Volver
Formación Ciberseguridad | Cyber security para Empresas | MetaCompliance

Productos

Descubra nuestro conjunto de soluciones personalizadas de formación en concienciación sobre seguridad, diseñadas para capacitar y educar a su equipo frente a las ciberamenazas modernas. Desde la gestión de políticas hasta simulaciones de phishing, nuestra plataforma dota a su plantilla de los conocimientos y habilidades necesarios para proteger su organización.

Cyber security eLearning

Ciberseguridad eLearning Explore nuestra galardonada biblioteca de eLearning, adaptada a cada departamento

Automatización de la concienciación sobre la seguridad

Programe su campaña anual de sensibilización en unos pocos clics

Simulación de suplantación de identidad

Detenga los ataques de phishing en seco con el galardonado software de phishing

Gestión de políticas

Centralice sus políticas en un solo lugar y gestione sin esfuerzo los ciclos de vida de las políticas

Gestión de la privacidad

Controle, supervise y gestione el cumplimiento con facilidad

Gestión de incidentes

Tome el control de los incidentes internos y corrija lo que importa

Volver
Industria

Industrias

Explore la versatilidad de nuestras soluciones en diversos sectores. Desde el dinámico sector tecnológico hasta la sanidad, descubra cómo nuestras soluciones están causando sensación en múltiples sectores. 


Servicios financieros

Crear una primera línea de defensa para las organizaciones de servicios financieros

Gobiernos

Una solución de concienciación sobre seguridad para las administraciones públicas

Empresas

Una solución de formación en sensibilización sobre seguridad para grandes empresas

Trabajadores a distancia

Implantar una cultura de concienciación sobre la seguridad, incluso en casa

Sector educativo

Formación en sensibilización sobre seguridad para el sector educativo

Personal sanitario

Vea nuestra concienciación sobre seguridad a medida para el personal sanitario

Industria tecnológica

Transformación de la formación en sensibilización sobre seguridad en el sector tecnológico

Conformidad con NIS2

Apoye sus requisitos de cumplimiento de Nis2 con iniciativas de concienciación sobre ciberseguridad

Volver
Recursos

Recursos

Desde carteles y políticas hasta guías definitivas y casos prácticos, nuestros recursos gratuitos de concienciación pueden utilizarse para ayudar a mejorar la concienciación sobre ciberseguridad dentro de su organización.

Concienciación sobre ciberseguridad para dummies

Un recurso indispensable para crear una cultura de concienciación cibernética

Guía Dummies de Ciberseguridad Elearning

La guía definitiva para implantar un aprendizaje electrónico eficaz sobre ciberseguridad

Guía definitiva del phishing

Educar a los empleados sobre cómo detectar y prevenir los ataques de phishing

Carteles de sensibilización gratuitos

Descargue estos carteles gratuitos para mejorar la vigilancia de los empleados

Política anti-phishing

Crear una cultura consciente de la seguridad y fomentar la concienciación sobre las amenazas a la ciberseguridad

Estudios de caso

Descubra cómo ayudamos a nuestros clientes a impulsar comportamientos positivos en sus organizaciones.

Terminología de ciberseguridad de la A a la Z

Glosario de términos de ciberseguridad

Modelo de madurez conductual en ciberseguridad

Audite su formación en sensibilización y compare su organización con las mejores prácticas

Cosas gratis

Descargue nuestros recursos de concienciación gratuitos para mejorar la concienciación sobre ciberseguridad en su organización

Volver
MetaCompliance | Formación Ciberseguridad para Empresas

Acerca de

Con más de 18 años de experiencia en el mercado de la Ciberseguridad y el Cumplimiento Normativo, MetaCompliance ofrece una solución innovadora para la concienciación del personal en materia de seguridad de la información y la automatización de la gestión de incidentes. La plataforma MetaCompliance fue creada para satisfacer las necesidades de los clientes de una solución única e integral para gestionar los riesgos de las personas en torno a la Ciberseguridad, la Protección de Datos y el Cumplimiento.

Por qué elegirnos

Sepa por qué Metacompliance es el socio de confianza para la formación en concienciación sobre seguridad

Equipo directivo

Conozca al equipo directivo de MetaCompliance

Carreras

Únase a nosotros y personalice la ciberseguridad

Especialistas en compromiso de los empleados

Facilitamos la participación de los empleados y creamos una cultura de concienciación cibernética

MetaBlog

Manténgase informado sobre los temas de formación en materia de concienciación cibernética y mitigue el riesgo en su organización.

