El ocupado eres tú el más peligroso: el "clic peligroso" que provoca la multitarea - La sorprendente razón por la que caes en correos de phishing

Introducción: Más allá de las notificaciones interminables

Zoom, Slack, hojas de cálculo y correos electrónicos no leídos. Pasamos la mayor parte de nuestro tiempo de trabajo en "multitarea", lo que nos lleva a menudo a pasar por alto pequeñas discrepancias en los correos electrónicos. Investigaciones recientes han demostrado que esta "omisión" no es solo una sensación, sino un fenómeno que se puede reproducir en experimentos. La atención dispersa, es decir, el estado de multitarea, empeora significativamente la detección de phishing. Y para contrarrestar esta debilidad, no se necesita un "entrenamiento pesado", sino un ligero empujón (nudge) que funcione "en el momento". Este es un punto clave reportado por Phys.org el 11 de octubre de 2025.Phys.org

Esencia de la investigación: Lo que mostró un experimento conductual con cerca de 1,000 personas

La investigación fue realizada por un equipo centrado en la Universidad de Binghamton y la Universidad de Albany. Se llevó a cabo un experimento en el que los participantes (aproximadamente 977 personas) debían distinguir la veracidad de correos electrónicos mientras estaban bajo una "carga de memoria de trabajo". Los resultados mostraron que cuanto mayor era la carga, menor era la precisión en la detección de phishing. Sin embargo, simplemente intercalando "pequeños recordatorios" como una advertencia de color en la parte superior de la pantalla o un breve mensaje que decía "Este mensaje podría ser un fraude", la detección mejoró incluso bajo multitarea.Phys.org

Además, la efectividad de los nudges varía según el "enfoque" del mensaje. Los correos electrónicos con "enfoque de ganancia" que ofrecen recompensas (ejemplo: "Recibe tu tarjeta de regalo ahora") son especialmente susceptibles y los nudges son efectivos. Por otro lado, en el caso de "enfoque de pérdida" que incluye amenazas como "Cuenta suspendida en 24 horas", los destinatarios tienden a estar más alerta desde el principio, por lo que el efecto adicional del nudge es limitado.techxplore.com

Este resultado de la investigación se ha publicado en el European Journal of Information Systems (DOI: 10.1080/0960085X.2025.2548543).Phys.org techxplore.com

Por qué la multitarea nos hace vulnerables: El "número de asientos" de la memoria de trabajo es limitado

El remitente inusual de un correo electrónico, la extrañeza en el texto, el dominio del enlace: para captar estas "señales de alerta", se necesita espacio en la memoria de trabajo. Sin embargo, cuando se manejan múltiples tareas simultáneamente, esos espacios se llenan rápidamente. Los experimentos demostraron cuantitativamente que este "estado de saturación" lleva a juicios imprecisos, es decir, a pasar por alto el phishing. Los nudges propuestos por el equipo de investigación se basan en la premisa de esta saturación, diseñados para "liberar un solo asiento de atención solo en ese momento". Se ha demostrado que una interfaz de usuario ligera, como un banner o un recordatorio breve, es suficiente y ofrece una implicación práctica.techxplore.com

Intervenciones "en el momento" en lugar de entrenamientos anuales pesados

En respuesta a la pregunta "¿Puede la educación de los empleados prevenirlo?", otra investigación a gran escala ha arrojado agua fría sobre esta idea. Un equipo de UC San Diego examinó a 19,500 personas en instituciones médicas durante 8 meses con 10 simulaciones de phishing, y encontró que tanto el entrenamiento anual como el "aprendizaje integrado justo después de ser engañado" eran extremadamente ineficaces, reduciendo la tasa de clics solo en un 2%. La conclusión fue que "la forma actual de entrenamiento tiene poco valor práctico".techxplore.com

En este contexto, la investigación sobre la multitarea que promueve "nudges ligeros y contextualmente adaptativos" y "integración en herramientas cotidianas" parece ser una medida más rentable que la formación teórica pesada. Como resumen Phys.org y TechXplore, insertar intervenciones "en el momento" en flujos de trabajo existentes, como banners de advertencia en Outlook, integración con Slack/Teams, y recordatorios vinculados a notificaciones de calendario, es clave.Phys.org

Reacciones en redes sociales: "Es real" "¿Fatiga de banners?" Opiniones mixtas desde el campo

Desde la publicación de la investigación, se ha difundido en X (anteriormente Twitter) a partir de publicaciones de relaciones públicas universitarias e investigadores. La cuenta oficial de la Universidad de Albany realizó una publicación presentando la investigación, y el departamento de relaciones públicas de Binghamton también compartió el mensaje clave de que "la multitarea reduce la detección, los nudges simples son efectivos".X (anteriormente Twitter)

Por otro lado, la comunidad profesional está debatiendo activamente en relación con los informes de investigaciones cercanas que cuestionan la efectividad de los entrenamientos pesados. En los hilos de ciberseguridad de Reddit, abundan las voces escépticas sobre el entrenamiento anual, destacando opiniones que abogan por "mecanismos que cambien el comportamiento 'en el momento'" y "una mejor asignación de recursos hacia medidas técnicas".Reddit

Junto a las reacciones positivas, también se comparten preocupaciones ergonómicas y de diseño de interfaz de usuario, como "es esencial un diseño que evite la fatiga de banners (cansancio por advertencias)" y "los enfoques de amenaza (enfoque de pérdida) ya son naturalmente sospechosos, por lo que un exceso de nudges podría ser contraproducente". Esto también es coherente con la diferencia que mostró la investigación de que "los nudges son efectivos en el enfoque de ganancia".techxplore.com

Hoja de ruta de implementación en el campo (eficacia inmediata x bajo costo)

1. Banners de advertencia en clientes de correo diferenciados según el "tipo de sospecha" (intervención más fuerte en enfoque de ganancia).Phys.org

2. "Recordatorios de verificación" integrados en chats/calendarios: justo antes o después de reuniones o al cambiar de tarea, mostrar un mensaje breve preguntando "¿Es auténtico el URL que estás a punto de abrir?".Phys.org

3. Tareas ligeras de inspección de URL (resaltado de nombres de dominio o reingreso) para ralentizar deliberadamente el "impulso de un clic".arXiv

4. Mejorar las medidas técnicas (implementación rigurosa de FIDO2/2FA, gestores de contraseñas integrados con dominios).techxplore.com

5. Ajustar los entrenamientos simulados a un "contexto sincronizado": aumentar la distribución durante franjas horarias ocupadas e incluir nudges para cambiar el comportamiento "en el momento".techxplore.com

6. Materiales educativos especializados en phishing de recompensa (enfoque de ganancia) disponibles en videos cortos e interacciones.techxplore.com

7. KPI centrados en el ser humano (como el tiempo en segundos dedicado a "abrir, leer y decidir") para evitar una sobredosis de nudges.

8. Ante el auge del phishing en la era de la IA, adoptar generación de lenguaje natural para advertencias e interfaces dinámicas (para evitar la fatiga por plantillas).strongestlayer.com

Conclusión: "Visualización de la atención" para salvar a las personas de ser el último bastión

No podemos eliminar la multitarea. Por eso, necesitamos rediseñar la gestión de "atención", un recurso limitado. Lo que esta investigación ha demostrado es la efectividad de un mecanismo que recupera la atención de las personas por un segundo solo en ese momento, en lugar de aumentar la educación pesada. Intercalar la mínima fricción en la interfaz de usuario de herramientas cotidianas para que justo antes de un clic peligroso, se diga "espera un momento". Las organizaciones están en un momento en el que deben invertir en esta "ligereza".