Rodrigo Jiménez del Val, nuestro Responsable de Seguridad de la Información ha elaborado un artículo en relación al conocimiento y concienciación de los ataques de phishing.

                                                      

¿Has picado alguna vez en un ataque de phishing? ¿Has aprendido a no caer en ellos? ¿Conoces a alguien que haya caído?

Los investigadores han examinado cómo las personas desarrollan el conocimiento y aprenden nuevas competencias con el objetivo de diseñar unos principios de la ciencia del aprendizaje que puedan ser aplicados para impactar en un aprendizaje efectivo [1, 2].  Los principios son:

  1. Principio de la Práctica: Una de las hipótesis principales de la teoría cognitiva es que el conocimiento y las habilidades se adquieren y mejoran a través de la práctica.
  2. Principio de la Contigüidad: Se ha desarrollado un principio que dice que la efectividad del e-learning incrementa cuando las palabras y los dibujos se presentan contiguos.
  3. Principio de las Instrucciones Basadas en Historias con Personajes: Los personajes son caracteres que nos ayudan guiando a los usuarios a través del proceso de aprendizaje. Estos caracteres pueden ser representados visualmente o verbalmente y pueden ser imaginados o de la vida real.
  4. Principio de la Personalización: Este principio sugiere que usar un estilo de lenguaje conversacional en vez de uno formal mejora el aprendizaje.
  5. Principio de la Simplicidad: Realizar contenido simple y corto es un principio esencial en el diseño de material formativo para que sea efectivo.
  6. Principio del Feedback Inmediato: Se ha demostrado que dar re-alimentación inmediata durante la fase de aprendizaje hace que sea más eficiente y rápido.

Según los psicólogos, las personas no eligen la mejor opción cuando toman decisiones bajo estrés, como por ejemplo accediendo al correo mientras se está muy ocupado. Los estudios han mostrado que las personas con estrés dejan de considerar todas las soluciones posibles y pueden terminar ejecutando decisiones que son irracionales [3].

Aunque los investigadores suelen argumentar que la educación en el contexto de la seguridad es difícil, tenemos que dar como hipótesis que las personas pueden ser enseñadas a identificar, por ejemplo, ataques de phishing sin necesidad de entender los complicados conceptos de seguridad informática.

Dicho esto, es importante recordar que también se han desarrollado varios estudios en la Carnegie Mellon University que demuestran que los principios científicos del aprendizaje son aplicables al contexto del phishing [4, 5].

Responde el Test de Reflexión Cognitiva (CRT) y sabrás qué probabilidad tienes de picar frente a un ataque de phishing:

1. Una raqueta y una pelota cuestan 1,10€ en total. La raqueta cuesta 1.00€ más que la pelota. Cuanto cuesta la pelota? _____ €
2. Si 5 máquinas tardan 5 minutos en fabricar 5 objetos, cuanto tardan 100 máquinas en fabricar 100 objetos? _____ minutos.
3. En un lago hay una parcela de azucenas. Cada día, la parcela dobla su tamaño. Si la parcela tarda 48 días en cubrir el lago entero de relleno, ¿cuánto debería tardar el relleno en cubrir la mitad del lago? _____ días.

¿Estás preparado para frenar un ataque de phishing?

REFERENCIAS

[1] Anderson, J. R., A. T. Corbett, K. R. Koedinger and R. Pelletier. 1995. Cognitive Tutors: Lessons Learned. The Journal of The Learning Science. 4 (2), 167 – 207.

 

[2] Clark, R. C. and R. E. Mayer. 2002. E-Learning and the science of instruction: proven guidelines for consumers and designers of multimedia learning. Pfeiffer.

 

[3] Keinan, G. Decision making under stress: scanning of alternatives under controllable and uncontrollable threats. Journal of personality and social psychology 52, 3 (1987), 639–644.

 

[4] Kumaraguru, P., Sheng, S., Acquisti, A., Cranor, L. F., and Hong, J. Teaching johnny not to fall for phish. Tech. rep., Carnegie Mellon University, 2007. http://www.cylab.cmu.edu/files/cmucylab07003.pdf.

 

[5] Kumaraguru, P., Rhee, Y., Sheng, S. et al. Getting users to pay attention to anti-phishing education: Evaluation of retention and transfer. In Proceedings of the Anti-Phishing Working Group’s Second Annual eCrime Researchers Summit (Pittsburgh, Oct. 3–5, 2007), 70–81.

 

RESPUESTAS
1. La respuesta es 0,05€.
2. La respuesta es 5 minutos.
3. La respuesta es 47 días.