Es posible que las personas no sean tan conocedoras del ciberespacio como creen cuando se trata de identificar estafas de phishing por correo electrónico, según los investigadores de C&T de Missouri. Pero los empleadores pueden beneficiarse de enseñar a los empleados cómo detectar el phishing enviándoles regularmente correos electrónicos falsos de phishing.

El phishing es un método para recopilar información personal, datos bancarios y de tarjetas de crédito, y contraseñas a través de enlaces en mensajes, que en la superficie, parecen ser legítimos.

"Debería sospechar bastante en general con el correo electrónico, "dice el Dr. Casey Canfield, Profesor asistente de Missouri S&T de administración de ingeniería e ingeniería de sistemas. "La gente definitivamente tendía a confiar demasiado en su capacidad para detectar correos electrónicos de phishing".

El último estudio de Canfield, publicado con acceso abierto este mes en la revista Metacognición y aprendizaje , examinó las métricas de metacognición en torno al phishing, o la comprensión de las personas sobre su capacidad para detectar correos electrónicos de phishing. Canfield trabajó con los colegas de la Universidad Carnegie Mellon, Baruch Fischhoff y Ales Davis en el estudio, que midió qué tan bien la confianza de las personas en su capacidad para detectar el phishing se correspondía con la realidad.

Los participantes del estudio vieron una serie de correos electrónicos legítimos y de phishing y respondieron preguntas para determinar si podían identificar los dos tipos. Luego, los investigadores preguntaron qué tan seguros estaban de su respuesta, y qué tan negativas serían las consecuencias si se perdieran un correo electrónico de phishing.

Los investigadores descubrieron que cuando las personas tenían entre un 90% y un 99% de confianza en que habían identificado correctamente un correo electrónico como phishing o legítimo, solo identificaron correctamente los correos electrónicos de phishing aproximadamente el 56% de las veces.

Canfield luego llevó la investigación un paso más allá al comparar sus respuestas con lo que realmente estaba sucediendo en las computadoras de su hogar. Los investigadores utilizaron datos del Observatorio de Comportamiento de Seguridad en Carnegie Mellon, un estudio a largo plazo en el que se monitorea cada acción en la computadora de un voluntario. Usando esos mismos participantes del estudio, Canfield encontró una correlación interesante.

"Asombrosamente, vimos que las personas con una mejor metacognición tendían a protegerse mejor a sí mismas, ", dice Canfield." Tenían menos archivos maliciosos en sus computadoras. Mi estudio anterior que analizó las métricas de rendimiento no fue concluyente ".

Canfield sugiere que aumentar artificialmente la cantidad de correos electrónicos de phishing que reciben las personas podría mejorar potencialmente su capacidad para distinguir las estafas de los mensajes legítimos.

"Uno de los desafíos de los correos electrónicos de suplantación de identidad (phishing) es que no necesariamente recibe comentarios sobre si tomó la decisión correcta o no, "dice Canfield." Es posible que tenga archivos maliciosos en su computadora, pero es posible que nunca lo sepas. Puede que seas un portal hacia algún otro objetivo. Sin esa retroalimentación, es muy difícil para las personas saber si son buenas para detectar correos electrónicos de phishing ".

Es por eso que Canfield sugiere que un programa de capacitación en el que los empleadores envíen correos electrónicos de phishing falsos podría ser beneficioso.

"Es una oportunidad para que las personas reciban comentarios sobre cómo les está yendo, ", dice." Con el correo electrónico de phishing falso, haces clic en él y te envían a una página que te dice que hiciste clic en un correo electrónico de phishing. Con correos electrónicos legítimos, obtienes ese bucle de retroalimentación. Envías un correo electrónico a alguien y te envían un correo electrónico. Tienes una conversación con alguien ".

Canfield dice que se necesita más investigación sobre el tema, pero su investigación apoyaría tales intervenciones de los empleadores.