La repetición de las solicitudes de información personal, puede derivar en ataques de ingeniería social
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
De acuerdo con una investigación reciente, las personas revelan más información personal cuando les haces las mismas preguntas por segunda vez. La simple repetición puede hacer que las personas revelen en exceso y potencialmente se pongan en riesgo de robo de identidad y ciberdelincuencia.
Desde suscribirse a periódicos en línea hasta completar encuestas de clientes, nuestros datos personales se extraen continuamente; el recurso más valioso del mundo ya no es el petróleo, sino los datos.
Pero para los consumidores que proporcionan sus datos personales, hacerlo conlleva costos potenciales y riesgos de seguridad.
Constantemente se nos pide que revelemos nuestros datos personales, ya sea para suscribirse a un servicio, desactivar un bloqueador de anuncios o completar encuestas de clientes. Es posible que haya recibido un correo electrónico solicitando un pequeño aumento en su donación benéfica mensual, o si inicia sesión en las redes sociales, es posible que le soliciten un poco más de datos de su perfil, como agregar su escuela o lugar de trabajo.
De entrada, esto puede generar inconvenientes menores, como correos electrónicos no deseados, o consecuencias potenciales más agresivas, como el robo de identidad.
Es un hecho: las personas comparten grandes cantidades de información personal, particularmente en las redes sociales, sin proteger esa información de destinatarios no deseados. Los anunciantes, los vendedores y los expertos de las redes sociales creen que las solicitudes repetidas conducen a una mayor obtención de datos, por lo que al investigar cómo estas solicitudes repetidas cambian nuestro comportamiento, se encontró que, efectivamente, las repeticiones en solicitudes de información pueden llevarnos a hacer cosas, como compartir información personal, que de otro modo no haríamos.
El equipo de investigación solicitó a 122 participantes del estudio una variedad de información personal en línea, incluida su altura, peso y número de teléfono, así como sus opiniones sobre temas como la inmigración, el aborto y la política.
Luego, los participantes ordenaron las preguntas de menos a más intrusivas y se les preguntó qué cantidad de su información personal venderían para que esté disponible en un sitio web durante dos semanas.
Luego les preguntaron nuevamente cuánta información venderían, para aparecer durante dos semanas más, por la posibilidad de obtener aún más dinero.
El primer estudio mostró que pedir datos personales reales condujo a una mayor divulgación de información cuando se volvió a preguntar. El segundo estudio reprodujo este efecto y no encontró cambios en las preocupaciones asociadas de las personas sobre su privacidad: las personas cambian su comportamiento pero no su punto de vista. Esto demuestra que la simple repetición puede hacer que las personas revelen en exceso, en comparación con su preocupación existente y sin cambios.
Este patrón de solicitar cantidades crecientes de información del usuario con el tiempo imita una técnica de comportamiento clásica conocida como el efecto de ‘pie en la puerta’. Esta es una táctica que tiene como objetivo lograr que una persona acepte una solicitud grande al hacer que primero acepte una solicitud modesta. Es un lugar común en el comportamiento del consumidor y en las donaciones benéficas. Este estudio es importante porque, si entendemos mejor por qué las personas comparten datos personales, podemos fomentar un mayor intercambio cuando es mutuamente beneficioso, pero proteger contra un intercambio excesivo cuando podría causar daño.
Para hacer conciencia acerca de este tema, se recomienda establecer procedimientos para que las empresas y los consumidores fomenten un nivel aceptable de divulgación y que coincida con las creencias personales para beneficio mutuo.
Se recomienda, por ejemplo, advertir a las personas para que protejan su privacidad en solicitudes repetidas y esto debería reducir este efecto. Es un tema importante ya que en la actualidad las técnicas de ingeniería social, como el phishing, siguen siendo altamente efectivas y siguen acumulando víctimas.
Para más información, visite: https://www.silikn.com/