Un sencillo entrenamiento para identificar webs fraudulentas

09/01/2017 07:54 |0

Psicólogos e ingenieros de la Universidad de Deusto prueban en internet un método para ayudar a protegerse ante el 'phishing'

No hay usuario de correo electrónico que no haya recibido un mensaje de una supuesta entidad bancaria o compañía pidiéndole urgentemente que pinche en un enlace y actualice sus datos personales en la web correspondiente. Hay quien sigue las instrucciones del mensaje, entra en la web indicada y facilita su nombre de usuario y contraseña, su número de tarjeta de crédito y clave o cualquier otra información sensible. Al otro lado no hay ningún banco o compañía, sino un estafador que a partir de ese momento dispone de esos datos para lo que quiera, desde vaciar cuentas corrientes hasta suplantar identidades. Es lo que se conoce como ‘phising’. Así robaron en octubre unos cibercriminales 3,2 millones de dólares a la ciudad de El Paso (Texas).

Psicólogos e ingenieros de la Universidad de Deusto acaban de publicar en la revista ‘Computers in Human Behavior’ los resultados de una investigación que demuestra que un sencillo entrenamiento puede ayudar a un internauta a identificar una web fraudulenta a simple vista. «Los cibercriminales se hacen pasar por entidades bancarias, servicios de pago y empresas, y crean páginas web que, aunque se parecen mucho a las legítimas, nunca son exactamente iguales. Las grandes compañías suelen tener, por ejemplo, tipos de letra personalizados que no es posible clonar», explica Manuela Moreno, primera autora de la investigación, en la que también han participado Fernando Blanco, Pablo Garaizar y Helena Matute, directora de la investigación. En esa característica -el tipo de letra- han centrado su estudio los científicos de la universidad bilbaína.

Mecanismos de autodefensa

Cuatro normas para protegerse ante el 'phishing'

Además de los sistemas de bloqueo de IP (el número que identifica a una interfaz de cualquier dispositivo de Red) y de los detectores de correo basura, hay unas sencillas normas que nos pueden ayudar a evitar ser estafados en internet:

1. - Nunca responda a una petición de información personal a través de correo electrónico, SMS o cualquier otro sistema. Ningún banco o entidad de la que sea cliente le va a pedir por esos métodos su número de tarjeta de crédito y clave ni otros datos personales.

2. Jamás pinche en el enlace incluido del mensaje. Vaya al navegador y teclee la dirección de la entidad que, supuestamente, se ha dirigido a usted (por ejemplo, elcorreo.com). Así evitará que los cibercriminales le redirijan a una web fraudulenta.

3. No se fíe de que la dirección del remitente pueda parecer una oficial; los ‘phishers’ pueden falsificar esa dirección.

4. En caso de duda, póngase en contacto con la entidad supuestamente remitente, pero no a través de ningún número de teléfono que aparezca en el mensaje de correo.

«Aunque hay mecanismos tecnológicos que pueden prevenir el ‘phising’, nunca protegen al usuario totalmente», advierte la investigadora. Los psicólogos de Deusto se plantearon comprobar si la psicología del aprendizaje puede ayudar a la creación de mecanismos de autodefensa ante ese tipo de ciberdelitos. Para ello, se inventaron un banco para el que crearon una web legítima de acceso y tres fraudulentas, que se diferenciaban de la original en el tipo de letra en distintos grados, e hicieron dos pruebas, una con alumnos de Psicología y otra posterior en internet con usuarios sin identificar.

En ambos experimentos dividieron a los sujetos en dos grupos: uno se entrenó durante unos veinte minutos con la web legítima y la fraudulenta más parecida; y el otro lo hizo con las cuatro webs, pasando progresivamente de la web fraudulenta más diferente a la más parecida. La prueba con los estudiantes de Psicología demostró que el método de adiestramiento más efectivo, que posibilita que al final los sujetos acierten más al detectar la web fraudulenta, es el segundo. Cuando los investigadores de Deusto trasladaron el test a internet, los resultados fueron similares.

«Es un primer paso a favor de la idea de que ésta puede ser una estrategia que las empresas utilicen para proteger a sus clientes, además de los tutoriales que ya tienen colgados en sus webs», dice Moreno. El siguiente será hacer pruebas en contextos más realistas, con webs fraudulentas que varíen en más aspectos respecto a las originales. En cualquier caso, una estrategia así sería siempre «complementaria de otras» y de que, quizá ya en la escuela, se inculque la idea de lo peligroso que puede llegar a ser facilitar datos personales por las buenas.

Moreno-Fernández, M. M., Blanco, F., Garaizar, P., & Matute, H. (2017). "Fishing for phishers. Improving Internet users' sensitivity to visual deception cues to prevent electronic fraud". 'Computers in Human Behavior', 69, 421–436.

TEMAS

Recibe nuestras newsletters en tu email

Noticias relacionadas

Lo más

COMENTARIOS

©ELCORREO

Utilizamos “cookies” propias y de terceros para elaborar información estadística y mostrarle publicidad, contenidos y servicios personalizados a través del análisis de su navegación. Si continúa navegando acepta su uso. Más información y cambio de configuración..

x