Las pruebas de suplantación de identidad pueden ser una forma eficaz de mejorar la concienciación sobre la ciberseguridad, capacitar a los empleados y defenderse contra los ciberataques.

El phishing se ha convertido en la mayor ciberamenaza mundial y, en el último año, las estafas han aumentado un 350%, ya que los ciberdelincuentes se aprovechan del miedo y el caos provocados por la pandemia de coronavirus. Los ataques de ingeniería social como el phishing se basan en la capacidad del atacante de explotar las vulnerabilidades y emociones humanas para lograr sus objetivos.

Dado que gran parte de la plantilla sigue trabajando desde casa, es vital que los empleados puedan reconocer las sofisticadas amenazas de phishing en sus bandejas de entrada y sepan cómo enfrentarse a ellas adecuadamente.

¿Qué es una prueba de phishing?

Una prueba de phishing, o La simulación de phishing, como también se la conoce, es utilizada por las organizaciones para determinar lo susceptibles que son sus empleados a los ataques de phishing. Utilizando un entorno seguro y controlado, las organizaciones pueden enviar a sus empleados correos electrónicos de phishing realistas para medir su conocimiento de los métodos de ataque y averiguar cómo reaccionarían si la amenaza fuera real.

Estos ataques simulados ayudan a los empleados a identificar las amenazas actuales y les proporcionan una formación oportuna sobre cómo pueden mejorar sus comportamientos de seguridad. Si un empleado hace clic en un phishing, se le presenta inmediatamente una experiencia de aprendizaje puntual para ayudarle a reconocer los signos de un ataque de phishing y animarle a denunciar los intentos de phishing.

A su vez, las organizaciones pueden utilizar estos datos para identificar las áreas débiles, adaptar la formación para abordar las lagunas en la concienciación y trazar el progreso a lo largo del tiempo.

Cómo realizar una prueba de phishing eficaz

Prueba de phishing

Establezca una línea de base

Antes de lanzar su programa de concienciación sobre el phishing, deberá establecer una línea de base. Esto le ayudará a determinar lo susceptible que es su empresa a los correos electrónicos fraudulentos de phishing y qué porcentaje de sus empleados habría caído en el ataque de haber sido real.

Puede informar a los empleados de que va a emitir una prueba de phishing, explicándoles cuáles son sus objetivos y lo que espera conseguir, o puede emitir una prueba de phishing por sorpresa sin ningún tipo de educación previa.

Esta decisión depende totalmente de su organización, aunque esta última ofrece la imagen más clara de lo vulnerable que es su personal a los ataques de phishing del mundo real. Una vez que haya registrado su línea de base, podrá utilizar estos resultados como punto de referencia para realizar un seguimiento de la eficacia de futuras pruebas de simulación de phishing.

Planifique su prueba de phishing

Una vez que haya establecido una línea de base, puede empezar a planificar su campaña de phishing para el año siguiente. En esta fase, los empleados deben ser notificados y formados sobre cómo identificar un correo electrónico sospechoso y qué hacer si reciben uno.

Con cualquier campaña de phishing, lo mejor es empezar poco a poco y luego ir aumentando. Sus pruebas iniciales de phishing deben ser relativamente fáciles de detectar e incluir los signos clásicos de un correo electrónico de phishing, como un saludo genérico, faltas de ortografía y mala gramática.

Sin embargo, a medida que avance su campaña, el nivel de dificultad deberá aumentar para reflejar los ataques del mundo real que podrían utilizarse para atacar a su personal.

Escalonar la publicación de la prueba de phishing

El momento oportuno es clave para el éxito de su prueba de phishing. Un error común es enviar una prueba de phishing generalizada a toda la organización al mismo tiempo. Esto sólo levanta sospechas y los miembros del personal que hayan identificado el correo electrónico como un phishing empezarán a alertar a sus colegas.

Si no quiere acabar con resultados sesgados, debería escalonar su prueba de phishing en diferentes franjas horarias para garantizar unos informes más precisos.

Incluya a los altos ejecutivos en las pruebas de phishing

prueba de phishing para altos ejecutivos

Todos los usuarios son susceptibles de sufrir ataques de phishing, pero hay determinados empleados que presentan un perfil de riesgo más elevado que otros. Los directores generales, los directores financieros y los altos ejecutivos son algunos de los objetivos más populares del phishing debido a su acceso de alto nivel a valiosa información corporativa.

Es vital incluir a estos miembros del personal en todas las pruebas de phishing, no sólo desde una perspectiva de riesgo, sino también para demostrar a los demás empleados que se están tomando en serio la ciberseguridad.

Utilice una variedad de métodos

Las pruebas de simulación de phishing deben reflejar con exactitud las diferentes amenazas a las que se enfrentan sus empleados en el día a día. Los ciberdelincuentes son cada vez más retorcidos en sus métodos de ataque, por lo que sus pruebas de phishing deben reflejarlo. Mientras que muchos empleados estarán en guardia contra los ataques externos, pueden ser más complacientes con los correos electrónicos que parecen proceder de dentro de la organización.

Podrían enviarse correos electrónicos haciéndose pasar por el departamento de RRHH para informar al personal sobre la paga de vacaciones o la nómina. Mezclando los estilos y las técnicas de su prueba, obtendrá una mejor comprensión de la concienciación de los empleados.

Analizar los datos

Los datos obtenidos de sus pruebas de phishing son cruciales para averiguar si su campaña ha tenido éxito. Le ayudarán a identificar tendencias, empleados vulnerables, necesidades de formación y le servirán de base para planificar futuras pruebas de phishing.

Sus informes deben analizar:

  • Número de personas que hicieron clic.
  • Número de personas que enviaron información sensible.
  • Número de personas que denunciaron el correo electrónico de phishing.

Con el tiempo, debería observar una disminución de las dos primeras categorías y un aumento de las denuncias. Los empleados que hayan hecho clic en el correo electrónico de phishing y/o enviado información confidencial deberían recibir más formación para mejorar los comportamientos de seguridad.

El personal debe comprender las consecuencias reales de un ataque de phishing y por qué es tan importante que puedan identificar eficazmente una sospecha de phishing. No se trata de pillar a la gente, sino de medir la concienciación e identificar las áreas que podrían mejorarse.

Del mismo modo, hay que elogiar a los empleados que han demostrado un buen comportamiento en materia de seguridad, identificando los correos electrónicos de phishing e informando de ellos al personal informático.

Introducir la formación sobre phishing como parte de un programa más amplio de concienciación sobre ciberseguridad

Para que sean realmente eficaces, las pruebas de phishing deben introducirse como parte de un programa más amplio de concienciación sobre ciberseguridad. Esta es la mejor forma de educar al personal, mejorar los comportamientos de seguridad y crear una plantilla más resistente a la ciberseguridad. Puede elegir temas que aborden los riesgos de su organización y utilizar un enfoque mixto para implicar al personal y aumentar la concienciación.

Además de las pruebas de suplantación de identidad, se puede utilizar el aprendizaje electrónico específico, los blogs, los carteles y las infografías para ayudar a reforzar los mensajes clave.

Reflexiones finales

Una vez que haya establecido su programa de concienciación sobre el phishing, es importante mantener el impulso. Crear una cultura de concienciación lleva tiempo y no puede lograrse con un ejercicio anual aislado.

Las pruebas de phishing periódicas ayudarán a aumentar la vigilancia de los empleados, mejorar la concienciación e identificar cualquier área de debilidad que pueda suponer un riesgo para la seguridad de su organización.

La guía definitiva sobre el phishing