Intervención comportamental para que las personas de una empresa del sector constructor en Medellín aprendan a identificar alertas de phishing

Resumen

The exponential growth in digital adoption in the daily lives of Colombians has facilitated our everyday activities but also exposed us to new cybersecurity risks, such as phishing. Phishing is a type of fraud that deceives individuals into taking actions that expose themselves or their organizations and steal confidential information or money. Phishing attacks cannot be prevented solely through technology, as attackers exploit individuals and their cognitive biases. This paper describes a behavioral Boost intervention within the context of the Master's degree in Behavioral Studies at EAFIT University. It aims, through a pre-experimental design, for members of a construction company in Medellín to be able to correctly identify whether an electronic message contains phishing alerts. We will address the selected target behavior, the individuals and institutions involved, the behavioral focus we aim to modify, as well as the details of the intervention, limitations, results, and conclusions. Although the intervention did not achieve a statistically significant impact, the descriptive analysis showed a 5% improvement in the ability to identify warning signals, in both phishing messages and legitimate messages from institutions. We hope this work contributes to the strategies of institutions and individuals in addressing this issue.

Descripción

El crecimiento exponencial de la adopción digital en la vida cotidiana de los colombianos nos facilitó el día a día, pero también nos expuso a nuevos riesgos cibernéticos, por ejemplo, el phishing, que es un tipo de fraude que consiste en engañar a las personas para que realicen acciones que los expongan a ellos mismos o a sus organizaciones para robar información confidencial o dinero. Los ataques de phishing no son algo que se evita exclusivamente con tecnología, ya que los atacantes se aprovechan de las personas y de sus sesgos cognitivos. En este trabajo se describe una intervención comportamental tipo Boost en el marco de la maestría de estudios del comportamiento de la universidad EAFIT, que busca mediante un diseño preexperimental que los integrantes de una empresa constructora de la ciudad de Medellín tengan la capacidad de identificar correctamente si un mensaje electrónico tiene alertas de phishing. Abordaremos la conducta objetivo seleccionada, los actores involucrados, el foco comportamental que queremos intervenir, así como los detalles de la intervención, limitaciones, resultados y conclusiones. Si bien los resultados de la intervención no lograron generar un impacto estadísticamente significativo, en el análisis descriptivo observamos una mejora del 5% en la capacidad de identificar señales de alerta, tanto en mensajes de phishing como mensajes legítimos de instituciones. Esperamos que este trabajo contribuya con las estrategias de las instituciones y de las personas para hacer frente a este problema.

Palabras clave

Ciencias del comportamiento, Prevención de phishing, Sesgos cognitivos, SMS, Correo electrónico

Citación