Las pruebas de phishing pueden ser una forma eficaz de mejorar la concienciación sobre la ciberseguridad, capacitar a los empleados y defenderse contra los ciberataques.
El phishing se ha convertido en la mayor ciberamenaza mundial y, en el último año, las estafas han aumentado un 350% , ya que los ciberdelincuentes se aprovechan del miedo y el caos provocados por la pandemia de coronavirus. Los ataques de ingeniería social como el phishing se basan en la capacidad del atacante de explotar las vulnerabilidades y emociones humanas para lograr sus objetivos.
Dado que gran parte de la plantilla sigue trabajando desde casa, es vital que los empleados puedan reconocer las sofisticadas amenazas de phishing en sus bandejas de entrada y sepan cómo enfrentarse a ellas adecuadamente.
¿Qué es una prueba de phishing?
Una prueba de phishing, o simulación de phishing como también se le conoce, es utilizado por las organizaciones para determinar lo susceptibles que son sus empleados a los ataques de phishing. Mediante el uso de un entorno seguro y controlado, las organizaciones pueden enviar a los empleados correos electrónicos de phishing realistas para medir su conocimiento de los métodos de ataque y averiguar cómo reaccionarían si la amenaza fuera real.
Estos ataques simulados ayudan a los empleados a identificar las amenazas actuales y les proporcionan formación oportuna sobre cómo pueden mejorar sus comportamientos de seguridad. Si un empleado hace clic en un phishing, se le presenta inmediatamente una experiencia de aprendizaje puntual para ayudarle a reconocer los signos de un ataque de phishing y animarles a denunciar los intentos de phishing.
A su vez, las organizaciones pueden utilizar estos datos para detectar los puntos débiles, adaptar la formación a las lagunas de concienciación y registrar los progresos a lo largo del tiempo.
Cómo realizar una prueba de phishing eficaz
Establecer una línea de base
Antes de poner en marcha su programa de concienciación sobre el phishing, deberá establecer una línea de base. Esto le ayudará a determinar lo susceptible que es su empresa a los correos electrónicos fraudulentos de phishing y qué porcentaje de sus empleados habría caído en el ataque de haber sido real.
Puede informar a los empleados de que va a realizar una prueba de phishing, explicándoles cuáles son sus objetivos y qué espera conseguir, o puede realizar una prueba de phishing sorpresa sin ningún tipo de formación previa.
Esta decisión depende enteramente de su organización, aunque la segunda opción ofrece la imagen más clara de la vulnerabilidad de su personal a los ataques de phishing en el mundo real. Una vez que haya registrado su línea de base, puede utilizar estos resultados como punto de referencia para realizar un seguimiento de la eficacia de futuras pruebas de simulación de ph ishing.
Planifique suprueba de phishing
Una vez establecida una línea de base, puede empezar a planificar su campaña de phishing para el año siguiente. En esta fase, se debe notificar y formar a los empleados sobre cómo identificar un correo electrónico sospechoso y qué hacer si reciben uno.
Con cualquier campaña de phishing, lo mejor es empezar poco a poco e ir aumentando. Sus pruebas iniciales de phishing deben ser relativamente fáciles de detectar e incluir los signos clásicos de un correo electrónico de phishing, como un saludo genérico, faltas de ortografía y mala gramática.
Sin embargo, a medida que avance la campaña, el nivel de dificultad deberá aumentar para reflejar los ataques reales que podrían utilizarse para atacar a su personal.
Escalonar la publicación de laprueba de phishing
El momento oportuno es clave para el éxito de la prueba de phishing. Un error común es enviar una prueba de phishing generalizada a toda la organización al mismo tiempo. Esto sólo levanta sospechas y los miembros del personal que han identificado el correo electrónico como un phishing empezarán a alertar a sus colegas.
Si no quiere acabar con resultados sesgados, debería escalonar su prueba de phishing en diferentes franjas horarias para garantizar una información más precisa.
Incluya a altos ejecutivos en laspruebas de phishing
Todos los usuarios son susceptibles de sufrir ataques de phishing, pero hay determinados empleados que presentan un perfil de riesgo más elevado que otros. Los directores generales, directores financieros y altos ejecutivos son algunos de los objetivos de phishing más populares debido a su acceso de alto nivel a información corporativa valiosa.
Es fundamental incluir a estos miembros del personal en todas las pruebas de phishing, no sólo desde el punto de vista del riesgo, sino también para demostrar a los demás empleados que se están tomando en serio la ciberseguridad.
Utilizar diversos métodos
Las pruebas de simulación de phishing deben reflejar con exactitud las distintas amenazas a las que se enfrentan sus empleados a diario. Los ciberdelincuentes son cada vez más astutos en sus métodos de ataque, por lo que sus pruebas de phishing deben reflejar esta situación. Mientras que muchos empleados estarán en guardia contra los ataques externos, pueden ser más complacientes con los correos electrónicos que parecen proceder de dentro de la organización.
Podrían enviarse correos electrónicos haciéndose pasar por el departamento de RR.HH. para informar al personal sobre la paga de vacaciones o la nómina. Mezclando los estilos y las técnicas de sus pruebas, conseguirá comprender mejor la concienciación de los empleados.
Analizar datos
Los datos obtenidos de las pruebas de phishing son cruciales para averiguar si la campaña ha tenido éxito. Te ayudarán a identificar tendencias, empleados vulnerables, necesidades de formación y a planificar futuras pruebas de phishing.
Sus informes deben analizar:
- Número de personas que han hecho clic.
- Número de personas que han enviado información sensible.
- Número de personas que denunciaron el correo electrónico de phishing.
Con el tiempo, debería observarse una disminución de las dos primeras categorías y un aumento de las notificaciones. Los empleados que hayan hecho clic en el correo electrónico de phishing y/o hayan enviado información confidencial deberían recibir formación adicional para mejorar los comportamientos de seguridad.
El personal debe comprender las consecuencias reales de un ataque de phishing y por qué es tan importante que puedan identificar eficazmente una sospecha de phishing. No se trata de pillar a la gente, sino de medir la concienciación e identificar las áreas que podrían mejorarse.
Del mismo modo, hay que elogiar a los empleados que han demostrado un buen comportamiento en materia de seguridad, identificando correos electrónicos de phishing e informando de ellos al personal informático.
Introducirla formación sobre phishing como parte de un programa más amplio deconcienciación sobre ciberseguridad
Para ser realmente eficaces, las pruebas de phishing deben introducirse como parte de un programa más amplio de concienciación sobre ciberseguridad. Esta es la mejor manera de educar al personal, mejorar los comportamientos de seguridad y crear una plantilla más resistente a la ciberseguridad. Puede elegir temas que aborden los riesgos de su organización y utilizar un enfoque combinado para implicar al personal y aumentar la concienciación.
Además de las pruebas de suplantación de identidad, se pueden utilizar cursos de aprendizaje electrónico, blogs, carteles e infografías para reforzar los mensajes clave.
Reflexiones finales
Una vez establecido el programa de concienciación sobre el phishing, es importante mantener el impulso. Crear una cultura de concienciación lleva tiempo y no puede lograrse con un ejercicio anual aislado.
Las pruebas de phishing periódicas ayudarán a aumentar la vigilancia de los empleados, mejorar la concienciación e identificar cualquier punto débil que pueda suponer un riesgo para la seguridad de su organización.
