* xataka.com * #android #tech #tecnologia
En diciembre de 2020, la empresa de dominios de internet GoDaddy envió a 500 de sus empleados un correo en el que les prometía un bono navideño de 650 dólares. Lo único que tenían que hacer era rellenar un formulario con su información personal.
Aquello era mentira.
Dos días después, los empleados de la empresa recibieron un correo de responsable de ciberseguridad de la empresa en el que se indicaba que "has recibido este correo electrónico porque suspendiste nuestro reciente simulacro de phishing".
Una captura del correo de phishing generado por los propios responsables de GoDaddy. Fuente: The Copper Courier.
Aquella estrategia no tuvo muy buena acogida entre los empleados, que se sintieron engañados. La empresa incluso afirmó disculparse que habían percibido que el correo había sido "poco sensible", pero es que unos meses antes esa misma empresa, GoDaddy, había informado de un ciberataque en el que se habían robado datos de unos 28.000 empleados. El origen de aquella intrusión fue que uno de sus empleados había sido víctima de un ataque de phishing personalizado.
Los simulacros de phishing llevan siendo una práctica habitual en empresas desde hace años. Una de las compañías que proporciona un servicio para realizarlos, Knowbe4, indicó en aquel momento que 17.000 organizaciones usaron su plataforma para enviar 9,5 millones de correos de phishing a cuatro millones de usuarios.
Pero como indicaron en HBR, hay que ser especialmente cuidadoso con este tipo de simulacros. Ofrecer por ejemplo bonificaciones falsas puede acabar dañando la relación entre empleados y empresa. Los estudios revelan que para realizarlos de forma adecuada hay que hacer simulacros dirigidos a grupos, y no a personas específicas, y que es importante no avergonzar a nadie si por ejemplo alguien ha caído en la trampa.
No solo eso: es importante "gamificar" la experienca y recompensar a aquellos que detectan esos correos tanto a la primera como en intentos posteriores para animar a los empleados y que aprendan a estar alerta ante este tipo de ataques.
Simulacros hasta contraproducentes
De hecho, los expertos de ciberseguridad de Google desaconsejan esta práctica. En un artículo publicado en mayo de 2024 Matt Linton, "especialista en caos" en Google, nos recordaba cómo cuando se iniciaron los simulacros de incendio, muchas personas resultaron heridas en esos simulacros al no estar bien diseñados y la gente tomárselos totalmente en serio. Fueron las mejoras en la construcción y la regulación que obliga a tener extintores las que ayudaron a evitar desastres mayores en casos de incendio.
Los actuales simulacros de phishing se parecen según Linton a aquellos primeros simulacros de incendio. La propia Google, eso sí, realiza esos simulacros, enviando correos a los que siguen formaciones para que los empleados no sean engañados por estos correos.
Pero es que los propios responsables de Google indican que "no hay evidencia de que los resultados de estas pruebas tengan como resultado menos incidencias de campañas de phishing exitosas". En uno de los estudios citados con 14.000 participantes, se mostró un efecto contraproducente para estos simulacros, indicando que quienes "clican de forma repetitiva" en estos correos suspenden estas pruebas a pesar de simulacros recientes.
Además, destacaban, los empleados acaban teniendo una percepción negativa de estas pruebas, y creen que la seguridad de su empresa "está jugando con ellos", lo que degrada la confianza que los empleados tienen en los equipos de ciberseguridad de la empresa.
Así, aunque es importante enseñarle a la gente cómo detectar posibles mensajes de phishing y alertarles de la ingeniería social, tratar de engañar a los propios empleados no parece funcionar. Es mucho más adecuado educar a los empleados, informarles de cómo actuar, y recolectar datos para mejorar esas formas de luchar contra el phishing. En Google también destacaban la relevancia de invertir en medidas de seguridad recomendadas como las claves de paso o la autenticación en dos pasos.
Sea como fuere, este tipo de pruebas siguen utilizándose de forma frecuente. Empresas como Microsoft, por ejemplo, proporcionan documentación detallada sobre cómo poner en marcha este tipo de campañas de correo falsas, y la FTC de EEUU proporciona incluso un pequeño cuestionario para educar a los internautas a la hora de diferenciar un correo de phishing.
Imagen | Solen Feyissa
source
Segun xataka.com
