google 4,9 (34 opiniones)
Cyber security servicio para usted
Programe una demostración
Volver al Centro de recursos

Por qué la mayoría de las simulaciones de phishing hacen más mal que bien (y cómo lo estamos arreglando)

28 de diciembre de 2023 - Cyber security

Compartir

guardey-sprint-reunión

Phishing Las simulaciones son una práctica habitual en muchas organizaciones. Y con razón.

El número de ataques a phishing ha aumentado más de un 150% cada año desde 2019. En 2022, APWG registró más de 4,7 millones de ataques a phishing . Según una investigación del FBI, las estafas de phishing representan casi el 22% de todas las violaciones de datos que se producen.

Para combatirlo, muchas organizaciones optan por los simulacros de phishing para comprobar la susceptibilidad de sus empleados.

Sin embargo, creemos (y la investigación lo demuestra ahora), que la mayoría de las organizaciones no están ayudando a sus empleados con sus simulaciones phishing . De hecho, incluso los están haciendo más vulnerables a phishing.

En este artículo, te explicaremos nuestra visión de por qué la mayoría de las simulaciones de phishing hacen más mal que bien y cómo puedes evitar que eso ocurra.

Problema nº 1: los correos electrónicos con plantillas no preparan a los empleados para el spear phishing

Muchos responsables de seguridad optan por una estrategia de simulacros en phishing basada en la regularidad y la eficacia. Esto significa que quieren poner a prueba a sus empleados a menudo, pero no quieren dedicar mucho tiempo a preparar los simulacros. El objetivo es automatizar el proceso en la medida de lo posible.

Si busca proveedores de simulación de phishing en Internet, verá que muchos de ellos juegan con este sentimiento. Ofrecen plantillas, correos electrónicos phishing generados por IA y correos electrónicos enviados automáticamente. Esto ayuda a los agentes de seguridad a tachar "phishing tests" de sus listas de tareas pendientes sin sudar la gota gorda. Misión cumplida.

Sin embargo, estas plantillas no preparan a los empleados para los peligros de las ciberamenazas phishing.

Spear phishing es un método de phishing en el que los phishers investigan cuidadosamente a su objetivo. Así, el ataque parece proceder de una fuente de confianza en la vida del objetivo. Utilizan la información que han recopilado y técnicas de ingeniería social para conseguir que el objetivo haga clic en un enlace malicioso.

Imagine que un ciberdelincuente piratea la dirección de correo electrónico de uno de sus proveedores. En uno de los correos encuentran exactamente los productos que deben entregar y el aspecto de la factura. Todo lo que tiene que hacer ahora es copiar la factura, cambiar los datos de la cuenta bancaria y enviarla a su departamento financiero desde una dirección de correo electrónico en la que confíe su departamento financiero. Esto es mucho más difícil de reconocer para sus empleados como phishing que una plantilla estándar.

Los correos electrónicos Spear phishing son mucho más difíciles de detectar para los objetivos. Y como los simulacros de phishing no utilizan estas técnicas, no preparan a los empleados para los riesgos cibernéticos reales a los que se enfrentan. En el mejor de los casos, dan tanto al responsable de seguridad como a los empleados una falsa sensación de seguridad. El diablo está en los detalles cuando se trata de phishing, y no se puede automatizar ese tipo de atención al detalle.

Problema nº 2: phishing los simulacros combinados con formación voluntaria son ineficaces

Investigaciones recientes demuestran que la combinación de un simulacro de phishing con formación voluntaria no hace a los empleados resistentes frente a phishing, sino que más a menudo los convierte en más susceptibles de hacer clic en los enlaces phishing . Esto contradice todas las investigaciones anteriores y una práctica habitual del sector.

¿Cómo es esa práctica común?

En primer lugar, se envía a todos los empleados un correo electrónico a phishing . Cuando alguien hace clic en un enlace, es redirigido a una página de formación. En ella reciben formación voluntaria (es decir, pueden decidir no hacerlo) sobre lo que acaba de ocurrir y cómo pueden detectar phishing en el futuro. La idea es que cuando alguien acaba de ser víctima de un phishing, estará más dispuesto a recibir formación, y la retención de conocimientos será máxima.

Sin embargo, la investigación sugiere ahora que las simulaciones de phishing combinadas con formación voluntaria son ineficaces. Esto puede deberse a varias razones:

  • Los empleados sienten que han "aprendido la lección" tras un simulacro en phishing , pero no participan en la formación voluntaria.
  • Los empleados que no hacen clic en un enlace durante un simulacro de phishing no reciben ningún tipo de formación sobre seguridad.
  • Es posible que las personas no retengan bien la información de la formación justo después de sentirse "atrapadas" durante un simulacro phishing
  • Los empleados necesitan formación periódica para ser realmente conscientes y estar bien informados sobre riesgos cibernéticos tales como phishing

Cómo hacer simulaciones phishing de la manera correcta

Ya hemos comprobado que existen dos grandes problemas en la forma en que se realizan hoy en día las simulaciones en phishing :

  • Las plantillas de correo electrónico no preparan a los empleados para el spear phishing
  • Phishing las simulaciones combinadas con formación voluntaria son ineficaces

Durante el último año, hemos estado trabajando con propietarios de empresas, responsables de seguridad y otras personas encargadas de la seguridad dentro de las organizaciones para solucionar este problema.

