Si te crees infalible detectando phishing, prueba este antivirus para humanos

Llegas al trabajo y, un día más, tienes la bandeja de entrada llena de correos electrónicos. En general, son de compañeros de oficina, de los clientes… Quizá, alguna notificación de tus redes sociales: las estadísticas semanales de las páginas de Facebook que administras, un mensaje privado de Twitter que te ha llegado…

Y entre tanto mensaje importante, a tu proveedor de correo electrónico se le ha escapado un correo que parece spam o phishing. Pero ah, eres rápido, lo identificas y lo borras, sin pinchar en ningún enlace malicioso. Ahora bien, ¿te la podrían colar alguna vez?

Sobre eso quiere concienciar Ava, una especie de antivirus para humanos que llega desde Nueva Zelanda y que busca educar sobre la cantidad de mensajes maliciosos que llegan a nuestras cuentas de correo electrónico y cómo evitarlos para no causar un problema de seguridad informática. Este software manda correos electrónicos a los usuarios y estos tienen que evitar caer en el engaño.

¿Y qué pasa si los empleados pinchan en estos mensajes, creyendo que son, por ejemplo, un enlace a vídeos de gatos recomendado por un compañero? “Nada malo”, dice entre risas a Tecnoxplora Laura Bell, consejera delegada de SafeStack que lleva dos años trabajando en esto. “Lo único que queremos saber es qué clican”, explica.

Para elaborar esos mensajes hasta cierta forma personalizados, Ava ‘escanea’ información de los trabajadores de las empresas, como su puesto de trabajo y posición dentro del organigrama de la empresa, con qué miembros de la compañía se mensajean más o sus perfiles en redes sociales.

Para esto último, puede analizar un ‘feed’ de Twitter o los mensajes públicos de un perfil de Facebook (han querido dejar claro que solo usan aquella información que es pública o que nosotros hacemos pública). Incluso, registran cuándo expira la contraseña de los servicios a los que tienen acceso.

Una vez hecho esto, diseñan un mapa en el que relacionan a los miembros de la empresa y envían mensajes o actualizaciones a la bandeja del correo electrónico o de las redes sociales. Ahora solo hay que esperar a que los usuarios hagan caso a estos mensajes… o mejor aún, sean capaces de evitarlos.

Se pueden programar en el tiempo y son de lo más variado: uno del jefe a un recién llegado para pedirle una contraseña, u otro de un compañero para pedir que le comparta un documento vía Facebook a cierto contacto. En caso de que los receptores pinchen en algún enlace o respondan al mensaje, se les llevará a una página que les advierte del error y les recomienda mayor cuidado en el futuro.

Una vez se recoja la información de aquellos que han clicado, Ava o los jefes de la empresa podrán medir el impacto de esos mensajes, cómo se han comportado los empleados ante ellos y, en definitiva, qué estrategias de aprendizaje o concienciación seguir para evitar ataques de seguridad en el futuro.

Tecnología Open Source

Bell y su equipo han querido que la tecnología sea Open Source para que cualquiera pueda aportar novedades y mejorar Ava. La intención, irónicamente, es hacerlo más perfecto y que a la gente le cueste más distinguir entre un mensaje bueno y uno malicioso. Por ello, “buscamos a más colaboradores” que engrandezcan el proyecto. Además, tienen una especie de comité de ética y privacidad para todos aquellos que estén preocupados por lo que se puede hacer con esa información personal.

A la vez, la empresa está “desarrollando materiales de entrenamiento”, con el fin de que las empresas enseñen a sus trabajadores cómo actuar: “Las personas que piensan que lo saben todo [sobre seguridad informática] son los más fáciles de tomar el pelo”, dijo Bell en una presentación del producto. Por mucho que nos hayan dicho que mezclemos minúsculas, mayúsculas, números y caracteres en nuestra contraseña, aún nos la pueden dar con queso. Y eso, el factor humano, no lo soluciona ni el mejor sistema de seguridad informática.