En mayo de 2017, alrededor de un cuarto de millón de computadoras en todo el mundo que ejecutan Microsoft Windows fueron atacadas e infectadas con malware que luego se llamaría "WannaCry". Las víctimas encontraron sus computadoras bloqueadas e inutilizables, pero podría liberarlos si las víctimas transfirieron Bitcoin, por lo general una cantidad equivalente a $ 300-600 USD, a las personas detrás del ataque.

Resultó, el ataque podría haberse evitado si las personas hubieran aplicado una actualización de software que Microsoft había emitido solo unas semanas antes del ataque. La actualización solucionó la vulnerabilidad que los atacantes habían explotado, pero muchos optaron por retrasar su implementación.

"Comprender qué impulsa a las personas a retrasar una actualización de software, una importante acción de protección porque corrigen errores que los atacantes pueden explotar, sería un paso hacia la prevención de estos ciberataques. "dice Cleotilde González de CyLab, profesor en el departamento de Ciencias Sociales y de la Decisión de la Universidad Carnegie Mellon.

En un estudio publicado en el último número de la Revista de ciberseguridad , González y sus coautores encontraron que el costo de tiempo de las actualizaciones y las preferencias de riesgo de las personas tienen un impacto significativo en si un usuario aplica o no una actualización de software. y cuánto tardan en hacerlo.

Los investigadores crearon una simulación en la que los participantes se hicieron pasar por inversores durante 20 períodos de 10 días, con cada "día" simulado que consiste en tomar una decisión de inversión o aplicar una actualización de software a su computadora. En el mundo real, los usuarios a menudo no pueden realizar su tarea principal mientras también procesan una actualización de software, así que tienen que elegir uno y retrasar el otro.

En la simulación, la decisión de inversión, la tarea principal de un inversionista, era decidir entre una inversión "segura" que les valió 2 puntos o una inversión "arriesgada" que les valió 0 o 4 puntos con la misma probabilidad.

"Al contar el número de opciones riesgosas, podemos determinar qué tan arriesgadas son las personas, "dice González.

Alternativamente, los participantes podrían renunciar a su tarea principal de invertir para aplicar una actualización de seguridad a sus equipos. El ochenta y cinco por ciento de las veces, la actualización cuesta 10 puntos, similar a un proceso de actualización que requiere una cierta cantidad de tiempo y que interrumpe la tarea principal de un usuario. De lo contrario, la actualización cuesta 0 puntos, similar al proceso de actualización que ocurre durante la noche o en algún otro momento en el que la tarea principal de un usuario no se interrumpe.

Después de invertir o aplicar una actualización de seguridad, los participantes aprendieron si experimentaron o no una falla de seguridad. Una falla de seguridad resultó en una pérdida de 100 puntos, y la aplicación de una actualización reduciría la probabilidad de una falla de seguridad del 3 por ciento al 1 por ciento. Después de tomar estas decisiones 200 veces, simulando 200 días como inversionista, los participantes fueron compensados ​​en función de la cantidad de puntos que habían acumulado.

Si bien la mejor decisión en términos de optimización de puntos fue aplicar una actualización de seguridad el primer día de cada período, mucha gente se retrasó. Los resultados mostraron que los participantes actualizaron solo el 54 por ciento del tiempo, y el 65 por ciento de esas actualizaciones se retrasaron. Tanto la preferencia por el riesgo como el costo de la actualización desempeñaron papeles relativamente iguales a la hora de impulsar a los participantes a retrasar las actualizaciones de seguridad.

Dada la importancia de los retrasos en las actualizaciones de seguridad, muchos participantes experimentaron fallas de seguridad. Pero, ¿aprendieron la lección? Si y no.

"Si un participante sufrió una falla de seguridad, casi siempre aplicaron una actualización de seguridad al día siguiente, "dice González." Pero ese comportamiento generalmente decayó con el tiempo, y los participantes volverían a sus viejos hábitos ".

Dados estos resultados, los investigadores sugieren que las empresas deberían idear formas de incentivar a los usuarios, o al menos reducir los costos de tiempo y esfuerzo, para aplicar actualizaciones de seguridad tan pronto como estén disponibles.

"Hazlo más fácil. Hazlo más simple. Hazlo más barato, "dice González." Una gran influencia en las decisiones que tomamos son los incentivos que tenemos para tomar esas decisiones. Reducir el costo, no solo el costo monetario, sino también el tiempo y el esfuerzo, eso ayuda ".

Otros autores del estudio incluyeron a los ex investigadores postdoctorales de Carnegie Mellon Prashanth Rajivan y Efrat Aharonov-Majar.