MetaBlog

Manténgase informado sobre los temas de formación en materia de concienciación cibernética y mitigue el riesgo en su organización.

Principales consejos para realizar con éxito una prueba de phishing en su organización

Simulación de phishing

sobre el autor

Compartir en linkedin
Compartir en twitter
Compartir en facebook

Si su organización quiere mejorar la concienciación sobre la ciberseguridad, capacitar a los empleados y defenderse de los ataques, una prueba de phishing puede ser una de las mejores formas de hacerlo.

El phishing se ha convertido en la mayor amenaza cibernética en todo el mundo, y en el último año los ataques han aumentado un 350% , ya que los ciberdelincuentes se aprovechan del miedo y el caos provocados por la pandemia de coronavirus.

Dado que una gran parte de la plantilla sigue trabajando desde casa, es fundamental que los empleados puedan reconocer las sofisticadas amenazas de phishing y sepan cómo enfrentarse a ellas.

¿Qué es una prueba de phishing?

Las organizaciones utilizan una prueba de phishing, o simulación de phishing, para determinar el grado de susceptibilidad de su personal a los ataques de phishing. Utilizando un entorno seguro y controlado, las organizaciones pueden enviar a los empleados correos electrónicos de phishing realistas para medir su conocimiento de los métodos de ataque y averiguar cómo reaccionarían si la amenaza fuera real.

Estos ataques simulados ayudan a los empleados a identificar las amenazas actuales y les proporcionan una educación oportuna sobre cómo pueden mejorar sus comportamientos de seguridad. Si un empleado hace clic en un phish, se le presenta inmediatamente una experiencia de aprendizaje en el punto de necesidad para ayudarle a reconocer los signos de un ataque de phishing y animarle a informar de cualquier actividad sospechosa. A su vez, las organizaciones pueden utilizar estos datos para identificar los puntos débiles, adaptar la formación para abordar las lagunas en la concienciación y trazar el progreso a lo largo del tiempo.

Cómo realizar una prueba de phishing eficaz

Prueba de phishing

Establecer una línea de base

Antes de lanzar su programa de concienciación sobre el phishing, deberá establecer una línea de base. Esto le ayudará a determinar cuán susceptible es su empresa a los correos electrónicos fraudulentos de phishing y qué porcentaje de sus empleados habría caído en el ataque si éste fuera real. Puede informar a los empleados de que va a realizar una prueba de phishing, explicándoles cuáles son sus objetivos y lo que espera conseguir, o puede realizar una prueba de phishing por sorpresa sin ninguna formación previa. Esta decisión depende enteramente de su organización, aunque esta última opción ofrece la imagen más clara de la vulnerabilidad de su personal a los ataques de phishing. Una vez que haya registrado su línea de base, puede utilizar estos resultados como punto de referencia para controlar la eficacia de futuras pruebas de simulación de phishing.

Planifique su prueba de phishing

Una vez que haya establecido una línea de base, puede empezar a planificar su campaña de phishing para el año siguiente. En esta etapa, los empleados deben ser notificados y formados sobre cómo identificar un correo electrónico sospechoso y qué hacer si reciben uno. Con cualquier campaña de phishing, lo mejor es empezar con algo pequeño y luego ir aumentando. Sus pruebas iniciales de phishing deben ser relativamente fáciles de detectar e incluir los signos clásicos de un correo electrónico de phishing, como un saludo genérico, faltas de ortografía y mala gramática. Sin embargo, a medida que su campaña progresa, el nivel de dificultad debe aumentar para reflejar los ataques del mundo real que podrían utilizarse para atacar a su personal.

Escalonar la publicación de la prueba de phishing

El tiempo es clave para el éxito de su prueba de phishing. Un error común es enviar una prueba de phishing generalizada a toda la organización al mismo tiempo. Esto sólo levanta sospechas y los miembros del personal que han identificado el correo electrónico como un phishing empezarán a alertar a sus colegas. Si no quiere acabar con resultados sesgados, debería escalonar su prueba de phishing en diferentes franjas horarias para garantizar una información más precisa.

Incluir a los altos ejecutivos en las pruebas de phishing

prueba de phishing para altos ejecutivos

Todos los usuarios son susceptibles de sufrir ataques de phishing, pero hay ciertos empleados que tienen un perfil de riesgo más alto que otros. Los directores generales, los directores financieros y los altos ejecutivos son algunos de los objetivos de phishing más populares debido a su acceso de alto nivel a información corporativa valiosa. Es fundamental incluir a estos miembros del personal en todas las pruebas de phishing, no sólo desde la perspectiva del riesgo, sino también para demostrar a los demás empleados que se toman en serio la ciberseguridad.

Utilizar una variedad de métodos

Las pruebas de simulación de phishing deben reflejar con exactitud las diferentes amenazas a las que se enfrentan sus empleados en el día a día. Los ciberdelincuentes son cada vez más astutos en sus métodos de ataque, por lo que sus pruebas de phishing deben reflejar esto. Mientras que muchos empleados estarán en guardia contra los ataques externos, pueden ser más complacientes con los correos electrónicos que parecen provenir de la organización. Podrían enviarse correos electrónicos haciéndose pasar por el departamento de recursos humanos para informar al personal sobre las vacaciones o las nóminas. Al mezclar los estilos y las técnicas de su prueba, obtendrá una mejor comprensión de la conciencia de los empleados.

Analizar los datos

Los datos producidos por sus pruebas de phishing son cruciales para saber si su campaña ha tenido éxito. Le ayudarán a identificar las tendencias, los empleados vulnerables, las necesidades de formación y a informar sobre la planificación de futuras pruebas de phishing.

Sus informes deben analizar:

  • Número de personas que han hecho clic.
  • Número de personas que presentaron información sensible.
  • Número de personas que denunciaron el correo electrónico de phishing.

Con el tiempo, se debería observar una disminución de las dos primeras categorías y un aumento de las denuncias. Los empleados que hayan hecho clic en el correo electrónico de phishing y/o hayan enviado información sensible deberían recibir más formación para mejorar los comportamientos de seguridad. El personal debe comprender las consecuencias reales de un ataque de phishing y por qué es tan importante que puedan identificar eficazmente una sospecha de phishing. No se trata de pillar a la gente, sino de medir la concienciación e identificar las áreas que podrían mejorarse. Igualmente, hay que elogiar a los empleados que han demostrado un buen comportamiento en materia de seguridad, identificando los correos electrónicos de phishing e informando de ellos al personal de TI.

Introducir la formación sobre phishing como parte de un programa más amplio de concienciación sobre ciberseguridad

Para que sean realmente eficaces, las pruebas de phishing deben introducirse como parte de un programa más amplio de concienciación sobre ciberseguridad. Esta es la mejor manera de educar al personal, mejorar los comportamientos de seguridad y crear una plantilla más resistente a la ciberdelincuencia. Puede elegir temas que aborden los riesgos de su organización y utilizar un enfoque mixto para involucrar al personal y aumentar la concienciación. Además de las pruebas de phishing, se puede utilizar el aprendizaje electrónico específico, los blogs, los carteles y las infografías para ayudar a reforzar los mensajes clave.

Reflexiones finales

Una vez que haya establecido su programa de concienciación sobre el phishing, es importante mantener el impulso. Crear una cultura de concienciación lleva tiempo y no se puede conseguir con un ejercicio anual único. Las pruebas de phishing periódicas ayudarán a aumentar la vigilancia de los empleados, a mejorar la concienciación y a identificar cualquier área de debilidad que pueda suponer un riesgo para la seguridad de su organización.

La guía definitiva sobre el phishing

quizás le guste leer esto