google 4,9 (34 opiniones)
Cyber security servicio para usted
Programe una demostración
Volver al Centro de recursos

Por qué la mayoría de las simulaciones de phishing hacen más mal que bien (y cómo lo estamos arreglando)

28 de diciembre de 2023 - Cyber security

Compartir

guardey-sprint-reunión

Phishing Las simulaciones son una práctica habitual en muchas organizaciones. Y con razón.

El número de ataques a phishing ha aumentado más de un 150% cada año desde 2019. En 2022, APWG registró más de 4,7 millones de ataques a phishing . Según una investigación del FBI, las estafas de phishing representan casi el 22% de todas las violaciones de datos que se producen.

Para combatirlo, muchas organizaciones optan por los simulacros de phishing para comprobar la susceptibilidad de sus empleados.

Sin embargo, creemos (y la investigación lo demuestra ahora), que la mayoría de las organizaciones no están ayudando a sus empleados con sus simulaciones phishing . De hecho, incluso los están haciendo más vulnerables a phishing.

En este artículo, te explicaremos nuestra visión de por qué la mayoría de las simulaciones de phishing hacen más mal que bien y cómo puedes evitar que eso ocurra.

Problema nº 1: los correos electrónicos con plantillas no preparan a los empleados para el spear phishing

Muchos responsables de seguridad optan por una estrategia de simulacros en phishing basada en la regularidad y la eficacia. Esto significa que quieren poner a prueba a sus empleados a menudo, pero no quieren dedicar mucho tiempo a preparar los simulacros. El objetivo es automatizar el proceso en la medida de lo posible.

Si busca proveedores de simulación de phishing en Internet, verá que muchos de ellos juegan con este sentimiento. Ofrecen plantillas, correos electrónicos phishing generados por IA y correos electrónicos enviados automáticamente. Esto ayuda a los agentes de seguridad a tachar "phishing tests" de sus listas de tareas pendientes sin sudar la gota gorda. Misión cumplida.

Sin embargo, estas plantillas no preparan a los empleados para los peligros de las ciberamenazas phishing.

Spear phishing es un método de phishing en el que los phishers investigan cuidadosamente a su objetivo. Así, el ataque parece proceder de una fuente de confianza en la vida del objetivo. Utilizan la información que han recopilado y técnicas de ingeniería social para conseguir que el objetivo haga clic en un enlace malicioso.

Imagine que un ciberdelincuente piratea la dirección de correo electrónico de uno de sus proveedores. En uno de los correos encuentran exactamente los productos que deben entregar y el aspecto de la factura. Todo lo que tiene que hacer ahora es copiar la factura, cambiar los datos de la cuenta bancaria y enviarla a su departamento financiero desde una dirección de correo electrónico en la que confíe su departamento financiero. Esto es mucho más difícil de reconocer para sus empleados como phishing que una plantilla estándar.

Los correos electrónicos Spear phishing son mucho más difíciles de detectar para los objetivos. Y como los simulacros de phishing no utilizan estas técnicas, no preparan a los empleados para los riesgos cibernéticos reales a los que se enfrentan. En el mejor de los casos, dan tanto al responsable de seguridad como a los empleados una falsa sensación de seguridad. El diablo está en los detalles cuando se trata de phishing, y no se puede automatizar ese tipo de atención al detalle.

Problema nº 2: phishing los simulacros combinados con formación voluntaria son ineficaces

Investigaciones recientes demuestran que la combinación de un simulacro de phishing con formación voluntaria no hace a los empleados resistentes frente a phishing, sino que más a menudo los convierte en más susceptibles de hacer clic en los enlaces phishing . Esto contradice todas las investigaciones anteriores y una práctica habitual del sector.

¿Cómo es esa práctica común?

