Foto: Las resonancias magnéticas del cerebro revelan la manera en la que percibimos, o simplemente ignoramos, las advertencias de seguridad. Crédito: Centro de Psicología y Neurociencia de la Universidad Brigham Young.

Las empresas gastan más de 90.000 millones de euros cada año en asegurar sus ordenadores, y aún así incidentes como los ataques ransomware para paralizar hospitales y filtrar de datos personales siguen siendo frecuentes. Anthony Vance cree que las estrategias de defensa podrían ser más eficaces si prestáramos más atención al hardware que tenemos entre los oídos. 

"Los expertos en seguridad no solo deben preocuparse por los hackers sino también la propia neurobiología de los usuarios", afirmó este profesor adjunto de la Universidad Brigham Young (EEUU) en la reciente conferencia de seguridad Enigma, celebrada en EEUU. Su laboratorio emplea imágenes funcionales de resonancia magnética de los cerebros de la gente para revelar los mecanismos subconscientes asociados a percibir o ignorar las advertencias de seguridad.

Uno de los estudios de Vance dio lugar a una colaboración con Google para probar una nueva forma de mostrar las advertencias de seguridad en Chrome que minimiza las probabilidades de que la gente las ignore. Vance explica que los ingenieros de Google planean añadir la prestación a una futura versión de Chrome. Google no respondió a una solicitud de información acerca de cuándo sería añadida.

La profesora adjunta de la Universidad de Florida (EEUU) Daniela Olivera cree que este tipo de trabajos pueden descubrir tácticas para refinar la usabilidad de las herramientas y las prestaciones de seguridad. Ambas cuestiones han tendido a ser ignoradas por la industria, según muchos investigadores. En distintos incidentes, desde infecciones por malware hasta filtraciones altamente mediáticas como la del Comité Demócrata Nacional de Estados Unidos, que expuso los correos electrónicos de John Podesta, suele haber una persona que hace un juicio apresurado sobre una advertencia de seguridad o un correo electrónico extraño.

La tendencia a hacer muchas cosas a la vez (el "modo multitarea") tiene parte de la culpa. La colaboración de Vance con Google nació de experimentos que demostraron que cuando la gente está realizando otras actividades y recibe una advertencia de seguridad, la actividad cerebral de regiones asociadas con una consciencia plena es significativamente menor. Según los resultados, la probabilidad de interpretar correctamente una advertencia de seguridad mientras se está haciendo otra tarea es tres veces menor.

El laboratorio de Vance unió fuerzas con Google para probar una versión modificada de Chrome que solo emite las advertencias cuando el usuario no está ejecutando otra tarea activamente. Por ejemplo, esperaría a que alguien terminara de ver un vídeo o completara una descarga o subida de un archivo para emitir la alerta de seguridad.

Foto: Los escaneos cerebrales revelan que tenemos muchas más probabilidades de ignorar advertencias de seguridad mientras ejecutamos otra tarea. Crédito: Centro de Psicología y Neurociencia de la Universidad Brigham Young.

Las pruebas demostraron que la gente que utilizó esta nueva versión de Chrome solo ignoró el mensaje aproximadamente un tercio de las veces, frente al 80% de las veces en la versión tradicional.

Otros estudios del laboratorio de Vance han demostrado que la gente se acostumbra muy rápido a las advertencias de seguridad. Sus investigaciones demuestran que la respuesta cerebral a un mensaje se reduce significativamente incluso la segunda vez que se visualiza.

Los investigadores también realizaron experimentos de seguimiento en los que la gente debía descargar apps móviles que pedían permisos alarmantes (por ejemplo, "¿Puedo eliminar sus fotos?"). Al romper con las reglas habituales del diseño de software y cambiar ligeramente el aspecto de los mensajes de seguridad en cada ocasión (por ejemplo, con colores distintos) se redujo el efecto de la costumbre.

Vance concluye: "Esto demuestra el potencial de emplear la neurociencia para entender el comportamiento de la gente y validar nuevos diseños de intefaz de usuario. Las interfaces de usuario deberían tener un diseño compatible con el funcionamiento de nuestros cerebros".