes edades y condiciones consiguen aprender a diferenciar entre dos estímulos que son muy similares, y por tanto muy difíciles de distinguir (los sonidos de dos idiomas o de dos fonemas, los estilos de dos pintores, las imágenes de dos tipos de tumor). ¿Cómo se alcanza tal grado de destreza?

Uno de los métodos que facilitan el aprendizaje perceptivo consiste en el entrenamiento con estímulos de dificultad creciente. Es decir, se empieza mostrando al animal (o a la persona) pares de estímulos muy diferentes, y por tanto fáciles de diferenciar, y progresivamente se va aumentando la dificultad empleando estímulos cada vez más similares.

Por ejemplo, si quisiera enseñar a un aprendiz de sumiller a diferenciar entre variedades de vino tinto, podría empezar mostrándole primero problemas sencillos, como diferenciar un tinto gran reserva de un tinto del año, comparando después vinos cada vez más parecidos entre sí. A este fenómeno se le llama "entrenamiento fácil-a-difícil".

Entrenamiento "fácil-a-difícil"

Con toda esta información, el equipo de investigadores de Psicología Experimental y del Departamento de Telecomunicaciones de la Universidad de Deusto nos pusimos manos a la obra para enseñar a los internautas a discriminar webs fraudulentas.

Primero diseñamos la página web de un banco ficticio, que en el contexto de nuestro estudio haría las veces de la web "auténtica". A partir de ella, siguiendo el procedimiento que usarían los delincuentes informáticos reales, creamos varios clones de la misma web para hacerlos pasar por ella.

En concreto, generamos tres variantes de la web original, todas idénticas salvo por un detalle visual, la fuente de letra empleada. Estas tres variantes de la web se podían ordenar en un gradiente de similitud con la fuente original: desde la más similar (y por tanto, más difícil de diferenciar) a la más diferente. En la siguiente imagen podemos apreciar cómo, en efecto, es más difícil diferenciar la web original (letra Verdana) de la copia en fuente Tahoma, que de la copia en fuente Times New Roman.

 

Muestras de las cuatro versiones de una página web empleadas en el estudio: la original y las tres copias con distintas fuentes de letra

Durante el estudio, a los participantes (adultos con experiencia en el uso de internet) se les mostraba una serie de capturas de pantalla que correspondían a las diferentes versiones de la web bancaria. Para cada captura, tenían que determinar si esta correspondía a la web original o a una copia.

El objetivo final era aprender a distinguir entre la web original (letra Verdana) y la copia más similar de todas (letra Tahoma). Los investigadores comprobamos que esto era francamente difícil: cuando los participantes debían distinguir entre estas dos versiones de la web, cometían muchos errores y aprendían muy lentamente.

Sin embargo, esto contrastó con los resultados de otro grupo de participantes a los que se expuso a problemas progresivamente más difíciles. Es decir, estos participantes comenzaron diferenciando dos webs muy diferentes (original en letra Verdana y copia en letra Times New Roman) y poco a poco se aumentó la dificultad (Verdana vs. Capriola, y finalmente Verdana vs. Tahoma). Con este entrenamiento progresivo, muchos participantes fueron capaces de diferenciar, al final del estudio, la web original de la copia más similar de todas (Tahoma).

Un usuario previamente entrenado podría ser capaz, como muestra la psicología experimental, de detectar pequeñas variaciones estéticas en el diseño de la web que lo pondrían sobre alerta

El estudio se llevó a cabo primero en el laboratorio de la universidad con 42 estudiantes universitarios, que son el tipo de muestra más habitual en los estudios de psicología experimental. Después se repitió con una muestra de internautas anónimos más amplia (133 participantes) que tomaron parte desde sus casas a través de internet en una situación más realista, obteniendo los mismos resultados.

El que un estudio se replique con idéntico resultado, y además en condiciones diferentes, es un indicativo de que las conclusiones son fiables.

Como conclusión, los autores del estudio señalamos que, lógicamente, la solución preferida frente a la amenaza del phishing sigue siendo la prevención, es decir: no pinchar nunca en un link sospechoso, desconfiar de los mensajes extraños, etc. Estos son consejos básicos para cualquier internauta. Sin embargo, tarde o temprano es inevitable que acabemos cometiendo un descuido y visitando una web fraudulenta.

En esos casos, un usuario previamente entrenado podría ser capaz, como muestra la psicología experimental, de detectar pequeñas variaciones estéticas en el diseño de la web que lo pondrían sobre alerta. Una vez activada esa mínima sospecha, el usuario podría verificar la seguridad del sitio web que está visitando mediante otras técnicas más fiables (como comprobar si la URL es correcta).

Esta investigación es un primer paso que muestra cómo el diseño de programas basados en la evidencia experimental para entrenar a los usuarios puede ser una estrategia altamente eficaz para incorporarla en planes completos de seguridad online que quieran abarcar no solo los aspectos más técnicos, sino también los aspectos psicológicos que, como es bien sabido, continúan siendo hoy el punto más débil de toda la seguridad online. ¿Quién dijo que la psicología no puede utilizarse para prevenir el fraude electrónico?

Referencias

• Moreno-Fernández, M. M., Blanco, F., Garaizar, P., & Matute, H. (2017). Fishing for phishers. Improving Internet users’ sensitivity to visual deception cues to prevent electronic fraud. Computers in Human Behavior, 69, 421-436.

Fuente: Cómo la psicologia experimental puede enseñarnos a no caer en el phishing