Los trabajadores que sienten una forma específica de estrés tienen más probabilidades que otros de convertirse en víctimas de un ataque de phishing, según un estudio del Laboratorio Nacional del Noroeste del Pacífico del Departamento de Energía.

Si bien la mayoría, si no todos, sentimos estrés en el lugar de trabajo, los científicos identificaron una forma específica de estrés que indica quién es más vulnerable a hacer clic en contenido falso que podría generar malware y otros males cibernéticos. El trabajo podría ayudar a los trabajadores y sus empleadores a aumentar sus defensas de ciberseguridad al reconocer las señales de advertencia cuando alguien está a punto de hacer un clic arriesgado.

Los resultados del equipo de un estudio de 153 participantes se publicaron recientemente en el Journal of Information Warfare. Los investigadores notaron que, si bien el tamaño de muestra relativamente pequeño limitó su capacidad para descubrir todas las relaciones entre más de dos docenas de variables que estudiaron, la relación entre el estrés y la respuesta al correo electrónico de phishing simulado fue estadísticamente significativa.

Los costos de los ataques de phishing son enormes. Un análisis patrocinado por Proofpoint y realizado por Ponemon Institute estima que las grandes empresas de EE. UU. perdieron, en promedio, 14,8 millones de dólares cada una debido a los estafadores a través del phishing solo en 2021.

Las defensas incluyen no solo una mejor tecnología, sino también una mayor conciencia de las posibles víctimas.

« El primer paso para defendernos es comprender la compleja constelación de variables que hacen que una persona sea susceptible al phishing », dice el psicólogo de PNNL Corey Fallon, autor correspondiente del estudio. « Necesitamos desentrañar esos factores que hacen que las personas sean más o menos propensas a hacer clic en un mensaje dudoso ».

En su estudio, Fallon y sus colegas encontraron que las personas que informaron un alto nivel de angustia relacionada con el trabajo tenían muchas más probabilidades de seguir el enlace de un correo electrónico de phishing falso. Cada aumento de un punto en la angustia autoinformada aumentó la probabilidad de responder al correo electrónico de phishing simulado en un 15 por ciento.

Los científicos describen la angustia como un sentimiento de tensión cuando alguien en el trabajo siente que está en una situación difícil e incapaz de hacer frente a la tarea que tiene entre manos. La angustia puede provenir de la sensación de que su carga de trabajo es demasiado alta, o pueden estar cuestionando si tienen la capacitación o el tiempo adecuados para realizar su trabajo.

Fancy phish para explorar la psicología del phishing

Los 153 participantes habían aceptado participar en un estudio, pero no sabían que el correo electrónico de phishing enviado unas semanas después formaba parte del estudio planificado sobre la investigación de factores humanos.

En lo que respecta a los phishing, este fue un phishing elegante. No se mencionó una gran suma de dinero de un príncipe africano, por ejemplo, y no hubo errores ortográficos o errores gramaticales graves.

« Estos fueron correos electrónicos bien elaborados, diseñados deliberadamente para engañar a las personas y adaptados a la organización », dijo Jessica Baweja, psicóloga y autora del estudio. « Fue mucho más difícil de detectar que el phishing promedio ».

Cada participante recibió una de cuatro versiones diferentes de un mensaje sobre un supuesto nuevo código de vestimenta que se implementará en su organización. El equipo probó tres tácticas comunes de phishing por separado y juntas. Esto es lo que encontraron:

  • Urgencia. El 49 por ciento de los destinatarios hizo clic en los enlaces. Texto de muestra: « Esta política entrará en vigencia 3 días después de recibir este aviso… reconozca los cambios de inmediato »
  • Amenaza. El 47 por ciento hizo clic. « … cumpla con este cambio en el código de vestimenta o puede estar sujeto a medidas disciplinarias »
  • Autoridad. 38 por ciento hizo clic. « Según la Oficina del Asesor Jurídico… »
  • Las tres tácticas juntas: el 31 por ciento hizo clic

Si bien el equipo esperaba que usar más tácticas juntas daría como resultado que más personas hicieran clic en el mensaje, ese no fue el caso.

« Es posible que cuantas más tácticas se usaran, más obvio era un mensaje de phishing », dijo el autor Dustin Arendt, científico de datos. « Las tácticas deben ser convincentes, pero hay un término medio. Si se usan demasiadas tácticas, puede ser obvio que te están manipulando ».

En las operaciones diarias, el PNNL prueba periódicamente a su personal con correos electrónicos de phishing falsos. Por lo general, solo el 1 por ciento de los destinatarios hará clic. Muchos más empleados detectan el phishing desde el principio y brindan alertas de fuentes múltiples a los expertos en seguridad cibernética del Laboratorio, dijo Joseph Higbee, director de seguridad de la información de PNNL. Cuando se detecta un correo electrónico de phishing real, el laboratorio purga el sistema de todas las instancias del correo electrónico de inmediato. La información se comparte con frecuencia con otros laboratorios del DOE.

Trabajo en equipo hombre-máquina para reducir la seguridad cibernética riesgo

¿Cómo pueden las empresas y los empleados utilizar estos datos para reducir el riesgo?

« Una opción es ayudar a las personas a reconocer cuándo se sienten angustiadas », dijo Fallon, « para que puedan ser más conscientes y cautelosas cuando son especialmente vulnerables ».

En el futuro, una opción podría ser la formación de equipos humano-máquina. Si un algoritmo nota un cambio en un patrón de trabajo que podría indicar fatiga o falta de atención, un asistente de máquina inteligente podría sugerir un descanso del correo electrónico. Las alertas automáticas son cada vez más comunes, por ejemplo, cuando un conductor se desvía inesperadamente y el automóvil emite una advertencia sobre fatiga. Los investigadores señalaron que los beneficios potenciales de la entrada de un asistente de máquina deberían sopesarse frente a las preocupaciones de privacidad de los empleados.

« Puede ser difícil ver el correo electrónico como una amenaza », dijo Baweja. « Nuestros antiguos cerebros no están conectados para equiparar el correo electrónico con cosas aterradoras. Estás trabajando con correos electrónicos todo el día y es una rutina; hay pocas razones para pensar que podrían dañarte a ti o a nuestra organización.

« Las organizaciones deben pensar en cómo alentar a las personas a tomar buenas decisiones. Las personas sobrestiman su capacidad para detectar correos electrónicos de phishing », agregó.

Los investigadores del PNNL continúan el trabajo, pero con un giro. En lugar de preguntar qué hace que las personas sean más vulnerables al phishing, realizarán un pequeño estudio de las personas que resistieron el cebo, para obtener más información sobre sus características y estado de ánimo mientras monitorean su correo electrónico.

El trabajo es parte de un programa más amplio en investigación de factores humanos y equipos humano-máquina en PNNL, que recientemente organizó un Simposio sobre Factores Humanos.

El trabajo fue financiado por la Agencia de Seguridad de Infraestructura y Ciberseguridad, parte del Departamento de Seguridad Nacional. Además de Arendt, Baweja y Fallon, los autores incluyen a Ji Young Yun y Nick Thompson de PNNL y Zhuanyi Shaw, anteriormente de PNNL.