Puede protegerse de los robos de identidad manteniendo seguros su número de la seguridad social y otros documentos confidenciales, revisando sus informes crediticios con regularidad, utilizando
Actualizado el 11 de abril de 2023.
El phishing es un problema que las empresas de todo tipo y tamaño deben tomarse muy en serio. La mejor forma de proteger a su empresa contra un ataque de phishing inminente es anticiparse. Impartir formación a los empleados y ejecutar pruebas de phishing garantizan que los empleados podrán detectar los intentos de phishing.
Para ejecutar con éxito una prueba de campaña de phishing, primero deberá identificar una herramienta de phishing que le ayude a llevar a administrar la prueba, diseñarla y, a continuación, analizar los resultados. En esta guía, enseñaremos cómo ejecutar una prueba de phishing en el entorno de laboral para que sus empleados estén preparados para detectar estos ataques antes de que sean víctimas de una verdadera estafa de phishing.
¿Qué es el phishing?
El phishing es un tipo de ataque cibernético en el que el atacante intenta obtener información confidencial haciéndose pasar por una persona de confianza que la víctima conoce. Los ataques de phishing suelen producirse con mayor frecuencia a través de correo electrónico o mensajes de texto y, a menudo, contienen un lenguaje de urgencia para que la víctima elegida actúe con rapidez.
Por ejemplo, supongamos que abre su bandeja de entrada y ve un mensaje de correo electrónico de Chase Bank sobre una actualización de su cuenta bancaria. El mensaje parece importante y la plantilla se parece mucho a los mensajes de correo electrónico que normalmente recibe de Chase, por lo que decide hacer clic en el enlace. Sin embargo, ese enlace es parte de la estafa y le remite a un sitio falsificado. Un sitio web falsificado es un sitio que se ha creado para que parezca verdadero, pero en realidad no lo es. Al introducir su información de inicio de sesión en dicho sitio web, básicamente entrega sus credenciales al perpetrador del ataque sin siquiera ser consciente de ello. Ahora el perpetrador tiene toda la información que necesita para iniciar sesión en su cuenta real de Chase.
En los entornos laborales, el mensaje de correo electrónico de phishing podría proceder de la dirección de correo electrónico de su jefe que contenga un pequeño error ortográfico, o de la de un compañero de trabajo, desde un dominio ligeramente diferente al habitual. Por lo general, en el mensaje se le solicitará que proporcione información sensible que el perpetrador del ataque utilizará para apropiarse de los recursos de la empresa o para perjudicarla de cualquier otra forma.
¿Qué es una prueba de phishing?
Una prueba de phishing es un programa que permite a las empresas enviar mensajes de correo electrónico de phishing (simulados, pero realistas) a los empleados para ver cómo responderían a dichos mensajes. Estas pruebas de phishing permiten a las empresas ver cuál es el grado de formación de sus empleados para detectar ataques de phishing, y les imparten formación sobre phishing si interactúan con dichas pruebas. Al recibir ataques de phishing simulados, los empleados aprenderán a detectar mejor los casos de phishing reales, lo cual redundará en la protección de la empresa a largo plazo.
Cómo preparar a sus empleados para una prueba de phishing
Antes de que pueda comenzar a administrar una prueba de phishing, tendrá que identificar una herramienta de phishing que le permita ejecutar la prueba. Existen muchas herramientas, incluidas las gratuitas de código abierto; por ejemplo, Gophish. Otra opción sería plantearse utilizar productos comerciales como KnowBe4 e Infosec IQ.
Una vez que se haya decantado por una herramienta, llegará el momento de avisar a sus empleados y de formarlos: al fin y al cabo, el objetivo es educarlos sobre los peligros del phishing para, a continuación, comprobar los resultados en un entorno simulado.
Si ejecuta la prueba antes de alertar a sus empleados, correrá el riesgo de perder su confianza y les hará sentir que el departamento de TI los está mirando «por encima del hombro». Sin embargo, si avisa con antelación a sus empleados y les imparte formación antes de ejecutar la prueba, aumentará las probabilidades de que lo vean como una experiencia de aprendizaje valiosa, en lugar de llevarse una sorpresa desagradable al fracasar con la detección.
También deberá contar con la opinión de sus responsables y jefes de departamentos para configurar los parámetros de la prueba. Muchos perpetradores de phishing utilizan tácticas de ingeniería social; por ejemplo, fingen ser un compañero de trabajo o un responsable, para así aumentar sus posibilidades de engañar a sus víctimas. De ahí que normalmente sea una buena idea trabajar con los responsables de los departamentos para determinar cuál sería la mejor forma de interactuar con empleados concretos a fin de similar un ataque que podría provenir de un perpetrador real.
Es importante dejar muy claro cuál es la vía que los empleados podrían utilizar para denunciar los intentos de phishing. Por ejemplo, ¿deberían reenviar el correo electrónico al departamento de TI? ¿Notificarlo a su responsable? Es más probable que los empleados denuncien los mensajes de correo electrónico cuando ello no suponga una interrupción de su flujo de trabajo, por lo que el proceso de denuncias debe ser lo más sencillo posible. Cada herramienta cuenta con su propio proceso de denuncias, por lo que conviene que lo tenga en cuenta antes de elegir una herramienta de phishing para su empresa.
