Los investigadores crearon esta pantalla para asustar a los estudiantes. Fuente: Universidad Brigham Young.
Cuando una persona ignora la advertencia "este sitio web no es de confianza" y su equipo acaba siendo hackeado, puede reaccionar de muy diversas formas, entre ellas apagar el ordenador, arrancar los cables de un tirón, o gritar de terror.
Así ocurrió en un grupo de estudiantes universitarios que participaron en un experimento de investigación en la Universidad Brigham Young, en Provo (Utah, EE.UU.). Estas reacciones viscerales (y otras más) ocurrieron cuando un trío de investigadores simularon el hackeo de los ordenadores portátiles personales de los participantes del estudio.
"Muchos de ellos se asustaron -pudimos oírles claramente hacer ruidos desde nuestras salas de observación", explica Anthony Vance, profesor adjunto de Sistemas de Información, en la nota de prensa de la universidad. "Varios se apresuraron a decir que algo malo había pasado."
Afortunadamente para los estudiantes, nada malo había sucedido realmente. Lo que vieron, un mensaje de un "hacker argelino" con una calavera riendo y huesos cruzados de pirata, un temporizador de cuenta atrás de 10 segundos, y las palabras "diga adiós a su ordenador", no eran reales. Lo que era real es que todos los participantes recibieron el mensaje tras ignorar advertencias de seguridad web.
Vance y sus colegas Bonnie Anderson y Brock Kirwan llevaron a cabo el experimento para entender mejor cómo lidian las personas con los riesgos de seguridad en línea, como el malware. Descubrieron que las personas dicen que se preocupan por mantener sus equipos seguros, pero se comportan de otra manera: en este caso, se abrieron paso a través de avisos de malware.
"Vemos estos mensajes tanto que dejamos de pensar en ellos", explica Vance. "En cierto modo, ya ni siquiera los vemos, por lo que a menudo los ignoramos y continuamos de todos modos."
Experimento
Para el estudio, los investigadores preguntaron primero a los participantes cómo veían la seguridad en línea. Luego, en una tarea aparentemente no relacionada, se les dijo que utilizaran su propio ordenador portátil para conectarse a un sitio web y clasificar imágenes de Batman como animaciones o fotografías. (A los estudiantes se les dijo que su proyecto de clasificación de imágenes estaba siendo utilizado para verificar la exactitud de un algoritmo de computadora que haría la misma tarea.)
A medida que los participantes hacían clic a través de las páginas de imágenes, señales de advertencia saltaban al azar, indicando problemas de malware en el sitio al que estuvieran accediendo. Si ignoraban los mensajes suficientes veces, eran "hackeados".
"Mucha gente no se da cuenta de que son el eslabón más débil de la seguridad informática", señala Kirwan, profesor adjunto de Psicología y Neurociencia en la Universidad Brigham Young. "Los sistemas operativos que usamos tienen un montón de seguridad incorporado y la manera que tiene un hacker de obtener el control de su equipo es conseguir que usted haga algo."
Así ocurrió en un grupo de estudiantes universitarios que participaron en un experimento de investigación en la Universidad Brigham Young, en Provo (Utah, EE.UU.). Estas reacciones viscerales (y otras más) ocurrieron cuando un trío de investigadores simularon el hackeo de los ordenadores portátiles personales de los participantes del estudio.
"Muchos de ellos se asustaron -pudimos oírles claramente hacer ruidos desde nuestras salas de observación", explica Anthony Vance, profesor adjunto de Sistemas de Información, en la nota de prensa de la universidad. "Varios se apresuraron a decir que algo malo había pasado."
Afortunadamente para los estudiantes, nada malo había sucedido realmente. Lo que vieron, un mensaje de un "hacker argelino" con una calavera riendo y huesos cruzados de pirata, un temporizador de cuenta atrás de 10 segundos, y las palabras "diga adiós a su ordenador", no eran reales. Lo que era real es que todos los participantes recibieron el mensaje tras ignorar advertencias de seguridad web.
