Psicología experimental



El phishing es una técnica de suplantación de identidad dirigida a robar datos sensibles de los usuarios, como contraseñas o números de cuenta. La mayoría de los ataques de phishing empiezan como un enlace sospechoso en un e-mail, aunque cada vez nos llegan más a través de redes sociales y programas de mensajería como Whatsapp.

Cuando el usuario incauto pincha en el enlace, es dirigido a una web fraudulenta que simula pertenecer a una institución de confianza (por ejemplo, la web de nuestro banco, o la de un servicio online que utilizamos). Obviamente, si el usuario introduce algún dato en los formularios de la página, estos quedarán en poder de los delincuentes informáticos.

Aun así, el phishing sigue siendo un tipo de piratería informática altamente efectiva. Y es que los seres humanos tendemos a bajar la guardia y a ser demasiado confiados, convirtiéndonos en el eslabón más débil de toda la cadena de medidas preventivas. De ahí que un aspecto importante de la lucha contra el phishing sea el factor psicológico.

La psicología experimental



Lo primero que tenemos que saber es que, por mucho que se esmeren, los piratas informáticos no siempre pueden crear una réplica exacta de la web original a la que quieren suplantar. Existen limitaciones de tipo técnico, y si nos fijamos bien, siempre habrá detalles visuales que no se hayan imitado correctamente 

En la web PhishTank.com podemos observar capturas de pantalla de cientos de webs fraudulentas, y compararlas con sus originales (en la imagen vemos un ejemplo). Una vez que hayamos detectado discrepancias visuales, podremos recurrir a técnicas más fiables para verificar la autenticidad del sitio web (como comprobar la URL, o ver si la comunicación va cifrada).

Amazon
Ejemplo de imagen de una web fraudulenta empleada en un ataque phishing (izquierda), comparada con el aspecto de la web verdadera (derecha).

Si el objetivo es que los usuarios aprendamos a reaccionar ante estas alteraciones visuales de la web, la psicología tiene algo relevante que aportar. Los psicólogos experimentales llevan décadas estudiando lo que llaman "aprendizaje perceptivo". Este tipo de aprendizaje permite mejorar nuestras habilidades para distinguir entre estímulos muy similares. Por ejemplo, nos ayuda a distinguir a dos hermanos gemelos incluso si son casi idénticos.

Uno de los métodos que facilitan el aprendizaje perceptivo consiste en el entrenamiento con estímulos de dificultad creciente. Es decir, se empieza mostrando al animal (o a la persona) pares de estímulos muy diferentes, y por tanto fáciles de diferenciar, y progresivamente se va aumentando la dificultad empleando estímulos cada vez más similares.

Por ejemplo, si quisiera enseñar a un aprendiz de sumiller a diferenciar entre variedades de vino tinto, podría empezar mostrándole primero problemas sencillos, como diferenciar un tinto gran reserva de un tinto del año, comparando después vinos cada vez más parecidos entre sí. A este fenómeno se le llama "entrenamiento fácil-a-difícil".

Entrenamiento "fácil-a-difícil"

Con toda esta información, el equipo de investigadores de Psicología Experimental y del Departamento de Telecomunicaciones de la Universidad de Deusto se pusieron manos a la obra para enseñar a los internautas a discriminar webs fraudulentas.

Primero diseñaron la página web de un banco ficticio, que en el contexto de ese estudio haría las veces de la web "auténtica". A partir de ella, siguiendo el procedimiento que usarían los delincuentes informáticos reales, creamos varios clones de la misma web para hacerlos pasar por ella.

En concreto, generaron tres variantes de la web original, todas idénticas salvo por un detalle visual, la fuente de letra empleada. Estas tres variantes de la web se podían ordenar en un gradiente de similitud con la fuente original: desde la más similar (y por tanto, más difícil de diferenciar) a la más diferente. En la siguiente imagen podemos apreciar cómo, en efecto, es más difícil diferenciar la web original (letra Verdana) de la copia en fuente Tahoma, que de la copia en fuente Times New Roman.

Banca Online

Muestras de las cuatro versiones de una página web empleadas en el estudio: la original y las tres copias con distintas fuentes de letra

Durante el estudio, a los participantes (adultos con experiencia en el uso de internet) se les mostraba una serie de capturas de pantalla que correspondían a las diferentes versiones de la web bancaria. Para cada captura, tenían que determinar si esta correspondía a la web original o a una copia.

El objetivo final era aprender a distinguir entre la web original (letra Verdana) y la copia más similar de todas (letra Tahoma). Los investigadores comprobaron que esto era francamente difícil: cuando los participantes debían distinguir entre estas dos versiones de la web, cometían muchos errores y aprendían muy lentamente.

