Las técnicas utilizadas por estos estafadores se vuelven cada día más sofisticadas
Imagínate esto: estás en una llamada de Zoom, Slack está repleto de actividad, tienes tres hojas de cálculo abiertas y tu bandeja de entrada suena. En ese momento de atención dividida, no te das cuenta de la pequeña señal de alerta en un correo electrónico. Así es como se cuela el phishing, y con 3.400 millones de correos electrónicos maliciosos enviados a diario, el riesgo es inmenso.
Un nuevo estudio en el que participaron profesores de la Universidad de Binghamton, de la Escuela de Administración de la Universidad Estatal de Nueva York (SOM), muestra que la multitarea hace que la detección de phishing sea significativamente peor: cuando las personas están sobrecargadas de información, su capacidad para detectar señales sospechosas disminuye. Pero el estudio también apunta a una solución sorprendentemente sencilla: pequeños empujoncitos oportunos que pueden redirigir la atención cuando más importa.
"Al trabajar con varias pantallas, la atención nunca se centrará por completo en una sola ni en un correo electrónico en particular, especialmente al gestionar tareas urgentes. Si desea responder a ese correo rápidamente, es fácil ignorar las señales de alerta en un correo de phishing", afirmó Jinglu Jiang, profesor asociado de SOM y coautor del estudio.
"Diseñamos un plan para un sistema de notificación muy simple que alerte a las personas sobre los factores de riesgo, de modo que, con suerte, los mensajes de phishing no se pierdan en el lío y las personas puedan detectarlos con mayor eficiencia".
Los experimentos, realizados con 977 participantes, simularon escenarios comunes de multitarea. Los participantes memorizaban datos o números relacionados con el trabajo (su tarea principal) mientras se les pedía que detectaran mensajes de phishing (una tarea secundaria).
Los investigadores descubrieron que la precisión en la detección de phishing se desplomaba cuando la carga de memoria de trabajo era alta. Sin embargo, al introducir recordatorios breves, el rendimiento de detección de los participantes mejoró incluso con una intensa multitarea.
Estos recordatorios no requieren una revisión completa de los flujos de trabajo. Por ejemplo, al gestionar varias hojas de cálculo o aplicaciones de mensajería, un cliente de correo electrónico podría mostrar un banner de advertencia de color en la parte superior de un mensaje sospechoso.
Durante las notificaciones del calendario o el cambio de tareas, un pequeño aviso del sistema como "este mensaje puede ser fraudulento; vuelva a revisarlo" podría redirigir la atención. Al usar estas señales en momentos en que los trabajadores están distraídos o sobrecargados, las organizaciones pueden ayudar a los empleados a centrarse en la detección de phishing precisamente cuando son más vulnerables.
El estudio también reveló que no todos los mensajes de phishing son iguales. Las señales de "activación de objetivos" (como los recordatorios) son especialmente útiles para los mensajes con un enfoque en las ganancias que prometen recompensas, como "Reclama tu tarjeta de regalo ahora". Por el contrario, los mensajes con un enfoque en las pérdidas ("Tu cuenta se bloqueará en 24 horas") suelen activar la vigilancia por sí solos, lo que reduce el beneficio de un recordatorio adicional.
Según el estudio, esta información sugiere que las organizaciones deberían evitar estrategias de recordatorios generales que puedan abrumar a los empleados. En su lugar, pueden diseñar notificaciones adaptadas al contenido, como recordatorios que se adapten al tipo de intento de phishing.
Jiang dijo que a medida que el phishing se vuelve más sofisticado, las organizaciones que se adaptan con intervenciones en tiempo real y teniendo en cuenta el contenido estarán mucho mejor posicionadas para proteger a su gente y sus datos.
"Las técnicas utilizadas por estos estafadores se vuelven cada día más sofisticadas: utilizan cuentas falsas y, en muchos casos, ocultan la identidad del remitente", afirmó Jiang. "Nuestro estudio demuestra que la detección de phishing a veces puede desplomarse al realizar múltiples tareas, y entonces esos mensajes basados en amenazas y pérdidas son los más difíciles de detectar, independientemente de lo que se haga. Pero esos pequeños recordatorios, esos métodos de estímulo, pueden ser realmente muy útiles".
Para empleadores, gerentes de TI y capacitadores de seguridad, el estudio ofrece recomendaciones:
• Integrar recordatorios en las herramientas diarias, desde banners de Outlook hasta integraciones con Slack o Teams.
• Personalizar por contenido: Ofrecer más recordatorios para estafas tentadoras basadas en recompensas.
• Capacitación para la realidad: La mayoría de las capacitaciones sobre phishing asumen que los usuarios no se distraen, pero los empleados reales siempre realizan múltiples tareas, por lo que la capacitación debe reflejar eso.
El estudio, "Phishing detection in multitasking contexts: the impact of working memory load, goal activation, and message framing cue on detection performance", se publicó en el European Journal of Information Systems. Fue coautorado por Xuecong Lu, de la Universidad de Albany, y Milena Head y Junyi Yand, de la Universidad McMaster, Canadá.
