La formación para la concienciación sobre la seguridad basada en funciones adapta los materiales de formación y los mecanismos de entrega al papel de un empleado y reduce el riesgo cibernético asociado a ese papel.

El mundo es un lugar complejo y diverso y las personas que lo componen son un crisol de capacidades, habilidades y actitudes. Dentro de una empresa, a menudo se hace buen uso de esta diversidad creando funciones específicas que aprovechen estas capacidades y habilidades diferentes.

El hecho de que las personas desempeñen funciones específicas en una organización no pasa desapercibido para los ciberdelincuentes. Los estafadores suelen adaptar sus ataques en función del objetivo. Por ejemplo, los ataques de Business Email Compromise (BEC) suelen centrarse en los empleados que ocupan puestos directivos y en la función de cuentas por pagar. Los estafadores adaptan las campañas de phishing u otros ataques de ingeniería social para reflejar el cargo de un individuo, al hacerlo, aprovechan rasgos humanos intrínsecos como la confianza, para asegurarse el éxito.

Sin embargo, si los estafadores utilizan la ingeniería social basada en roles y el phishing para mejorar el éxito de sus ciberataques, entonces dos pueden entrar en ese juego.

Formación de concienciación sobre seguridad basada en roles para detener el phishing basado en roles

A los ciberdelincuentes les gusta asegurarse de que cualquier campaña que diseñen será un éxito: saben que cuanto más adaptado esté un correo electrónico de phishing, más probabilidades hay de que el objetivo crea que el correo electrónico es real y haga clic en un enlace malicioso o actúe conforme a la petición del correo electrónico de cambiar de banco y enviar dinero urgentemente, etc.

El spear-phishing suele ser el arma elegida cuando un ciberdelincuente tiene como objetivo una función específica en una organización. Esta forma de phishing presenta mensajes muy personalizados para manipular a determinados tipos de empleados. Los roles típicos que son objeto de ataques de spear-phishing son:

  • Ejecutivos de nivel C y asistentes ejecutivos

  • Nómina

  • RRHH

  • Finanzas y cuentas por pagar

  • Usuarios con privilegios

Ejecutivos de nivel C y asistentes ejecutivos: Los fraudes «Whaling»y BEC(Business Email Compromise) se centran en los ejecutivos de nivel C de una organización objetivo. Los estafadores también pueden dirigirse a los asistentes ejecutivos, utilizando la ingeniería social y el spear-phishing para obtener acceso a la cuenta de correo electrónico del CEO u otra información personal. Se utilizan correos electrónicos comprometidos o falsos del CXO para iniciar el fraude BEC.

Departamento de nóminas: los defraudadores tienen como objetivo a los empleados de nóminas que gestionan los pagos salariales de los empleados, para redirigir el dinero a la cuenta bancaria del estafador. Por ejemplo, el defraudador puede falsificar el correo electrónico de un empleado solicitando al departamento de nóminas que cambie los datos de su cuenta bancaria.

Recursos Humanos (RRHH): Los RRHH tienen a su cargo información altamente confidencial y personal. Esto hace que esa función esté en riesgo de campañas de spear-phishing que buscan obtener acceso a datos que luego pueden aprovecharse en ataques posteriores. RR.HH. se convierte entonces en parte de un intento de fraude más complejo, de varios pasos, como el fraude BEC y el fraude de nóminas; un empleado de RR.HH. puede ser engañado para que revele información sobre un ejecutivo de nivel C u otro empleado para obtener la inteligencia necesaria para llevar a cabo el fraude.

Finanzas y cuentas por pagar: el departamento que maneja los hilos del dinero es un objetivo obvio para los ciberdelincuentes. El fraude BEC, por ejemplo, suele acabar en la puerta de las cuentas por pagar. Pero hay muchos tipos de fraude que se centran en esta función. El fraude en las cuentas por pagar está muy extendido y un informe reveló que el 50% de las pequeñas empresas del Reino Unido estaban expuestas a este tipo de fraude, ya fuera por amenazas internas o externas.

Usuarios con privilegios : los ciberdelincuentes tienen como objetivo a los usuarios con privilegios, ya que poseen las «llaves del castillo corporativo». A los usuarios privilegiados se les conceden derechos de acceso a áreas sensibles de una red y, como tales, ofrecen una vía directa de entrada a esa red para cualquier ciberdelincuente que pueda engañarlos para que entreguen sus credenciales o descarguen malware. Un informe reveló que el 63% de las organizaciones considera que los usuarios privilegiados presentan el mayor riesgo de amenaza interna.