Sin embargo, esto contrastó con los resultados de otro grupo de participantes a los que se expuso a problemas progresivamente más difíciles. Es decir, estos participantes comenzaron diferenciando dos webs muy diferentes (original en letra Verdana y copia en letra Times New Roman) y poco a poco se aumentó la dificultad (Verdana vs. Capriola, y finalmente Verdana vs. Tahoma). Con este entrenamiento progresivo, muchos participantes fueron capaces de diferenciar, al final del estudio, la web original de la copia más similar de todas (Tahoma).

El estudio se llevó a cabo primero en el laboratorio de la universidad con 42 estudiantes universitarios, que son el tipo de muestra más habitual en los estudios de psicología experimental. Después se repitió con una muestra de internautas anónimos más amplia (133 participantes) que tomaron parte desde sus casas a través de internet en una situación más realista, obteniendo los mismos resultados.

El que un estudio se replique con idéntico resultado, y además en condiciones diferentes, es un indicativo de que las conclusiones son fiables.

En esos casos, un usuario previamente entrenado podría ser capaz, como muestra la psicología experimental, de detectar pequeñas variaciones estéticas en el diseño de la web que lo pondrían sobre alerta. Una vez activada esa mínima sospecha, el usuario podría verificar la seguridad del sitio web que está visitando mediante otras técnicas más fiables (como comprobar si la URL es correcta).


Comentarios

Publicar un comentario

Entradas populares de este blog

"Algo que tienes, algo que sabes y algo que eres"

Imagen
Una foto con diversas máscaras apareció mientras Phil Schiller hablaba de Face ID en la presentación del iPhone X. Aquello parecía indicar que engañar este sistema biométrico sería muy complicado, pero un grupo de hackers ha indicado que la seguridad de Face ID se puede superar con algo de maña y una inversión de 150 dólares. El reconocimiento facial parecía una excelente alternativa, pero le ha sucedido lo que a otros sistemas de autenticación en el pasado. La seguridad perfecta no existe, pero si hay algo que puede protegerte es la combinación de algo que sabes, algo que tienes y algo que eres. Un mundo de seguridad imperfecta De hecho esos tres esquemas de autenticación, como explicaban hace tiempo en el Instituto Nacional de Ciberseguridad (Incibe) son los que se aprovechan hoy en día para tratar de que usuarios de todo tipo tengan sus dispositivos y datos seguros y a buen recaudo. El problema es que normalmente no se combinan esos tres esquemas, y confiam...
Leer más

Realidad virtual para el gimnasio

Imagen
Realidad virtual para el gimnasio Icaros Si eres seguidor de mi blog ya habrás leído varios post sobre la realidad virtual , su mundo es tan apasionante y emocionante que por más que podamos leer y ver siempre habrá lugar para el asombro, esta vez le toca al fitness. Pulseras cuantificadoras que monitorizan todos nuestros movimientos, máquinas que nos asisten en todos los ejercicios, aplicaciones móviles que nos explican cómo entrenar e incluso lo convierten en un juego. Si eres un usuario regular de un gimnasio tradicional puede que esto de "aplicar la realidad virtual al entrenamiento" te suene a película de ciencia ficción Se dice que un entrenador olímpico del equipo de los Estados Unidos ya usaba esta metodología hace muchas décadas atrás, tecnología que fue cedida por la Nasa Realidad virtual y bicicletas fijas Holofit o Blackbox ya anuncian y ofrecen las primeras experiencias en "gimnasios virtuales". Dispositivos como las Oculu...
Leer más

Casas inteligentes, que es la domótica?

Imagen
Casas inteligentes, que es la domótica? La domótica es una tecnología relativamente nueva cuya aplicación puede tener amplias ventajas desde muchos puntos de vista.  Se llama domótica a los sistemas capaces de automatizar una vivienda o edificio de cualquier tipo, aportando servicios de gestión energética, seguridad, bienestar y comunicación, y que pueden estar integrados por medio de redes interiores y exteriores de comunicación, cableadas o inalámbricas, desde dentro y fuera del hogar. Se podría definir como la integración de la tecnología en el diseño inteligente de un recinto cerrado. El termino domótica proviene de la palabras domus en latín que significa casa y autónomo del griego y que significa que se domina a sí mismo, esta compuesto de ciertas tareas, estas tareas pueden ser tan simples como controlar la temperatura de una habitación o tan compleja como encargarse de la seguridad de un edificio. También el manejo de la iluminación, el control in...
Leer más