Phishing y concientización: Pruebas que generan cambios en los usuarios

El phishing, y sus variantes como el vishing y smishing, son unos de los ataques más prevalentes en el mundo, y tienen el potencial de atacarnos a todos: desde empresas grandes y pequeñas, hasta instituciones e incluso a personas naturales. Columna de opinión por Diego Vargas – Pentester NIVEL4 Sus objetivos pueden ser muy amplios, […]

El phishing, y sus variantes como el vishing y smishing, son unos de los ataques más prevalentes en el mundo, y tienen el potencial de atacarnos a todos: desde empresas grandes y pequeñas, hasta instituciones e incluso a personas naturales.

Columna de opinión por Diego Vargas – Pentester NIVEL4

Sus objetivos pueden ser muy amplios, como distribuir malware, robar contraseñas y datos personales, extraer información confidencial o cometer fraudes. Esto lo convierte en una amenaza de primera categoría.

Partir por lo básico es clave: mantenernos en estado de alerta frente a todos los mensajes, correos y llamadas que nos puedan llegar, tanto en la casa como en la oficina. Lo segundo: contar con una buena estrategia de concientización para detectar y evitar estos ataques.

Una forma -y solo una parte- para lograr esto es realizando pruebas de phishing no maliciosas, donde una empresa u organización busca medir la incidencia en sus colaboradores, para así apoyarlos y enseñarles técnicas para identificarlo antes de que sea tarde. Pero este tipo de ejercicios podrían no ser totalmente efectivos.

¿Cómo podríamos fallar en este escenario?

Lamentablemente, muchas empresas utilizan estas pruebas como una métrica de éxito, más que una herramienta para identificar posibles fallas de seguridad, por lo que hacen todo lo posible para obtener buenos resultados, sin importar el nivel de concientización de sus colaboradores.

Muchas empresas utilizan estas pruebas como una métrica de éxito, más que una herramienta para identificar posibles fallas de seguridad.

Para mantener indicadores altos, buscan que los correos y mensajes enviados sean de mala calidad, con múltiples errores de redacción y ortografía, de manera que sean fácilmente identificables y sean reportados como maliciosos. Esto no solo invalída totalmente los resultados obtenidos, sino que también genera una falsa sensación de seguridad que puede conllevar a la empresa a aceptar riesgos mucho mayores de lo previsto.

Bajo un punto de vista crítico, es importante que al momento de realizar este tipo de actividades se eviten estas facilidades para el usuario. En datos concretos, vemos que la proporción de personas que caen es de 5 a 10 veces menor que el promedio general, sólo por realizar un ejercicio no del todo sincero. Lo que significa que la gran mayoría de las personas que sí necesitan concientización no están siendo apoyadas, incrementando el nivel de susceptibilidad a intrusiones.

Implementar un plan de concientización en ciberseguridad es una tarea multidisciplinaria que debería tener como objetivo generar un cambio de cultura organizacional. Para eso es indispensable entender que estas pruebas prácticas deben ser rigurosas y que se deben complementar con charlas, intervenciones, contenido, entre otros elementos, para generar ese punto de inflexión.

Los phishing son ataques que avanzan a pasos agigantados, imitando grandes marcas, copiando la voz y estilo de mensajes, así como implementando técnicas para que el usuario no tenga dudas del correo que está abriendo.

Estar conscientes de los métodos que utilizan los atacantes, como también los peligros que estos presentan para nosotros, nos ayudará a crear un ecosistema seguro. Existen herramientas y metodologías que nos ayudan en esto, pero debemos utilizarlas correctamente para que sean efectivas.