En primer lugar, se envía a todos los empleados un correo electrónico a phishing . Cuando alguien hace clic en un enlace, es redirigido a una página de formación. En ella reciben formación voluntaria (es decir, pueden decidir no hacerlo) sobre lo que acaba de ocurrir y cómo pueden detectar phishing en el futuro. La idea es que cuando alguien acaba de ser víctima de un phishing, estará más dispuesto a recibir formación, y la retención de conocimientos será máxima.

Sin embargo, la investigación sugiere ahora que las simulaciones de phishing combinadas con formación voluntaria son ineficaces. Esto puede deberse a varias razones:

  • Los empleados sienten que han "aprendido la lección" tras un simulacro en phishing , pero no participan en la formación voluntaria.
  • Los empleados que no hacen clic en un enlace durante un simulacro de phishing no reciben ningún tipo de formación sobre seguridad.
  • Es posible que las personas no retengan bien la información de la formación justo después de sentirse "atrapadas" durante un simulacro phishing
  • Los empleados necesitan formación periódica para ser realmente conscientes y estar bien informados sobre riesgos cibernéticos tales como phishing

Cómo hacer simulaciones phishing de la manera correcta

Ya hemos comprobado que existen dos grandes problemas en la forma en que se realizan hoy en día las simulaciones en phishing :

  • Las plantillas de correo electrónico no preparan a los empleados para el spear phishing
  • Phishing las simulaciones combinadas con formación voluntaria son ineficaces

Durante el último año, hemos estado trabajando con propietarios de empresas, responsables de seguridad y otras personas encargadas de la seguridad dentro de las organizaciones para solucionar este problema.

Ahora ofrecemos simulaciones de spear phishing . Durante esta simulación, trabajaremos con una organización para desarrollar correos electrónicos phishing que parezcan auténticos y fiables a todos los empleados objetivo. Esto podría hacerse emulando un correo electrónico de una herramienta de software de RRHH que utilice la organización.

Esto requiere más tiempo que trabajar con plantillas. Pero creemos en la calidad por encima de la cantidad. Si un ciberdelincuente va a invertir tiempo en piratearte, deberías dedicarlo a formar a tus empleados. No se puede automatizar todo. Por eso, aconsejamos hacer un simulacro de spear phishing sólo una o dos veces al año.

Además, ofrecemos un security awareness juego que enseña a los empleados a reconocer y actuar frente a las ciberamenazas, incluido phishing. Cada semana, los empleados se enfrentan a un reto en cyber security que tardan hasta tres minutos en completar. Esto les ayuda a adquirir conocimientos y a estar al tanto de las ciberamenazas cada día de la semana.

En el juego, cada usuario crea una organización ficticia. Haciendo retos, pueden ganar dinero para su empresa y mejorar su reputación. Pero si se equivocan en las preguntas, pierden dinero y su reputación se hunde. En la tabla de clasificación, pueden ver qué compañeros están consiguiendo más puntos. Esto crea un divertido elemento competitivo y aumenta la participación.

El juego security awareness entrena los conocimientos de su equipo y la simulación de lanza phishing pone a prueba su susceptibilidad a lo largo del tiempo.

📚 Conozca cómo Roosevelt Kliniek entrena la conciencia phishing con Guardey

Proteja su organización de phishing con Guardey

Creemos firmemente que no se puede automatizar la prevención de phishing . Se necesita formación periódica y simulacros de ataques selectivos a phishing para que los empleados sean realmente resistentes.

Si está interesado en probar nuestra solución, no dude en programar una demostración.

Recursos que pueden interesarle

Cyber security
Los 9 mejores concursos y juegos para prevenir el ciberacoso
Cyber security
Las 10 mejores evaluaciones para empleados de security awareness
Acerca de NIS2
Cyber security
Cyber security formación para estudiantes: las 10 mejores soluciones
Centro de recursos
Sitio web de Anouk CTA Guardey
PRUEBA GRATUITA DE 14 DÍAS

Experimente Guardey hoy mismo.

  • Pruebe completamente gratis
  • Asistencia 24/7
Prueba gratuita de 14 días