En respuesta a esta situación, muchas organizaciones han intensificado sus esfuerzos de capacitación en seguridad, implementando pruebas simuladas de phishing. Estas simulaciones buscan concientizar a los empleados y demostrar los peligros que conllevan este tipo de ciberataques.
Simulación de phishing: Una medida de seguridad efectiva
La simulación de phishing implica poner a prueba las prácticas de seguridad de los empleados mediante el envío de correos electrónicos falsos similares a los e-mails maliciosos. Estos correos utilizan plantillas creíbles y atractivas, y pueden ser dirigidos a todos los empleados o a un grupo específico dentro de la organización. Los departamentos de ciberseguridad llevan a cabo estas pruebas en entornos controlados, permitiéndoles cuantificar el riesgo utilizando datos específicos de la compañía y evaluar la postura de seguridad de la empresa, así como identificar posibles vulnerabilidades entre los empleados.
El phishing: Un delito cibernético prevalente
El phishing ha sido el tipo de delito cibernético más común en 2022, con un aumento significativo de los incidentes relacionados con esta amenaza de ingeniería social. Se estima que el 75% de las organizaciones en todo el mundo ha experimentado algún tipo de ataque de phishing. Además, el 22% de las violaciones de datos están relacionadas con esta práctica. Los líderes de seguridad han reportado consecuencias alarmantes, como la pérdida de datos (60%), cuentas comprometidas (52%), infecciones de ransomware (47%) y malware (29%), así como pérdidas financieras (18%).
Los atacantes han capitalizado el miedo generado por la pandemia, centrándose en las preocupaciones de salud de los usuarios y en el rápido cambio hacia el trabajo remoto y el aumento del uso de plataformas digitales de comunicación y entretenimiento. Con el incremento de las amenazas, el 80% de los profesionales de seguridad ha enfrentado un aumento en las campañas de phishing desde el inicio del trabajo remoto, superando a otras formas de amenazas.
Beneficios de las simulaciones de phishing
Estudios han demostrado que las pruebas de phishing pueden lograr altas tasas de retención en las iniciativas de capacitación, alcanzando hasta el 75%. Cuando los empleados responden a correos electrónicos simulados de suplantación de identidad, se facilita su comprensión sobre cómo pueden poner en riesgo la seguridad de la organización y su propia seguridad. Estas simulaciones, enmarcadas en contextos de concientización y educación, fomentan la proactividad de los empleados al entender cómo funcionan los ataques de phishing y cómo identificar correos electrónicos legítimos. De este modo, ayudan a mitigar las amenazas de ciberseguridad en la organización y fortalecer su cultura de seguridad informática.
Es esencial que estas simulaciones se realicen en un contexto de respeto y empatía, evitando generar una división entre los departamentos de seguridad y los empleados. Además, estas prácticas deben ir precedidas de una capacitación adecuada sobre los fundamentos del phishing y los patrones comunes utilizados por los atacantes.
Las simulaciones éticas de ingeniería social, como las pruebas de phishing, desempeñan un papel crucial en el fortalecimiento de la seguridad de las organizaciones. Por esto, al concientizar a los empleados y mejorar su comprensión sobre los riesgos cibernéticos, se logra una mayor resiliencia cibernética y se protege tanto la información de la empresa como la de los empleados.