El 'phishing' es ya una de las formas de ataque cibernético más comunes. Hay distintos factores humanos que aumentan las probabilidades de caer en la trampa, como el estado de ánimo, las hormonas o la personalidad de los usuarios.

El omnipresente phishing y los engaños en páginas web clonadas tienen como objetivo conseguir los datos de los usuarios, suplantar su identidad y acceder a información tan sensible como las cuentas bancarias. Los cibercriminales engañan a la víctima para que introduzca sus credenciales de inicio de sesión en un formulario fraudulento, al que el usuario ha accedido al clicar en un enlace enviado a través de correo electrónico, redes sociales o aplicaciones de mensajería instantánea. Nadie está a salvo del phishing, pero hay ciertos aspectos personales que hacen que unas personas caigan en la trampa con más facilidad que otras. Algunos de ellos son el estado de ánimo, la motivación y las hormonas, pero también la inteligencia emocional y la personalidad de la víctima influyen en la probabilidad de que se crea el engaño.

Estado de ánimo

Quienes están felices y no estresados tienen más probabilidad de clicar en enlaces maliciosos: la serotonina y la dopamina, hormonas asociadas a los sentimientos positivos, pueden conducir a comportamientos más arriesgados. Sin embargo, el cortisol, la hormona asociada al estrés, aumenta la vigilancia y hace que sea más fácil detectar un engaño. Existen multitud de investigaciones que reflejan esta relación entre el estado de ánimo y la impulsividad o la probabilidad de correr más riesgos.

Los médicos aconsejan a los pacientes con depresión que eviten tomar decisiones críticas porque su capacidad para hacerlo puede verse afectada por su estado de ánimo patológico. Para proporcionar apoyo empírico a esta práctica, los investigadores del estudio Could mood state affect risk-taking decisions? quisieron comprobar si existían diferencias significativas entre la impulsividad o la tolerancia al riesgo en personas con distintos estados de ánimo. Encontraron que los individuos con depresión fueron más conservadores al asumir riesgos que aquellos que estaban en un estado de ánimo neutral o feliz. Otra investigación, más centrada en la toma de decisiones sobre inversión, también encontró que estar feliz estaba asociado a ser menos precavido.

Podríamos decir entonces que las hormonas asociadas a los estados de ánimo positivos nos hacen más descuidados y, por tanto, menos propensos a comprobar si el destinatario de los correos es fiable o si la url a la que hemos accedido para poner nuestros datos bancarios es auténtica. "El phishing tiene tanto éxito porque se aprovecha de la forma en que el cerebro toma decisiones", se lee en un estudio realizado por Daniela Oliveira, profesora de ciberseguridad de la Universidad de Florida, en colaboración con Google. "La concienciación de los usuarios es clave para detectar cuándo están intentando engañarlos"

Concienciación

Este efecto se puede contrarrestar aumentando la concienciación. Todavía no somos conscientes de que el phishing es una amenaza habitual que llega hasta nuestros buzones de correo buscando que hagamos clic en enlaces malignos. Y, si no somos conscientes de que hay un peligro cibernético cerca, lo más probable es que no prestemos atención para detectarlo. De hecho, el 45% de los usuarios de internet ni siquiera sabe lo que es el phishing, según el mismo estudio. También señala que Gmail bloquea cada día 100 millones de correos electrónicos que buscan quedarse con las credenciales de los usuarios. Y que, además, no son aleatorios: los autores eligen a las víctimas potenciales conscientemente.

Persuasión

Recibir un correo con mensajes como "Te han hecho un reembolso en Amazon" o "Hay un problema con tu cuenta bancaria" de direcciones casi idénticas a las oficiales son algunos de los trucos que utilizan los ciberdelincuentes para convencerte de que cliques. Esos mensajes muestran la identidad de una empresa reconocida y en la que los usuarios suelen confiar. Precisamente la autoridad es una de las armas más comunes y efectivas del phishing. "¿De verdad quieres ignorar ese correo urgente de tu jefe?", ejemplifica Oliveira.

Los ciberdelincuentes tiran de la autoridad del remitente para que los mensajes parezcan más fiables. Le damos más credibilidad a una persona que ocupa una posición de autoridad que a una de un rango más bajo, porque nuestro cerebro asocia una posición alta con una persona fiable y responsable. En psicología, este sesgo se conoce como efecto halo y sucede cuando cogemos una cualidad destacada de una persona y asumimos que también tiene otras que no están necesariamente relacionadas. Como cuando pensamos que la gente guapa también es simpática.

¿Qué hacemos entonces?

La solución no pasa por convertirse en un cínico, vivir estresado y estar hipervigilante. Más bien, es necesario ser precavido y consciente de que estos emails son muy habituales. Una solución práctica es habilitar la autenticación en dos pasos. Es decir, que para iniciar sesión tengas que introducir tus datos y, además, un código que te llega al móvil. Si accidentalmente has clicado en un enlace no deseado o le has dado sin querer tu contraseña a un hacker porque te ha tendido una trampa, no podrá iniciar sesión en tu cuenta sin el código que has recibido en tu móvil. Pero esta es también una tarea pendiente: Google asegura que menos del 10% de sus usuarios tiene habilitada la doble autenticación en sus cuentas.