Ataques de phishing: ¿Por qué no pensamos antes de hacer clic?

Ataques de phishing: piense antes de hacer clic

sobre el autor

Compartir esta entrada

Los ataques de phishing tienen que ver tanto con la manipulación del comportamiento humano como con la tecnología. Esta afirmación resume por qué es tan difícil evitar las campañas de phishing que dan lugar a ransomware, robo de credenciales y otros ciberataques.

En la década de los 70, hubo una campaña de conducción bajo los efectos del alcohol con el lema "Piensa, antes de beber, antes de conducir". Fue una campaña eficaz, que ayudó a reducir los accidentes de tráfico relacionados con el alcohol en el Reino Unido. Hacer que la gente "piense" antes de actuar no es tan fácil como parece. De hecho, las campañas de phishing se basan en no pensar y tener una reacción instintiva ante un correo electrónico. El phishing es un asunto serio, y un informe reciente revela que el 95% de los responsables de TI creen que los datos están en peligro por el canal del correo electrónico. 

Entonces, ¿cómo puede la empresa media esperar tener el mismo éxito que la campaña de conducción bajo los efectos del alcohol de los años 70 cuando se trata de contrarrestar los trucos bajo la manga de un ciberdelincuente?

Ataques de phishing y comportamiento humano

Esta dificultad en la prevención se refleja en el éxito de los ataques de phishing: En el año 2019, previo a la pandemia, las estadísticas de phishing eran espantosas, y la compañía de seguros Beazley encontró un aumento del 105% en los ataques de ransomware en el primer trimestre de 2019. Pero en 2020 los ataques de phishing se salieron de la escala. El FBI publicó un informe que mostraba que el phishing era, con diferencia, el más frecuente de los delitos denunciados a su sección de quejas, el IC3. Una de las fuerzas impulsoras del éxito del phishing durante los últimos 12 meses ha sido la pandemia de Covid-19, que proporcionó oportunidades en abundancia a los phishers para explotar el comportamiento humano: esto se evidencia en un asombroso aumento del 30.000 % en las amenazas basadas en Covid-19 durante 2020; la mayoría de estos ataques utilizaron sitios web maliciosos y correos electrónicos de phishing.

El phishing (y sus variantes, Vishing/Smishing/Pharming) es un vector de ataque frecuente porque la técnica funciona. Funciona porque utiliza el comportamiento humano natural para llevar a cabo una acción que beneficia al ciberdelincuente que está detrás del ataque. Ser capaz de manipular a una persona legítima para que realice una acción ilegítima es el sello distintivo de la estafa, incluso antes de la llegada de las tecnologías modernas. Pero la tecnología puede embaucar incluso a los usuarios más experimentados, ya que los patrones de uso de la tecnología se "codifican" a medida que nos familiarizamos con un sistema. 

El correo electrónico, por ejemplo, es una tecnología cotidiana que utilizamos continuamente. En 2020, se enviaron y recibieron 306,4 millones de correos electrónicos al día. Abrir un correo electrónico y hacer clic en un enlace es casi una segunda naturaleza, un comportamiento instintivo para una tarea habitual. Es esta repetición, y la falta de reflexión necesaria para la acción, en lo que se centra el phisher.

5 características típicas del phishing

Los ataques de phishing quieren atrapar a las personas antes de que piensen demasiado. Para ello, las campañas deben asegurarse de que se cumplen ciertos criterios y se optimizan las circunstancias:

