Las corporaciones, las pequeñas empresas y las entidades del sector público han intentado sin éxito durante años educar a los consumidores y empleados sobre cómo reconocer los correos electrónicos de phishing, esos mensajes de aspecto auténtico que alientan a los usuarios a abrir un hipervínculo o adjunto encubierto, aunque malicioso, que parece inofensivo.
En una conversación informal, el problema suena como una molestia; en los balances, sin embargo, es monstruoso. El recuento financiero estimado por pérdida de información, robo de identidad, interrupciones del servicio y costos de seguridad adicionales relacionados con el phishing supera los $ 1 billón. De hecho, el phishingrepresenta más de un tercio del aumento de casi el 800 por ciento en delitos cibernéticos desde 2007, según la Oficina de Responsabilidad del Gobierno.
El problema parece imparable, pero un experto en ciberseguridad de la Universidad de Buffalo finalmente pudo haber enganchado la suplantación de identidad de que los métodos de capacitación existentes hasta ahora no han podido aterrizar.
Arun Vishwanath, profesor asociado en el Departamento de Comunicación de la UB, cuya investigación se especializa en cómo detener el engaño en línea, ha desarrollado un modelo integral innovador que, por primera vez, explica las múltiples influencias que contribuyen a laéxito de estos ataques.
El modelo de Vishwanath es un avance en la comprensión de por qué las personas caen en estos esquemas y finalmente podrían inclinar la dinámica del phishing del engaño exitoso a la detección efectiva.
El estudio, publicado en el último número de la revista Investigación de comunicación , propone y prueba empíricamente un modelo basado en la teoría que identifica las vulnerabilidades específicas del usuario que surgen en un usuario determinado.
"Cuando hablo con expertos en ciberseguridad en empresas o incluso en el gobierno de EE. UU., Y se lo he presentado a muchos de ellos, me dicen que el modelo proporciona un marco listo para comprender por qué sus empleados son víctimas detales ataques ", dice Vishwanath.
"Esto es muy importante"
El modelo fomenta un nuevo enfoque de capacitación que se basa en perfiles individuales y predictivos de usuarios de computadoras, en lugar de confiar en el enfoque de capacitación general actual para todos, un método que la investigación previa ha demostrado tener una eficacia limitada porque las personas a menudovictimizado horas después de que hayan terminado su entrenamiento, según Vishwanath.
"Al usar este modelo, las organizaciones pueden idear una política de seguridad dinámica, una que tenga en cuenta los comportamientos cibernéticos de los empleados y permita el acceso a sistemas, software y dispositivos basados en estos comportamientos", dice. "También se puede usardesarrollar un índice de riesgo que evalúe el umbral de riesgo general de individuos y grupos "
El estudio de Vishwanath, que es parte de un programa de investigación más amplio para comprender los problemas de seguridad cibernética de las personas, probó el modelo simulando diferentes tipos de ataques de phishing en sujetos del mundo real.
"Llamar a las personas a un laboratorio no funciona para este tipo de investigación porque existe un mayor sentido de conciencia", dice. "Los sujetos en los laboratorios miran una pantalla y se les pregunta si creen que están viendo un estudiocorreo electrónico de phishing. En realidad, la mayoría de las personas no se centran en los correos electrónicos y parecen ser mucho menos sospechosas y mucho más susceptibles que cuando están en un laboratorio.
"Metodológicamente, la premisa con la que trabajo es que tenemos que desempeñar el papel de los" malos "para estudiar cómo y por qué las personas son víctimas".
El Modelo de sospecha, cognición y automaticidad SCAM explica lo que contribuye al origen de la sospecha al tener en cuenta los hábitos de correo electrónico de un usuario y dos formas de procesar la información: heurística o reglas básicas que conducen a juicios rápidos sobre el contenido de un mensaje; yun procesamiento más profundo y sistemático sobre el contenido de un correo electrónico.
"Una cuarta medida, las creencias de riesgo cibernético, aprovecha la percepción del individuo sobre los riesgos asociados con los comportamientos en línea", dice.
El modelo de Vishwanath explica estas capas y las relaciones entre ellas con cada medida que proporciona un trazo de pincel que compone un retrato general de las diferentes razones por las cuales las personas son víctimas de tales ataques.
"Estas cosas importan", dice. "Una vez que comprendamos por qué ciertas personas caen en ataques, podemos atacarlas con la capacitación y educación apropiadas".
La capacitación actual se basa simplemente en enseñar a las personas cómo reconocer un phishing que solo aborda una de las razones por las cuales las personas caen en la suplantación de identidad. No es de extrañar que la capacitación haya tenido una eficacia general limitada para detener las infracciones cibernéticas.
El punto para Vishwanath es que la mayoría de las medidas contra el phishing están tratando de detener los ataques bajo el supuesto de que saben por qué las personas caen presas de tales ataques, en lugar de averiguar por qué los ataques están funcionando.
Con las pérdidas de phishing aumentando a tasas alarmantes y el nivel de sofisticación de phishing evolucionando paso a paso, Vishwanath dice que adoptar el modelo es crítico.
Millones de ataques de phishing ocurren diariamente, muchos siguiendo patrones recurrentes, como los correos electrónicos que llegan ahora durante las temporadas de impuestos. Estos, también, han crecido en velocidad e intensidad. Por ejemplo, la cantidad de correos electrónicos de IRS cargados de malware este mesya ha aumentado en un 400 por ciento.
El malware en estos correos electrónicos abre puertas traseras a las redes de computadoras que proporcionan a los piratas informáticos acceso a la información personal de las personas. Algunas intrusiones instalan registradores de teclas que rastrean lo que escribe la persona o los sitios que visita. Y una nueva clase de "ransomware" encriptacada archivo en un disco duro o servidor, reteniendo los datos como rehenes hasta que los usuarios paguen un rescate imposible de rastrear en bitcoin.
"Si Internet fuera el mundo real, sería la ciudad más peligrosa de la tierra", dice.
Fuente de la historia :
Materiales proporcionado por Universidad de Buffalo . Original escrito por Bert Gambini. Nota: El contenido puede ser editado por estilo y longitud.
Referencia del diario :
Cite esta página :