Cómo diseñar una prueba de phishing
Una vez que se hayan sentado las bases, podrá comenzar a resolver algunos de los aspectos específicos de su prueba; por ejemplo, cuánto tiempo durará, qué tipos de esquemas de phishing se pondrán a prueba, cuáles serán los indicadores que analizará y quién participará en la prueba.
Las pruebas de phishing más inteligentes son continuas, ya que las empresas incorporan constantemente nuevos empleados que necesitan formarse y exponerse a pruebas. Cada persona de nueva incorporación comenzará con un mensaje de correo electrónico de phishing simulado al mes con una plantilla de phishing clara que con el tiempo irá evolucionando para convertirse en un mensaje de correo electrónico que incorpore ingeniería social para parecer que procede de un compañero de trabajo. Ir incrementando paulatinamente la complejidad ayudará a sus empleados a tener poco a poco cada vez más confianza en sí mismos, en lugar de frustrarse tras fracasar demasiado rápido.
Antes de iniciar la prueba, es importante que decida con su equipo qué tipos de ataques de phishing se van a utilizar. Por ejemplo, ¿utilizará el spear phishing con personas específicas? ¿O será el whale phishing para poner a prueba al CEO y a los demás ejecutivos? ¿También incluirá el clone phishing? Lo más habitual es utilizar varios ataques de phishing diferentes para poner a prueba la capacidad de los miembros de su equipo para reconocer cada uno de ellos.
Para medir e interpretar con precisión lo que sucede durante la prueba, también tendrá que decidir qué indicadores analizar. Lo más habitual sería hacer un seguimiento de los tres indicadores siguientes:
- El número de empleados que caigan víctimas de un intento de phishing que implique una filtración de datos
- El número de empleados que se den cuanta del intento de ataque de phishing y lo denuncien
- Tasas de clics en los enlaces
Al ejecutar la prueba, no se olvide de incluir a los altos directivos, a los ejecutivos e incluso a los consejeros. Dichos miembros de la alta dirección suelen ser los principales objetivos de phishing, por lo que también deben estar muy bien preparados para afrontarlo.
Una vez que se hayan establecido todos los detalles relativos al diseño de la prueba, llegará la hora de ponerla en marcha. Lo más importante a tener en cuenta en estos casos es que el calendario de implementación exacto debe mantenerse en secreto. Si los empleados conocen muy bien el calendario, estarán esperando recibir mensajes de correo electrónico de phishing, lo que afectará a los resultados.
Lo que hay que hacer tras obtener los resultados de las pruebas de phishing
Aunque la prueba haya terminado, quedará más trabajo por hacer. Una vez que haya ejecutado la prueba, tendrá que analizar los datos y comprobar el rendimiento de su empresa.
Para empezar, habrá que determinar si se han alcanzado los objetivos fijados: ¿se ha reducido el número de empleados que hayan caído víctimas de los mensajes de correo electrónico de phishing? ¿Se ha producido una reducción de la tasa de clics en los enlaces? ¿Se ha incrementado el número de empleados que han denunciado mensajes de correo electrónico sospechosos?
Una vez analizados todos los datos, es hora de tomar una decisión de cara al futuro. Por lo general, es una buena idea presentar los resultados a su empresa para que todo el mundo pueda ver cuál es el margen de mejora. Sin embargo, es importante no señalar públicamente a departamentos o empleados concretos.
Es inevitable que algunos empleados presenten bajos niveles de rendimiento, por lo que es importante abordar el tema con tacto y empatía. La prueba está concebida para servir como una experiencia de aprendizaje, por lo que conviene evitar actitudes maleducadas o condescendientes con los que hayan mostrado bajos niveles de rendimiento. Dicho esto, habrá que impartirles formación adicional para que puedan mejorar. La mayoría de las herramientas de phishing ofrecen la opción de impartir formación adicional sobre phishing a las personas que la necesiten.
La mejor seguridad cibernética comienza con los empleados
Ejecutar una prueba de phishing es solo una de las piezas de un complejo rompecabezas de seguridad cibernética. Para proteger su empresa a largo plazo, es fundamental que la seguridad cibernética esté presente, en todo momento, en la mente de todas las personas que integran su empresa, y que se imparta formación periódica, además de realizar pruebas continuas.
Además, podría resultar de gran utilidad actualizar otras áreas de la seguridad de su empresa al implementar la gestión de acceso con privilegios y exigir a los empleados que utilicen programas de gestión de contraseñas. Los programas de gestión de contraseñas ayudan a los empleados a protegerlas con total facilidad; mantienen a salvo a su empresa frente a los ataques habituales de descifrado de contraseñas. Además, pueden proteger directamente contra los intentos de phishing, ya que solo autocompletarán contraseñas cuando se trate de la URL exacta, evitando así las URL falsas procedentes de un sitio de phishing.