Un reciente estudiar Realizado por la Universidad Carnegie Mellon y la Universidad de Ben-Gurion indica que los usuarios de dispositivos móviles exhiben una mayor tendencia a evitar hacer clic en enlaces potencialmente maliciosos en comparación con sus contrapartes de PC. Esta investigación destaca la importancia de las estrategias de seguridad cibernética a medida para diferentes dispositivos.
Los hallazgos del estudio son particularmente relevantes a la luz de la creciente prevalencia de los ataques de phishing. Phishing se identificó como la principal queja cibernética reportada al FBI en 2024, según el informe IC3 más reciente de la agencia. El informe documentó 193,407 quejas de phishing de un total de 859,532 quejas, lo que resultó en pérdidas superiores a $ 70 millones, específicamente $ 70,013,036.
Para investigar las diferencias en el comportamiento del usuario en los dispositivos, los investigadores analizaron las solicitudes de URL anonimizadas recopiladas de una inicio de protección de la red de ciberseguridad. Este conjunto de datos comprendía poco menos de 500,000 solicitudes de URL de dispositivos móviles y PC durante un período de una semana en 2020. El análisis reveló «una relación positiva y significativa entre el dispositivo móvil y el nivel de seguridad de la URL objetivo», lo que sugiere que los usuarios móviles estaban tomando decisiones más seguras.
La investigación se extendió más allá de los datos de observación a través de experimentos controlados. Los investigadores reclutaron participantes de la plataforma Amazon Mechanical Turk (AMT). Estos trabajadores de AMT tuvieron la tarea de realizar una actividad de etiquetado de imágenes mientras se interrumpen simultáneamente por un mensaje emergente de phishing simulado. El experimento fue diseñado para imitar escenarios del mundo real donde los usuarios se enfrentan con enlaces inesperados y potencialmente maliciosos.
Los resultados del experimento AMT demostraron una diferencia significativa en el comportamiento entre los usuarios de Mobile y PC. Específicamente, se descubrió que los usuarios móviles eran «2.67 veces más propensos que los usuarios de la PC a mostrar un comportamiento para evitar el riesgo». Esto significa que los usuarios móviles estaban significativamente más inclinados a evitar hacer clic en los enlaces maliciosos presentados en los mensajes emergentes. Un experimento secundario reforzó estos hallazgos, revelando que los usuarios móviles tenían 4.43 veces más probabilidades que los usuarios de PC a evitar los intentos de phishing.
El estudio sugiere que los usuarios móviles no necesariamente toman mejores decisiones sobre qué enlaces hacer clic, sino que evitan tomar una decisión por completo. El informe concluye: «Los usuarios móviles abordan el mayor costo de evaluación de riesgos al evitar el riesgo en lugar de sucumbirlo». Esto implica que los usuarios móviles tienen más probabilidades de errar por precaución, incluso si eso significa perder el contenido legítimo.
Los investigadores propusieron varias explicaciones potenciales para esta diferencia en el comportamiento. Una hipótesis se centra en el «estado mental móvil», lo que sugiere que las personas que usan dispositivos móviles a menudo están en marcha y experimentan una «carga cognitiva» más alta. El profesor y coautor de investigación de Carnegie Mellon, Naama Ilany-Tzur, explicó: «Cuando esté cargado, o incluso sobrecargado, tenderá a evitar tomar decisiones».
El tamaño de pantalla más pequeño y el entorno más limitado de los dispositivos móviles también pueden contribuir a la dificultad de la evaluación de riesgos. Por el contrario, los usuarios de PC «están interactuando con una pantalla más grande y se encuentran en un entorno que se limita menos cognitivamente, que culminan en una mayor probabilidad de aceptar el riesgo», según la investigación.
Dados estos hallazgos, Ilany-Tzur sugiere que las organizaciones consideren ajustar sus estrategias de ciberseguridad para dar cuenta de los diferentes perfiles de riesgo de PC y usuarios móviles. «Diría que alertar a las personas más rápido o más a menudo, o reducir el umbral de los mecanismos de alerta sería una estrategia general para comenzar a manejar la situación», dijo a It Brew. También recomendó «Mejorar mecanismos de protección específicamente para dispositivos de PC» en un correo electrónico de seguimiento.
El estudio destaca la importancia de comprender el comportamiento del usuario en diferentes dispositivos y adaptar las medidas de seguridad cibernética en consecuencia. Como dijo Ilany-Tzur, «el peligro acecha cuando estamos a gusto, no cuando estamos al límite», enfatizando la necesidad de una vigilancia constante, especialmente entre los usuarios de PC que pueden ser más susceptibles a los ataques de phishing.