  1. Fuente de confianza: Una forma de eliminar el proceso de pensamiento es hacer que el destinatario del correo electrónico se sienta seguro. Las campañas de phishing suelen hacerse pasar por marcas conocidas. En un estudio sobre las marcas que utilizan los phishers, Microsoft aparece repetidamente como una de las marcas favoritas de los phishers para suplantar. Otras marcas suplantadas son Netflix y PayPal.
  2. La atracción del clic: Aunque el 79% de la gente dice que puede reconocer un correo electrónico de phishing, casi la mitad sigue haciendo clic en un enlace de un correo electrónico sospechoso. Es probable que este comportamiento se deba a la formación implícita que todos hemos recibido para utilizar contenidos preparados para Internet. Hacer clic es casi una respuesta pavloviana cuando un correo electrónico contiene un enlace. Los diseñadores de experiencia de usuario (UX ) han utilizado este tipo de condicionamiento para ayudar a las personas a utilizar la tecnología con mayor facilidad; los ciberdelincuentes utilizan la misma manipulación psicológica para conseguir que hagamos clic en un enlace de phishing para iniciar la siguiente fase del mismo.
  3. Dirigir por tareas: Mantener el correo electrónico centrado en una tarea sencilla ayuda a eliminar el proceso de pensamiento. Las tareas repetitivas y reconocidas, como el restablecimiento de contraseñas, son las favoritas de los estafadores. Esto permite hacer ese importante "clic" sin pensar demasiado en las posibles consecuencias. Si la tarea está relacionada con el trabajo, es más probable que se haga el clic y se inicie el evento de phishing.
  4. La urgencia: A menudo, los correos electrónicos de phishing contendrán algún tipo de conductor para impulsar el comportamiento de clic automático. Estos impulsores suelen ser la amenaza de una disciplina o la preocupación por una acción, como el pago de una factura. Algunas campañas de phishing son muy selectivas (Spear phishing). Estas campañas suelen hacerse pasar por un director general; el falso director general envía entonces un correo electrónico al departamento de contabilidad solicitando urgentemente la transferencia de dinero a una cuenta bancaria. La cuenta es, por supuesto, propiedad de un estafador.  
  5. Sobrecarga de trabajo: Un estudio sobre los hospitales objeto de campañas de phishing concluyó que el personal con exceso de trabajo era más propenso a hacer clic en un enlace de phishing. Si no tienes tiempo para pensar, te decantarás por la respuesta automática.

Una nota sobre los ataques de spear phishing. Este tipo de phishing requiere un nivel de reconocimiento más profundo para enviar correos electrónicos de phishing más convincentes al objetivo. Este nivel de detalle hace que los correos electrónicos de spear phishing sean aún más difíciles de detectar para los empleados. En consecuencia, los ataques de spear-phishing por correo electrónico aumentaron un 667% durante la pandemia de Covid-19.

Cómo hacer que un empleado haga clic en un enlace de phishing

Los ciberdelincuentes son magistrales a la hora de crear las condiciones para que una campaña de phishing tenga éxito. Utilizando todos los trucos para hacer que un usuario haga clic, como falsas marcas de confianza, para convertir al usuario en un cebo fácil. Un ejemplo de esto fue una artimaña de phishing de Office 365 en 2020. Tenía todos los elementos que manipulan a los usuarios para que hagan clic antes de pensar:

  • Se enviaron a los empleados correos electrónicos falsos con la apariencia de Microsoft Office 365. 
  • El correo electrónico tenía el título "Formación COVID-19 para empleados: Un certificado para lugares de trabajo saludables". Se animaba a los empleados a actuar en el correo electrónico por motivos de trabajo.
  • Se pedía a los destinatarios del correo electrónico que hicieran clic en un enlace que les llevaba a una página falsa de inicio de sesión de Office 365: la página parecía idéntica a una página real de Office 365.
  • Se pedía al usuario que introdujera sus credenciales de Office 365 para iniciar sesión y recibir el certificado. Si lo hacían, esas credenciales eran robadas y luego utilizadas para iniciar sesión en el portal real de Office 365.

Cómo evitar que un empleado haga clic en un enlace de phishing

La prevención de los comportamientos codificados requiere una formación de sensibilización especializada. Los tecnólogos han diseñado los sistemas para que sean fáciles de usar y para que hacer clic sea una acción fácil, esta respuesta de auto-clic debe romperse para evitar el éxito del phishing. Al proporcionar una prueba de phishing controlada y bien pensada, una organización puede ayudar a cambiar el comportamiento del que dependen los ciberdelincuentes. Las pruebas de phishing simuladas crean un entorno seguro para formar a los usuarios en las formas sutiles en que los phishers manipulan su comportamiento, de modo que puedan tener cuidado con esos trucos. Como parte de un programa más amplio de concienciación sobre la seguridad, la simulación de phishing es eficaz para prevenir el éxito del phishing que resulta en el robo de credenciales, la exposición de datos y la infección de ransomware. 

Guía definitiva sobre phishing

Cyber Security Awareness Training – Otros artículos que podría encontrar interesantes