Phishing simulado dentro de los programas de formación de concienciación sobre seguridad basados en roles

El phishing simulado es una excelente forma de educar a los empleados sobre el phishing y las ciberamenazas. Al adaptar los mensajes de phishing simulado a los roles dentro de su plantilla, puede simular las mismas tácticas utilizadas por los ciberdelincuentes cuando se dirigen a un grupo específico dentro de una organización. Esto hace que la simulación de phishing sea más real y específica para el papel de ese individuo.

Para realizar simulaciones de phishing basadas en roles, una plataforma debe admitir plantillas de phishing que puedan adaptarse en función de cada rol. Por ejemplo, los títulos de phishing basados en roles reflejan los tipos de roles que suelen ser objetivo del spear-phishing.

Ejemplos de ataques de phishing basados en roles

Objetivo usuario con privilegios: El grupo de piratas informáticos Lazarus es tristemente célebre por el ataque del ransomware WannaCry en 2017. Más recientemente, el grupo ha utilizado campañas de phishing dirigidas, basadas en falsas ofertas de trabajo, que se centran en usuarios privilegiados. Una de las más recientes fue la dirigida al administrador del sistema de una plataforma de criptomonedas. El administrador del sistema recibió un documento de phishing bajo la apariencia de una oferta de trabajo a través de su cuenta personal de LinkedIn.

Cuentas por pagar: Facebook y Google fueron estafados en más de 100 millones de dólares por un estafador que se dirigió a los empleados de los dos gigantes tecnológicos utilizando correos electrónicos de spear-phishing dirigidos a determinados roles de usuario.

Fraude de mandato salarialLas campañas de phishing que implican el robo de las nóminas de los empleados son un caldo de cultivo ideal para los estafadores con motivaciones financieras. A menudo, los estafadores envían correos electrónicos al personal de recursos humanos o de nóminas con una solicitud de cambio de cuenta bancaria. El correo electrónico de phishing suele suplantar a un empleado real e incluye su firma de correo electrónico y parece proceder de un dominio interno de la empresa. Si se realiza el cambio, el salario del empleado se ingresa en la cuenta bancaria del estafador.

Razones para adaptar la formación sobre concienciación en materia de seguridad

El spear-phishing es uno de los favoritos de los estafadores centrados en el papel y tiene mucho éxito debido a la naturaleza selectiva de este tipo de phishing. Según un informe de Symantec, el spear-phishing se utiliza como vector principal en el 65% de los ciberataques. Al dirigirse a funciones específicas de los empleados, los ciberdelincuentes pueden crear estafas complejas de varios pasos que funcionan.

Los programas de formación basados en roles y el phishing simulado asociado basado en roles proporcionan un programa a medida para la educación que vence a los ciberdelincuentes en su propio juego. Enseñar a los empleados la naturaleza exacta de las estafas de phishing y de ingeniería social que se dirigen específicamente a su función, capacita a esos empleados con los conocimientos necesarios para escudriñar cuidadosamente los correos electrónicos y otras comunicaciones.  

Las ventajas de la personalización de la formación sobre concienciación en materia de seguridad

La personalización de la formación sobre concienciación en materia de seguridad ofrece ventajas significativas al abordar los riesgos y retos únicos a los que se enfrentan las distintas funciones dentro de una organización. Los programas de formación genéricos a menudo se quedan cortos a la hora de preparar adecuadamente a los empleados para las ciberamenazas específicas que es más probable que encuentren en sus tareas diarias. La formación personalizada garantiza que los empleados reciban una educación relevante y específica que hable directamente de los tipos de ataques de phishing, tácticas de ingeniería social y otros riesgos cibernéticos más pertinentes para sus funciones.

Al adaptar la formación a los distintos departamentos y funciones laborales, las organizaciones pueden crear una plantilla más comprometida e informada, mejorando la eficacia general del programa de seguridad. La principal ventaja de la personalización de la formación sobre concienciación en materia de seguridad es que refuerza la capacidad de los empleados para reconocer las amenazas específicas de cada función, lo que reduce la posibilidad de que se produzcan costosas violaciones de la seguridad. También garantiza el cumplimiento de las normativas específicas del sector y fomenta una cultura de seguridad proactiva en toda la empresa.

MetaCompliance ofrece programas de formación personalizados y basados en funciones, diseñados para abordar los riesgos de seguridad exclusivos de cada función y cada departamento. Explore cómo nuestra formación de concienciación de seguridad departamental puede proporcionar los conocimientos especializados que sus diferentes equipos necesitan para mantenerse seguros.

Formación sobre sensibilización en materia de seguridad para proveedores externos