Un empleado de la Universidad de MacEwan recibió un correo electrónico en 2017 de alguien que decía ser un contratista de construcción y le pedía cambiar el número de cuenta donde se enviaron casi $12 millones en pagos. Una semana después, el contratista real llamó para preguntar cuándo llegaría el pago. El correo electrónico sobre el cambio de número de cuenta era falso. En lugar de ir al contratista, los pagos se enviaban a cuentas controladas por delincuentes.

Los correos electrónicos falsos que intentan que las personas hagan cosas que normalmente no harían, como enviar dinero, ejecutar programas peligrosos o dar contraseñas, se conocen como correos electrónicos de phishing. Los expertos en ciberseguridad a menudo culpan a las personas que reciben dichos mensajes por no darse cuenta de que los correos electrónicos son falsos.

Como investigador de seguridad cibernética, descubrí que la mayoría de las personas son buenas en casi todas las habilidades que los expertos en seguridad informática usan para detectar correos electrónicos falsos en sus bandejas de entrada. Compensar la diferencia se reduce a escuchar tus instintos.

Cómo lo hacen los profesionales

En una investigación anterior, descubrí que cuando los expertos en ciberseguridad recibían un mensaje de correo electrónico de phishing, como la mayoría de las personas, asumían que el correo electrónico era real. Inicialmente tomaron todo en el correo electrónico al pie de la letra. Intentaron averiguar qué les pedía hacer el correo electrónico y cómo se relacionaba con cosas de su vida.

Mientras leían, notaron pequeñas cosas que parecían extrañas o diferentes de lo que normalmente sería en mensajes de correo electrónico similares. Notaron cosas como errores tipográficos en un correo electrónico profesional o la falta de errores tipográficos de un ejecutivo ocupado. Se dieron cuenta de cosas como que un banco proporcionaba información de la cuenta en un mensaje de correo electrónico en lugar de la notificación estándar de que el destinatario tenía un mensaje esperándolo en el sistema de mensajería segura del banco. También notaron cosas como que alguien les envió un correo electrónico inusualmente sin mencionarlo en persona primero.

Pero darse cuenta de estas señales no es suficiente para darse cuenta de que el correo electrónico es un fraude. En cambio, los expertos simplemente se sintieron incómodos con el mensaje de correo electrónico. No fue hasta que vieron algo en el mensaje que les recordó al phishing que empezaron a sospechar. Verían una anomalía como un enlace en el que el correo electrónico intentaba que hicieran clic. En su opinión, estos se asocian comúnmente con correos electrónicos de phishing.

Combinado con la sensación incómoda sobre el mensaje de correo electrónico, este recordatorio hizo que los expertos reconocieran que el phishing podría explicar las cosas extrañas que notaron. Sospecharon del mensaje e investigaron para averiguar si se trataba de un fraude.

Buenos instintos

Si así es como lo hacen los expertos, ¿qué hace la gente normal? Cuando entrevisté a personas sin experiencia en seguridad informática, encontré un proceso similar. La mayoría de las personas notaron cosas que parecían extrañas, se sintieron incómodos con el correo electrónico, recordaron sobre el phishing e investigaron.

Mi investigación encontró que las personas son buenas en los primeros dos pasos:notar cosas en el correo electrónico que parecen raras y sentirse incómodas. Casi todas las personas con las que hablé notaron múltiples problemas cuando vieron un correo electrónico falso y me dijeron que se sentían incómodos con el mensaje.

Y si la gente pensaba en el phishing, también era buena investigando. Sin embargo, en lugar de mirar los detalles técnicos, la mayoría de las personas contactaron al remitente o pidieron ayuda a otros. Pero aun así pudieron averiguar correctamente si un mensaje de correo electrónico era un ataque de phishing.

Historias de phishing

La mayoría de los cursos de phishing enseñan a las personas a buscar problemas en el correo electrónico. Pero para la mayoría de las personas, la parte difícil del phishing no es darse cuenta de las cosas extrañas en un mensaje de correo electrónico. La gente suele lidiar con correos electrónicos extraños pero reales. Muchos mensajes se sienten un poco fuera de lugar. A veces, su jefe tiene un mal día o el banco cambia sus políticas. Ningún mensaje de correo electrónico es perfecto, y las personas a menudo están en sintonía con eso.

El desafío para la mayoría de las personas fue recordar que existe el phishing y reconocer que el phishing podría explicar esas cosas extrañas. Sin esa conciencia del phishing, la rareza de los mensajes de phishing puede perderse en la rareza del correo electrónico cotidiano.

La mayoría de las personas a las que entrevisté conocen el phishing en general. Pero las personas que eran buenas para detectar mensajes de phishing informaron historias sobre incidentes de phishing específicos de los que habían oído hablar. Me contaron sobre un momento en que alguien en su organización se enamoró de un correo electrónico de phishing, o sobre una noticia de un incidente como el de la Universidad MacEwan.

La familiaridad con incidentes de phishing específicos ayuda a las personas a recordar el phishing en general y reconocer que podría explicar las cosas extrañas que notan en un correo electrónico. Estas historias son clave para que las personas pasen de "algo sospechoso" a "¿esto es phishing?"