Ciberseguridad

Qué son y en qué consisten las Phishing simulations

  • Home
  • Ciber Seguridad Informatica

Son cada vez más populares en las empresas y constituyen una herramienta útil para mejorar la ciberconciencia de los empleados. Algunos las consideran útiles; otros tienen dudas sobre su eficacia real a la hora de poner a prueba las habilidades de ciberseguridad. Todo lo que debe saber sobre las Phishing simulations

Actualizado el 20 Oct 2023

Phishing simulations

Las Phishing simulations se han convertido en una práctica habitual en muchas empresas, con el objetivo de poner a prueba el grado de alerta, concientización y preparación de los empleados para reconocer y defenderse de las ciberamenazas.

Sea cual sea la eficacia real de esta herramienta para poner a prueba las competencias en ciberseguridad, es bueno hacer suyas las mejores prácticas a seguir para protegerse del phishing y también, por qué no, para reconocer un ataque simulado y superar brillantemente las pruebas empresariales.

Qué son las Phishing simulations

Las Phishing simulations para empresas son pruebas diseñadas para poner a prueba la preparación de los empleados frente a posibles ciberamenazas.

Las empresas se asocian con frecuencia con empresas especializadas, como KnowBe4, para enviar correos electrónicos simulados a sus empleados. Estos correos electrónicos pueden presentarse como auténticos y ofrecer promesas tentadoras, como bonificaciones, cheques, regalos o entradas para eventos exclusivos, con el fin de inducir a los destinatarios a hacer clic en enlaces o facilitar información personal.

Normalmente, el empleado mal informado que, durante una simulación de phishing, hace clic en el enlace del mensaje de prueba, será invitado por la propia organización, unos días más tarde, a realizar un curso de formación ad hoc ya estructurado para él.

Cómo funcionan las Phishing simulations

En la simulación que pudimos analizar de primera mano, vemos una campaña de simulación organizada por Proofpoint, un gigante multinacional de la ciberseguridad, dirigida a distintas empresas.

Como puede verse en la imagen, la urgencia se crea con el señuelo de un cambio programado de contraseña que, en muchas realidades privadas, forma parte de una política de empresa bien establecida y, por tanto, bien conocida por todos los empleados con cierta antigüedad.

En realidad, no hay que descuidar el análisis de la dirección del remitente, ya que nos permite descubrir que es definitivamente externo a la organización considerada (que preferimos mantener en el anonimato). Además, el texto del correo electrónico presenta los errores gramaticales típicos del phishing.

Afortunadamente, al hacer clic en el botón “malicioso” se revela la intervención de una empresa de seguridad detrás de dicha campaña y, unos días más tarde, el empleado será invitado (internamente) a realizar un curso de formación sobre phishing, con una prueba final.

Cómo protegerse del phishing

Compruebe cuidadosamente el origen del correo electrónico

Antes de hacer clic en cualquier enlace o de facilitar datos confidenciales, compruebe cuidadosamente la dirección de correo electrónico del remitente. Asegúrese de que procede de una fuente fiable. Si tiene dudas, póngase en contacto con el departamento informático o con la seguridad informática de la empresa.

Reconozca las señales de advertencia

Muchas simulaciones de phishing presentan señales de advertencia, como errores gramaticales o rarezas en el texto del correo electrónico. Prestar atención a estas pistas y mostrarse escéptico ante ofertas demasiado tentadoras para ser ciertas puede ser desde luego de gran ayuda.

Evite facilitar información personal

Las simulaciones pueden solicitar información confidencial como contraseñas o datos financieros. Su empresa nunca debería pedirle este tipo de información por correo electrónico. Si no está seguro, póngase en contacto con el departamento de recursos humanos o de informática para confirmar la solicitud.

Denuncie los correos electrónicos sospechosos

Si recibe correos electrónicos que parecen sospechosos, lo mejor es informar de ellos al departamento de informática o de seguridad informática de la empresa. Informar a tiempo puede ayudar a prevenir posibles amenazas y demostrar que el empleado está formado en este sentido.

Participe en cursos de formación sobre ciberseguridad

 Muchas empresas ofrecen programas de formación sobre ciberseguridad. Participar en estos cursos puede ayudar a reconocer y abordar las ciberamenazas.

Los simulacros corporativos de phishing son una buena forma de poner a prueba la preparación de los empleados frente a las ciberamenazas, pero no son suficientes: es esencial estar alerta y adoptar buenas prácticas para proteger su ciberseguridad.

Para evitar ser víctima del phishing, es importante seguir los consejos enumerados anteriormente y ayudar a mantener un entorno de trabajo más seguro y protegido de posibles ciberamenazas.

Phishing en la Argentina

En el período entre junio de 2022 y julio de 2023, en la Argentina se han registrado 9.4 millones de intentos de ataques de phishing según el último informe anual de Panorama de Amenazas en América Latina de Kaspersky. Esto significó un incremento del 617% en comparación con el año anterior y, además, equivale a un promedio de 544 ataques por minuto. Según publicó La Prensa, los temas de los mensajes relacionados a esta práctica de estafas se vincularon a datos financieros y bancarios (42.8%), medios de pago (9.4%), servicios financieros (2.7%) y criptomonedas (2.3%).

Artículo publicado originalmente en 20 Oct 2023

Prohibida su reproducción total o parcial.

¿Qué te ha parecido este artículo?

¡Su opinión es importante para nosotros!

F
Darío Fada

Research Infosec, fundador de Insicurezzadigitale.com

Temas principales

Especificaciones

E
Empresas
S
Seguridad informática