La psicología del phishing: el peligro que hay detrás de algunos e-mails

14 Junio, 2020
Este artículo ha sido escrito y verificado por la psicóloga María Vélez
¿Alguna vez has recibido un mensaje sospechoso pidiéndote o haciéndote creer que tenías que hacer algo de manera urgente? Probablemente se trate de un phishing, un tipo de estafa común. Hablamos sobre ello.
 

Con la aparición de las tecnologías, y en concreto el desarrollo internet, todo lo que nos rodea se ha ido adaptando a este formato. Así, los actos criminales no son menos. Los ciberataques son bastante comunes y han tomado diversas formas: spyware, adware, gusanos o troyanos. Otro de los ciberataques más comunes es el phishing, que consiste en robar información a través del e-mail.

Este tipo de ataque es muy peligroso, ya que los cibercriminales se hacen pasar por personas o empresas que requieren de una acción por parte de los usuarios. Entre ellas, abrir un archivo malicioso o rellenar una serie de datos -bancarios o personales-, que siempre irá en su beneficio. Además, es un método capaz de infectar muy rápido a muchas personas. Se calcula que en 2019 se produjeron más de nueve millones de ataques de este tipo.

Aunque a priori pudiera parecer fácil identificar estas estafas, las cuales en muchas ocasiones lo son, los criminales saben cómo hacerlo para que los usuarios caigan en sus redes. Con sus métodos, juegan con emociones y procesos psicológicos básicos de las personas, logrando en numerosas ocasiones que su estrategia no sea identificada como engañosa.

 
Hombre actuando desde el anonimato

Su ingeniería social

Los cibercriminales diseñan sus estafas basándose en conocimientos de la sociología y la psicología social. Generalmente, todas sus artimañas están configuradas para jugar con cuatro emociones: la avaricia, la curiosidad, la pena y el miedo. La combinación de estas emociones hace que las personas reaccionemos de una forma casi instintiva.

Así pues, jugando con esos cuatro aspectos y teniendo en cuenta otros comportamientos sociales, los cibercriminales del phishing han generado varias tácticas para conseguir que les proporcionemos información valiosa. A

continuación, se describirán los tres principales comportamientos que han tenido en cuenta para atacarnos. No obstante, esto dependerá de las características personales de cada uno y de la capacidad para diferenciar aquellas señales que puedan servir de alarma.

 

El respeto a la autoridad

Generalmente, las personas tienen la tendencia a acatar órdenes o instrucciones, sin cuestionarlas, de alguien que tiene cierto prestigio o poder. Es decir, este sesgo cognitivo hace que por un momento ignoren las propias opiniones o las consecuencias y se atienda, principalmente por miedo, a las órdenes que da aquel ente superior.

Esa representación de la autoridad puede ser un jefe/a, una organización estatal importante o incluso una empresa con cierto prestigio. Así, para el phishing, los criminales suelen utilizar cuentas que parecen corporativas o de grandes comercios solicitando una acción que pueda parecer pertinente. De esta forma, el receptor del correo considerará en un primer vistazo que lo que lee es real y le da sensación de seguridad.

Un ejemplo de esta estrategia son estafas que se han realizado en nombre de la Agencia Tributaria, pidiendo que se acceda a un enlace con la falsa promesa de obtener reembolsos de impuestos. O bien, un e-mail de un alto cargo de una empresa solicitando que se abra un archivo correspondiente a un nuevo proyecto.

 

El sentido de urgencia

Esta técnica de manipulación ha sido muy utilizada en otras áreas además del phishing, como en el marketing. Básicamente, consiste en crear una situación de urgencia que ponga al usuario en la situación de tener que actuar rápidamente. Cuando se usa esta estrategia, generalmente se hace uso del miedo.

El correo que se recibe pone en alerta a la persona con un mensaje de peligro. Por ejemplo, “tienes un virus en tu ordenador” o “alguien ha intentado acceder a tu cuenta personal”. Otra variación es generar la necesidad de ser el primero (“Solo conseguirán el premio las 50 primeras personas en registrarse”). En ese momento, el miedo a perder la oportunidad puede hacer que compremos o aceptemos la propuesta sin valorar otras opciones.

Es decir, provocan un miedo que lleva a tomar una decisión poco meditada, rápida e irracional, ignorando aspectos del mensaje que pueden ser clave. Además, se suelen incluir palabras grandes y en color rojo para potenciar esa sensación de peligro. El problema es que incluso si hay sospechas de que pueda ser un engaño, se pueda caer en la trampa por intentar prevenir en caso de que fuera cierto.

 

Acciones automáticas

Hay muchas acciones que hacemos de forma automática, sin ser totalmente conscientes. Suelen ser fruto de la experiencia y la repetición, por lo que activamos un piloto y no prestamos atención. Por ejemplo, hacer clic un botón grande y rojo que pone “pulsar aquí” frente a un botón que pasa más desapercibido.

En este sentido, los criminales del phishing aprovechan estos automatismos para hacernos caer en la trampa. Pueden hacer uso de ello pidiéndonos reenviar un correo que, aparentemente, no ha sido enviado. O bien darnos la falsa opción de no recibir más correos desde esa cuenta. Cuando en realidad, ninguna de las acciones que nos solicitan son reales.

Este tipo de estrategia es eficaz y peligrosa, ya que son acciones aparentemente inocentes y que estamos acostumbrados a hacer. Juegan con ello, sabiendo que ante este tipo de tareas nuestra atención se ve disminuida y seleccionamos inconscientemente solo información llamativa. Es decir, obviamos los detalles y tomamos decisiones sin un análisis demasiado detallado.

 
Teclado con tecla roja con la palabra phising

¿Cómo evitar la trampa?

Por supuesto, hay personas que saben detectar este tipo de engaño mejor que otras. Pero todos somos víctimas en potencia. Por ello, para intentar no ser estafados es necesario concienciarse de la posibilidad de peligro. Así, se leerá todo el e-mail o mensaje de forma más consciente. Si no se conoce al remitente, trata de descubrir si la cuenta de correo electrónico es real.

Y, sobre todo, hay que intentar no reaccionar de forma rápida y pararse a pensar en las consecuencias, o bien, en si el mensaje es pertinente o común que se comuniquen de esa forma. Es decir, tomar un momento para pensar qué sentido tiempo y tratar de detectar signos que puedan ser sospechosos. Además, es importante avisar a las autoridades para que el fenómeno no cause daño a otras personas.