A estas alturas, casi todos los que conoces han hecho clic en un enlace malo o han respondido a un texto sospechoso en algún momento de su vida, incluso si no cayeron completamente en la estafa ingresando su contraseña o descargando ransomware. ¿Cómo podemos entender mejor por qué el phishing es un crimen tan efectivo? ¿Por qué algunas personas completan el falso "embudo de ventas" del estafador y entregan sus joyas de la corona digital? ¿Cómo podemos ayudar a las personas a rechazar el cebo?

El Torneo Anual Esquiva el Phishing (GPT) fue creado por el servicio de seguridad de Fortra's Terranova y Microsoft para responder a estas preguntas. El torneo del año pasado, realizado en octubre de 2023, estableció récords y reveló algunas verdades difíciles sobre el phishing en la década de 2020.
 

¿Qué es el Torneo Esquiva el Phishing?

GPT es un evento de entrenamiento anual de simulación de phishing gratuito diseñado para ayudar a las organizaciones y líderes de seguridad a comprender mejor sus áreas de alto riesgo. Al proporcionar datos de referencia sobre phishing a partir de los hallazgos del evento, las organizaciones pueden aprender sobre sus vulnerabilidades, comparar el desempeño y establecer objetivos realistas para el cambio de comportamiento.

GPT se centra en una única amenaza de phishing realista. La simulación de 2023 se dirigió a empleados con una falsa notificación de expiración de contraseña, una táctica cibernética cada vez más común. El correo electrónico de phishing permitió a los destinatarios conservar sus contraseñas existentes, contrario a las mejores prácticas de ciberseguridad, aprovechando nuestra inclinación a evitar la inconveniencia de restablecer contraseñas.

Si el destinatario hacía clic en el enlace de la contraseña, era enviado a una página de destino que pedía sus credenciales. Si sus credenciales eran enviadas, se les notificaba que formaban parte del Torneo Esquiva el Phishing y que habrían sido víctimas de phishing si esto no fuera una simulación.

Casi 300 organizaciones participaron en el evento de 2023, convirtiéndolo en uno de los eventos de simulación de phishing más grandes de su tipo. Más de 1.37 millones de personas recibieron el correo electrónico de phishing, y estos mensajes fueron enviados en 31 idiomas.

Resultados y revelaciones

El reciente GPT reveló una tendencia preocupante: a pesar de la mayor concienciación, las organizaciones siguen siendo susceptibles a los ataques de phishing. Poco más del 10% de los empleados hizo clic en el enlace de phishing, un pequeño aumento con respecto a 2022. 

Aún más alarmante fue la gran proporción de clics en el enlace frente a los envíos de contraseñas. De las personas que hicieron clic en el enlace de phishing, 6 de cada 10 divulgaron sus credenciales. 

Aunque los resultados muestran por qué el phishing sigue siendo un problema persistente, todos podemos trabajar para ayudarnos mutuamente a decir no al phishing.

Conclusiones para una seguridad centrada en las personas

Los resultados del GPT 2023 subrayan las limitaciones de las protecciones técnicas por sí solas. Si bien son esenciales, los cortafuegos y las medidas de seguridad del correo electrónico no pueden garantizar la ciberseguridad, especialmente a nivel empresarial. Debemos desarrollar el conocimiento y los reflejos necesarios para detectar y reportar constantemente las amenazas de phishing. Hay algunas conclusiones que aprendimos a través de esta experiencia. 

1. Todos tenemos días malos: Incluso las personas más conscientes de la seguridad pueden dejar pasar señales de phishing si escanean mensajes rápidamente. La conclusión es clara: tómese el tiempo para leer y reaccionar adecuadamente a cada correo electrónico entrante.

2. Elija una formación en seguridad dinámica: Las plataformas de formación en concienciación sobre seguridad de hoy deben actualizar continuamente el contenido y lanzar nuevos módulos que reflejen las tendencias del cibercrimen en evolución.

3. Las simulaciones pueden ser estimulantes: Una simulación de referencia es una excelente manera de comprender el nivel de conocimiento de su organización sobre las amenazas de phishing.

4. La comunicación es crítica: Use herramientas de comunicación para promover el programa de formación, enfatizando su importancia en la protección de información sensible.

5. La gamificación es su amiga: Considere emplear técnicas de gamificación para mantener a los participantes comprometidos con las iniciativas de formación, haciendo que el aprendizaje sea más interactivo y agradable.

Los resultados del GPT 2023 demuestran que la ciberseguridad es una responsabilidad compartida. No hay razón para desesperarse, ya que podemos trabajar juntos para hacer de Internet un lugar más seguro. Colectivamente, podemos construir defensas resilientes contra los ataques de phishing y preparar a las personas para enfrentar la ingeniería social. Descarga una copia del informe aquí y ven a nuestro seminario web con Fortra para saber más.