Ahora ofrecemos simulaciones de spear phishing . Durante esta simulación, trabajaremos con una organización para desarrollar correos electrónicos phishing que parezcan auténticos y fiables a todos los empleados objetivo. Esto podría hacerse emulando un correo electrónico de una herramienta de software de RRHH que utilice la organización.

Esto requiere más tiempo que trabajar con plantillas. Pero creemos en la calidad por encima de la cantidad. Si un ciberdelincuente va a invertir tiempo en piratearte, deberías dedicarlo a formar a tus empleados. No se puede automatizar todo. Por eso, aconsejamos hacer un simulacro de spear phishing sólo una o dos veces al año.

Además, ofrecemos un security awareness juego que enseña a los empleados a reconocer y actuar frente a las ciberamenazas, incluido phishing. Cada semana, los empleados se enfrentan a un reto en cyber security que tardan hasta tres minutos en completar. Esto les ayuda a adquirir conocimientos y a estar al tanto de las ciberamenazas cada día de la semana.

En el juego, cada usuario crea una organización ficticia. Haciendo retos, pueden ganar dinero para su empresa y mejorar su reputación. Pero si se equivocan en las preguntas, pierden dinero y su reputación se hunde. En la tabla de clasificación, pueden ver qué compañeros están consiguiendo más puntos. Esto crea un divertido elemento competitivo y aumenta la participación.

El juego security awareness entrena los conocimientos de su equipo y la simulación de lanza phishing pone a prueba su susceptibilidad a lo largo del tiempo.

📚 Conozca cómo Roosevelt Kliniek entrena la conciencia phishing con Guardey

Proteja su organización de phishing con Guardey

Creemos firmemente que no se puede automatizar la prevención de phishing . Se necesita formación periódica y simulacros de ataques selectivos a phishing para que los empleados sean realmente resistentes.

Si está interesado en probar nuestra solución, no dude en programar una demostración.

ENTRADAS RELACIONADAS
Prueba Guardey

La solución de formación security awareness de Guardey permite a sus empleados reconocer y denunciar las ciberamenazas.

Prueba gratuita de 14 días

Preguntas frecuentes

¿Qué es la gamificación?

La gamificación consiste en añadir elementos de juego a entornos no lúdicos, como la formación en security awareness , para aumentar la participación y fomentar el aprendizaje activo.

¿Cuáles son las ventajas de la gamificación en la formación security awareness ?

La formación tradicional en security awareness puede resultar árida y aburrida. Con la gamificación, la compleja materia se transforma en una experiencia atractiva y memorable.

Al integrar elementos de juego como retos, pruebas y recompensas, incentiva a los usuarios a aprender activamente. Esto hace que la formación sea más amena y fomenta el sentido de la competición y el logro. Esta combinación hace que se retengan y apliquen mejor los conocimientos de cyber security .

¿Por qué es importante entrenar semanalmente en security awareness ?

Las investigaciones demuestran que hasta el 90% de lo aprendido en una formación anual o incluso trimestral se olvida a las pocas semanas. Guardey se creó para mantener a sus usuarios al tanto de las ciberamenazas los 365 días del año. El juego incluye desafíos semanales de corta duración que aumentan poco a poco los conocimientos del usuario y, con el tiempo, impulsan un cambio de comportamiento duradero.

¿Qué temas se tratan en el juego de Guardey security awareness ?

Guardey cubre una amplia gama de temas para formar a los usuarios sobre todas las ciberamenazas relevantes en la actualidad, elaborados en colaboración con hackers éticos y pedagogos. Los temas tratados incluyen phishing, trabajo remoto, seguridad de contraseñas, fraude de CEO, ransomware, smishing y mucho más.

¿Cuánto tiempo llevan los retos semanales?

Cada reto dura hasta tres minutos.

¿Puedo utilizar Guardey para cumplir las políticas ISO27001, NIS2 y GDPR security awareness ?

Sí. ISO27001, NIS2 y GDPR exigen que todos los empleados reciban la capacitación adecuada security awareness . Guardey siempre está al día con las últimas amenazas cibernéticas, políticas y procedimientos.

¿Es importante la formación en security awareness para todos los empleados, o sólo para funciones específicas?

La formación en ciberseguridad es crucial para todos los empleados, no sólo para funciones específicas. Cada miembro del personal puede ser potencialmente un objetivo o un punto de entrada involuntario para los ciberataques. La formación ayuda a crear una cultura centrada en la seguridad y minimiza los riesgos para toda la organización.

Aunque determinadas funciones pueden requerir una formación especializada, todo el mundo debería tener acceso a un nivel básico de formación.

¿En qué idiomas está disponible Guardey?

Guardey está disponible en inglés, neerlandés, italiano, francés, español, alemán, polaco, sueco y danés.

¿Quiere hacer más preguntas?
Solicite una demostración personal

Reciba las últimas noticias y recursos directamente en su bandeja de entrada.

Recursos que pueden interesarle

Cyber security
Las 10 mejores evaluaciones para empleados de security awareness
Acerca de NIS2
Cyber security
Cyber security formación para estudiantes: las 10 mejores soluciones
Gracias
Cyber security
Los 16 mejores juegos security awareness para empleados en 2024
Centro de recursos
Sitio web de Anouk CTA Guardey
PRUEBA GRATUITA DE 14 DÍAS

Experimente Guardey hoy mismo.

  • Pruebe completamente gratis
  • Asistencia 24/7
Prueba gratuita de 14 días