El phishing es un término que se ha popularizado en los últimos años entre los usuarios Internet y que hace referencia a las técnicas utilizadas por los ciberdelincuentes para conseguir que una empresa o persona realice determinadas acciones o revele información valiéndose del engaño, el fraude y la suplantación.
El phishing se encuadra dentro de los ataques que utilizan prácticas de ingeniería social para conseguir su objetivo. Es bien conocido que el usuario es el eslabón más débil de los elementos que intervienen en la protección de los sistemas de información.
La curiosidad humana, la vorágine del día a día o la falta de concienciación son circunstancias que los ciberdelincuentes aprovechan para alcanzar sus objetivos. Mediante sencillas técnicas son capaces de captar la atención de los usuarios y ganar su confianza para lograr que realicen determinadas acciones.
El correo electrónico es la vía principal a través de la cual los ciberdelincuentes canalizan este tipo de ataques. Haciéndose pasar por una fuente de confianza que no genera duda sobre su fiabilidad consiguen engañar al destinatario final con el objetivo de que revele ciertos datos de interés para el atacante: credenciales, datos bancarios, etc.
Los mensajes SMS y las llamadas telefónicas también son otras vías que los ciberdelincuentes utilizan para desplegar ataques de phishing. En estos casos, su pretensión es que el usuario realice una acción de forma rápida.
La formación a los usuarios es un elemento fundamental en la estrategia para evitar que este tipo de ataques obtengan el éxito deseado por los ciberdelincuentes. Tan importante como disponer de sistemas de seguridad perimetrales y herramientas antispam eficaces, además de soluciones antimalware en los equipos de los usuarios, es la difusión de buenas prácticas entre los usuarios para conseguir que sean capaces de identificar elementos sospechosos que puedan afectar a la seguridad de la información.
Dado que el riesgo que supone la amenaza del phishing es constante y que los métodos utilizados por los ciberdelincuentes se actualizan constantemente adaptándose a las circunstancias del momento, como hemos podido comprobar con la pandemia del Covid-19, es recomendable definir un programa regular de concienciación.
No todas las acciones a realizar tienen que basarse en sesiones en las que un experto en ciberseguridad exponga una serie de pautas para identificar y remediar los riesgos del phishing. Si bien éstas son altamente recomendables, no lo son menos otras complementarias como las píldoras informativas, las infografías o los recordatorios puntuales coincidiendo con eventos o situaciones clave, todo ello con el ánimo de conseguir que el usuario esté en una situación de alerta permanente frente a este tipo de amenazas.
Para que estos programas de concienciación alcancen el objetivo requerido es importante que estén diseñados en base a situaciones realistas que tengan que ver con el día a día de la empresa y captar así el interés del usuario.
Uno de los retos a los que se enfrentan los responsables de seguridad de las empresas es el de conocer el grado de concienciación que poseen los usuarios frente a la amenaza del phishing, especialmente tras la realización de los programas formativos.
Con tal fin, se han desarrollado herramientas que permiten realizar campañas de simulación de phishing de forma muy ágil y sencilla. Estas campañas se pueden personalizar y automatizar por los administradores en base a plantillas y pueden ser dirigidas contra los colectivos que se desee. Los resultados se obtienen con un amplio nivel de detalle, llegando a determinar las acciones realizadas por cada usuario.
Cuando se planifique la realización de una campaña de este tipo habrá que tener en cuenta los aspectos legales que puedan verse afectados y hacer partícipe a los órganos de dirección de la empresa.
Es recomendable no realizar una única campaña de simulación dado que no será suficiente para diagnosticar el comportamiento de los usuarios. La realización de varias campañas permitirá establecer una línea base de comportamiento que permitirá valorar la efectividad de las acciones formativas y adoptar medidas complementarias si la situación lo requiere. Su repetición en el tiempo servirá para demostrar el cambio de comportamiento.
La rapidez con la que se ejecutan y se obtienen los resultados las convierten en un instrumento muy útil para los gestores de la seguridad de las empresas.
Responsable de SOC en Global Technology