Vance y sus colegas Bonnie Anderson y Brock Kirwan llevaron a cabo el experimento para entender mejor cómo lidian las personas con los riesgos de seguridad en línea, como el malware. Descubrieron que las personas dicen que se preocupan por mantener sus equipos seguros, pero se comportan de otra manera: en este caso, se abrieron paso a través de avisos de malware.
"Vemos estos mensajes tanto que dejamos de pensar en ellos", explica Vance. "En cierto modo, ya ni siquiera los vemos, por lo que a menudo los ignoramos y continuamos de todos modos."
Experimento
Para el estudio, los investigadores preguntaron primero a los participantes cómo veían la seguridad en línea. Luego, en una tarea aparentemente no relacionada, se les dijo que utilizaran su propio ordenador portátil para conectarse a un sitio web y clasificar imágenes de Batman como animaciones o fotografías. (A los estudiantes se les dijo que su proyecto de clasificación de imágenes estaba siendo utilizado para verificar la exactitud de un algoritmo de computadora que haría la misma tarea.)
A medida que los participantes hacían clic a través de las páginas de imágenes, señales de advertencia saltaban al azar, indicando problemas de malware en el sitio al que estuvieran accediendo. Si ignoraban los mensajes suficientes veces, eran "hackeados".
"Mucha gente no se da cuenta de que son el eslabón más débil de la seguridad informática", señala Kirwan, profesor adjunto de Psicología y Neurociencia en la Universidad Brigham Young. "Los sistemas operativos que usamos tienen un montón de seguridad incorporado y la manera que tiene un hacker de obtener el control de su equipo es conseguir que usted haga algo."
Respuesta cerebral
El papel de Kirwan en la investigación añade otro fascinante nivel: Haciendo uso de su experiencia en neurociencia, Kirwan llevó a cabo un experimento adicional utilizando máquinas de electroencefalografía (EEG) para medir las respuestas cerebrales al riesgo.
Si bien los resultados mostraron que las personas dicen preocuparse por la seguridad web, pero se comportan como si no lo hicieran, sí que se comportan de acuerdo a lo que dicen sus cerebros. En otras palabras, las ondas cerebrales de las personas predicen mejor los riesgos que van a tomar en cuanto a la seguridad en línea.
Anderson, profesora adjunta de Sistemas de Información, cita al experto en seguridad Bruce Schneier: "Sólo los amateurs atacan a las máquinas; los profesionales van por las personas".
Anderson, Kirwan y Vance recibieron recientemente una subvención de 300.000 dólares de la Fundación Nacional para la Ciencia, para continuar su investigación. El estudio fue publicado recientemente en la revista Journal of the Association for Information Systems.
David Eargle, ex estudiante de posgrado en la Universidad Brigham Young y ahora estudiante de doctorado en la Universidad de Pittsburgh (Pensilvania), también participó en el artículo.
Otra investigación
En cierto modo contradiciendo a esta investigación, otra de la Universidad de Alabama en Birmingham (EE.UU.), publicada este año, sugiere que los usuarios prestan más atención a la seguridad en Internet de lo que se suponía. Los investigadores utilizaron resonacias magnéticas para obtener conocimientos neurológicos sobre cómo se enfrentan los usuarios a cuestiones de seguridad y cómo sus personalidades pueden afectar a su comportamiento en este sentido.
A los participantes se les encargó dos tareas. En primer lugar, se les mostraron ejemplos entremezclados de páginas de acceso reales de sitios web populares e imitaciones fraudulentas de esas páginas, y se les pidió que determinaran cuáles eran reales y cuáles eran falsas -phishing-.
Luego se pidió a los usuarios que leyeran varios artículos de noticias de muestra, mientras eran interrumpidos por pop-ups que contenían información benigna, o bien advertencias sobre malware.
Usando imágenes por resonancia magnética, los investigadores comprobaron que los usuarios se preocupaban en general, "otra cosa es que tomaran las decisiones adecuadas", explica Nitesh Saxena, profesor adjunto de Informática. Por ejemplo, en la clasificación de páginas web reales y falsas, sólo acertaron el 60% (un 10% mejor que una elección aleatoria). "Es posible que se deba a que no saben en qué hay que fijarse", explica. "Miran la apariencia de la página en lugar de la URL, que es a menudo el mejor indicador".
