Los investigadores de la Universidad de Cambridge revelan por qué la gente cree que los mensajes de seguridad son maliciosos y falsos e ignoran las advertencias reales.
¿Cómo reacciona a la siguiente advertencia cuando aparece en su pantalla?
Todavía no he encontrado a una persona que siempre obedezca la advertencia anterior, pero la advertencia de abajo ha demostrado ser muy efectiva, aunque sea completamente falsa. Por qué?
Esta es una pregunta que dos investigadores de la Universidad de Cambridge intentan responder en su artículo, Reading This May Harm Your Computer: La psicología de las alertas de malware. El profesor David Modic y el profesor Ross Anderson, autores del artículo, examinaron detenidamente por qué las advertencias de seguridad informática son ineficaces.
Sobrecarga del mensaje de advertencia
Los profesores citan varios estudios anteriores que proporcionan pruebas de que los usuarios están optando por ignorar las advertencias de seguridad. Escribí acerca de uno de los citados estudios escritos por Cormac Herley, donde él argumenta:
- La gran cantidad de consejos de seguridad es abrumadora.
- El usuario típico no siempre ve los beneficios de seguir los consejos de seguridad.
- El beneficio de prestar atención a los consejos de seguridad es especulativo.
Los investigadores de Cambridge están de acuerdo con Herley, mencionando en esta entrada del blog:
No puedo pensar en un mejor ejemplo de lo que Herley, Anderson y Modic se referían que mi primer ejemplo: la advertencia «el certificado de seguridad del sitio no es confiable».
Los mensajes de advertencia son persuasivos
Anderson y Modic también analizaron investigaciones anteriores sobre psicología de la persuasión, buscando factores que influyen en la toma de decisiones. Se nos ocurren los siguientes factores determinantes:
- Influencia de la autoridad: Las advertencias son más efectivas cuando las víctimas potenciales creen que provienen de una fuente confiable.
- Influencia social: Los individuos cumplirán si creen que otros miembros de su comunidad también lo hacen.
- Preferencias de riesgo: La gente en general tiende a actuar irracionalmente en condiciones de riesgo.
Usa lo que funciona para los malos
Para saber qué es lo que los usuarios tendrán en cuenta, Anderson y Modic crearon una encuesta con advertencias que jugaban con diferentes emociones, con la esperanza de ver qué advertencias tendrían un impacto. En un giro irónico, los investigadores emplearon los mismos factores psicológicos que ya se ha comprobado que funcionan con los chicos malos:
Las advertencias utilizadas en la encuesta se desglosaron en los siguientes tipos:
- Grupo de control: Advertencias antimalware que se utilizan actualmente en Google Chrome.
- Autoridad: El sitio que estaba a punto de visitar ha sido reportado y confirmado por nuestro equipo de seguridad para incluir malware.
- Influencia Social: El sitio que estaba a punto de visitar incluye software que puede dañar su computadora. Se sabe que los estafadores que operan este sitio han operado a individuos de su área local. Puede que algunos de tus amigos ya hayan sido estafados. Por favor, no continúe en este sitio.
- Amenaza de Concreto: Se ha confirmado que el sitio que está a punto de visitar incluye software que representa un riesgo significativo para usted. Intentará infectar su ordenador con malware diseñado para robar su cuenta bancaria y los datos de su tarjeta de crédito con el fin de defraudarle.
- Amenaza Vaga: Hemos bloqueado su acceso a esta página. Es posible que la página contenga software que pueda dañar su ordenador. Por favor, cierre esta pestaña y continúe en otro lugar.
El equipo de investigación luego reclutó a 500 hombres y mujeres a través de Amazon Mechanical Turk para que participaran en la encuesta, registrando cuánta influencia tenía cada tipo de alerta en los participantes.
La gente responde a mensajes claros y autorizados
Anderson y Modic se sorprendieron de que las señales sociales no tuvieran el impacto que esperaban. Las advertencias que funcionaron mejor fueron específicas y concretas. Por ejemplo, los mensajes que declaran que el equipo se infectará con malware, o un determinado sitio web malicioso robará la información financiera del usuario. Anderson y Modic sugieren que los desarrolladores de software que crean advertencias deben tener en cuenta los siguientes consejos:
- El texto de advertencia debe incluir una descripción clara y no técnica de los posibles resultados negativos.
- La advertencia debe ser un mensaje directo e informado emitido desde una posición de autoridad.
- El uso de la coerción (en contraposición a la persuasión) debe minimizarse, ya que es probable que sea contraproducente.
En resumen, según Anderson y Modic,»Las advertencias deben ser menos, pero mejores». Y por lo que he leído en el informe, los malos están haciendo un trabajo superior cuando se trata de advertencias, aunque por una razón diferente.