Susceptibilidad de los usuarios a notificaciones push maliciosas en entornos de realidad aumentada

Tomado de www.isaca.org. Autor: Sarah Katz, redactora técnica de ciberseguridad, Microsoft.

Si bien la realidad aumentada (RA) ha experimentado un aumento en su uso en múltiples industrias, incluidas la educación y la medicina, muchos usuarios aprovechan esta tecnología en su uso diario de aplicaciones móviles para teléfonos inteligentes. 1 Como muchas personas acceden a las redes sociales y otros sitios web en sus teléfonos inteligentes personales en el trabajo o usan una red de oficina para visitar estas plataformas, surge un riesgo de ser víctima de la ingeniería social en el entorno digital del lugar de trabajo cuando los usuarios inmersos se distraen con una interfaz de RA, como con Instagram o Pokémon GO. 2 

Cuando un usuario se centra tanto en los objetos superpuestos por la aplicación como en la vista real de fondo, es posible que los objetos adicionales que entran en su campo de visión en pantalla no reciban un análisis suficiente antes de que el usuario haga clic automáticamente para cerrar el nuevo objeto. Por ejemplo, si una notificación push aparece como función secundaria en una interfaz de RA, el usuario podría simplemente intentar que el nuevo objeto desaparezca en lugar de verificar su autenticidad o seguridad. 

Si bien diversos estudios han enfatizado los peligros de la ingeniería social a través del correo electrónico y los mensajes de texto,³ existe menos investigación sobre las notificaciones push maliciosas que se manifiestan en un teléfono móvil para persuadir al usuario a hacer clic.⁴ Además, se ha investigado aún menos cómo la atención a la legitimidad de estas notificaciones puede verse afectada por el nivel de distracción del usuario. Este posible descuido podría poner en riesgo a los usuarios al interactuar con notificaciones diseñadas para la ingeniería social o el espionaje.⁵ 

Dado el riesgo inherente a la seguridad de los dispositivos móviles en un entorno de trabajo remoto, donde un usuario podría acceder a una página web maliciosa que podría instalar notificaciones push para realizar ingeniería social, 6 la investigación sobre el comportamiento de los usuarios con respecto a las notificaciones push durante situaciones de distracción dentro de una interfaz en capas como la RA podría resultar beneficiosa. Además, dado que los estudios de seguridad de la RA se han centrado principalmente en las preocupaciones sobre la privacidad en lugar de la ingeniería social y otras amenazas, la combinación de factores de riesgo de las notificaciones push en un entorno de RA justifica una investigación más profunda, 7 especialmente en el ámbito laboral. 

Las notificaciones push como mecanismo de amenaza 

Dado que los atacantes a menudo explotan las notificaciones push y las alertas emergentes (como scareware) para intimidar a un objetivo para que haga clic en un enlace o ejecutable malicioso, 8 el uso de desencadenantes viscerales que evocan una sensación de urgencia podría representar una amenaza mucho más significativa para un usuario que ya está distraído por la inmersión de RA en una aplicación móvil como Google Maps o Pokémon GO.9 Esta táctica ha aparecido en incidentes como cuando los actores de amenazas usaron ventanas emergentes en el Minneapolis Star Tribune para dirigir a los usuarios a un sitio web que presentaba scareware que ofrecía arreglar un virus en el dispositivo del usuario por US$50.10 Hacer clic en este tipo de ventanas emergentes, ya sea inadvertidamente mientras está distraído o debido a una ansiedad legítima por la infección del dispositivo, podría resultar en un compromiso real del dispositivo de un usuario. 

A medida que los atacantes continúan utilizando notificaciones push y otras ventanas emergentes distribuidas a través de descargas automáticas maliciosas en sitios web comprometidos, algunos usuarios pueden optar por ignorar las notificaciones de actualización del dispositivo por indiferencia o sospecha. 

En un entorno profesional, la presión para la interacción social surge de forma similar a la que se da en un entorno social, 11 incluso al usar un dispositivo móvil. Muchas aplicaciones sociales incorporan un componente de RA y utilizan notificaciones push. 12 Ante la posibilidad de que los usuarios interactúen compulsivamente con las notificaciones push por miedo a perderse algo, los atacantes podrían aprovechar este comportamiento creando notificaciones con un sentido de obligación social y de urgencia. 13 

Considerando la compleja interacción entre la estrecha interfaz de usuario (IU) de un teléfono móvil, las mejoras que ofrece una aplicación de RA y la apariencia de una ventana emergente, este estudio investiga el impacto de la capacidad de atención del usuario en la respuesta a las notificaciones push. Adoptando los temas comunes de ingeniería social de familiaridad y urgencia, que suelen observarse en los mensajes emergentes maliciosos, esta investigación examina si los usuarios tienden a responder con mayor frecuencia a una notificación en pantalla sobre una llamada entrante (familiaridad) que a una notificación de actualización (urgencia). 

En un estudio similar que priorizó el uso personal de aplicaciones de RA para smartphones en comparación con el uso en el trabajo, la mayoría de los participantes optaron por hacer clic en una notificación emergente sobre una llamada entrante en lugar de una advertencia de actualización o reinicio. Esta preferencia se debió tanto a la reticencia a perder una conexión como a la desconfianza ante los avisos de actualización. ¹⁴ Los investigadores plantean la hipótesis de que una compulsión comunicativa similar también llevará a la mayoría de los participantes a priorizar las llamadas entrantes en este estudio. 

Si bien una notificación push maliciosa puede contener, en teoría, cualquier tipo de mensaje, dado que muchos dispositivos de trabajo se actualizan automáticamente, los investigadores anticipan que la mayoría de los participantes harán clic en la notificación de llamada entrante para evitar perder una llamada de un gerente o compañero. Sin embargo, en el entorno laboral, una advertencia de reinicio del dispositivo cobra mayor relevancia. Los usuarios que dependen de sus dispositivos para tareas laborales buscarán evitar apagados repentinos en momentos críticos. 

Metodología
Para explorar más a fondo cómo reaccionan los usuarios a la aparición de notificaciones push durante la inmersión en RA en la interfaz de un smartphone, esta investigación empleó una metodología fenomenológica cualitativa que involucró el comportamiento en profundidad de 50 participantes al enfrentarse a notificaciones en pantalla mientras usaban cuatro aplicaciones móviles de RA diferentes. Los sujetos fueron reclutados de un grupo de personas de entre 18 y 40 años que afirmaron usar las aplicaciones de RA para smartphones Google Maps, Pokémon GO e Instagram mientras estaban en el lugar de trabajo físico o mientras trabajaban de forma remota en una red de empleadores. No se observaron diferencias significativas de género o raza entre los participantes. 

Materiales
Para probar la hipótesis, este estudio utilizó una presentación visual que incluía interfaces de aplicaciones de RA mejoradas con animación para simular la inmersión, con la adición de notificaciones push ubicadas de forma idéntica para ambas opciones en cada interfaz. Esta presentación contenía interfaces para Google Maps, Pokémon GO e Instagram. Se preguntó a los participantes si, en un contexto laboral, elegirían la opción A (llamada entrante: tema de familiaridad) o la opción B (aviso de actualización: tema de urgencia) entre las dos notificaciones push simuladas en cada una de las interfaces, y luego explicaron el razonamiento de sus decisiones. 

Se utilizaron varias interfaces de aplicaciones de RA para ampliar el número de aplicaciones con las que los participantes estaban familiarizados y establecer mejor el texto del mensaje emergente como constante. 

Revise los resultados en el link original de ISACA