Asimismo, también midieron la impulsividad de los participantes con las resonancias. Los más impulsivos eran más proclives a teclear Sí cuando una pantalla de aviso de malware les preguntaba si querían continuar. También presentaban menos actividad en las zonas del cerebro que toman decisiones, señalan los investigadores.
El papel de Kirwan en la investigación añade otro fascinante nivel: Haciendo uso de su experiencia en neurociencia, Kirwan llevó a cabo un experimento adicional utilizando máquinas de electroencefalografía (EEG) para medir las respuestas cerebrales al riesgo.
Si bien los resultados mostraron que las personas dicen preocuparse por la seguridad web, pero se comportan como si no lo hicieran, sí que se comportan de acuerdo a lo que dicen sus cerebros. En otras palabras, las ondas cerebrales de las personas predicen mejor los riesgos que van a tomar en cuanto a la seguridad en línea.
Anderson, profesora adjunta de Sistemas de Información, cita al experto en seguridad Bruce Schneier: "Sólo los amateurs atacan a las máquinas; los profesionales van por las personas".
Anderson, Kirwan y Vance recibieron recientemente una subvención de 300.000 dólares de la Fundación Nacional para la Ciencia, para continuar su investigación. El estudio fue publicado recientemente en la revista Journal of the Association for Information Systems.
David Eargle, ex estudiante de posgrado en la Universidad Brigham Young y ahora estudiante de doctorado en la Universidad de Pittsburgh (Pensilvania), también participó en el artículo.
Otra investigación
En cierto modo contradiciendo a esta investigación, otra de la Universidad de Alabama en Birmingham (EE.UU.), publicada este año, sugiere que los usuarios prestan más atención a la seguridad en Internet de lo que se suponía. Los investigadores utilizaron resonacias magnéticas para obtener conocimientos neurológicos sobre cómo se enfrentan los usuarios a cuestiones de seguridad y cómo sus personalidades pueden afectar a su comportamiento en este sentido.
A los participantes se les encargó dos tareas. En primer lugar, se les mostraron ejemplos entremezclados de páginas de acceso reales de sitios web populares e imitaciones fraudulentas de esas páginas, y se les pidió que determinaran cuáles eran reales y cuáles eran falsas -phishing-.
Luego se pidió a los usuarios que leyeran varios artículos de noticias de muestra, mientras eran interrumpidos por pop-ups que contenían información benigna, o bien advertencias sobre malware.
Usando imágenes por resonancia magnética, los investigadores comprobaron que los usuarios se preocupaban en general, "otra cosa es que tomaran las decisiones adecuadas", explica Nitesh Saxena, profesor adjunto de Informática. Por ejemplo, en la clasificación de páginas web reales y falsas, sólo acertaron el 60% (un 10% mejor que una elección aleatoria). "Es posible que se deba a que no saben en qué hay que fijarse", explica. "Miran la apariencia de la página en lugar de la URL, que es a menudo el mejor indicador".
Asimismo, también midieron la impulsividad de los participantes con las resonancias. Los más impulsivos eran más proclives a teclear Sí cuando una pantalla de aviso de malware les preguntaba si querían continuar. También presentaban menos actividad en las zonas del cerebro que toman decisiones, señalan los investigadores.
Referencia bibliográfica:
Vance, Anthony; Anderson, Bonnie Brinton; Kirwan, C. Brock; y Eargle, David: Using Measures of Risk Perception to Predict Information Security Behavior: Insights from Electroencephalography (EEG). Journal of the Association for Information Systems (2014).
Vance, Anthony; Anderson, Bonnie Brinton; Kirwan, C. Brock; y Eargle, David: Using Measures of Risk Perception to Predict Information Security Behavior: Insights from Electroencephalography (EEG). Journal of the Association for Information Systems (2014).