A pesar de que nuestro mundo en línea es cada vez más complejo, el phishing sigue siendo el tipo más común de ciberdelincuencia, según el FBI.
A estas alturas, casi todas las personas que conoces han hecho clic en un enlace incorrecto o han respondido a un texto sospechoso en algún momento de su vida, aunque no hayan caído del todo en la estafa introduciendo su contraseña o descargando un ransomware. ¿Cómo podemos entender mejor por qué el phishing es un delito tan eficaz? ¿Por qué algunas personas completan el falso "embudo de ventas" del estafador y entregan las joyas de su corona digital? ¿Cómo podemos ayudar a la gente a rechazar el cebo?
El torneo anual Gone Phishing Tournament (GPT) fue creado por el servicio de seguridad Terranova de Fortra y Microsoft para responder a estas preguntas. El torneo del año pasado, celebrado en octubre de 2023, batió récords y reveló algunas duras verdades sobre el phishing en la década de 2020.
¿Qué es el Torneo Gone Phishing?
GPT es un evento anual gratuito de formación en simulación de phishing diseñado para ayudar a las organizaciones y a los responsables de seguridad a conocer mejor sus áreas de alto riesgo. Al proporcionar datos de referencia sobre phishing a partir de las conclusiones del evento, las organizaciones pueden conocer sus vulnerabilidades, comparar su rendimiento y establecer objetivos realistas para el cambio de comportamiento.
GPT se centra en una única amenaza de phishing realista. La simulación de 2023 se dirigía a los empleados con una notificación falsa de caducidad de contraseña, una táctica cibernética cada vez más común. El correo electrónico de phishing permitía a los destinatarios conservar sus contraseñas actuales, en contra de las mejores prácticas de ciberseguridad, aprovechándose de nuestra inclinación a evitar la molestia de restablecer las contraseñas.
Si el destinatario hacía clic en el enlace de la contraseña, se le enviaba a una página de destino en la que se le pedían sus credenciales. Si enviaban sus credenciales, se les notificaba que formaban parte del Torneo Gone Phishing y que habrían sido víctimas de phishing de no tratarse de una simulación.
Cerca de 300 organizaciones participaron en el evento 2023, convirtiéndolo en uno de los mayores eventos de simulación de phishing de este tipo. Más de 1,37 millones de personas recibieron el correo electrónico de phishing, y estos mensajes se enviaron en 31 idiomas.
Resultados y revelaciones
El reciente GPT reveló una tendencia preocupante: a pesar de la mayor concienciación, las organizaciones siguen siendo susceptibles a los ataques de phishing. Algo más del 10 % de los empleados hicieron clic en el enlace de phishing, un pequeño aumento con respecto a 2022.
Aún más alarmante fue la gran proporción de personas que hicieron clic en el enlace y enviaron la contraseña. De las personas que hicieron clic en el enlace de phishing, 6 de cada 10 divulgaron sus credenciales.
Aunque los resultados muestran por qué el phishing sigue siendo un problema tan persistente, todos podemos trabajar para ayudarnos mutuamente a decir no al phishing.
Lo que hay que tener en cuenta para la seguridad de las personas
Los resultados del GPT 2023 subrayan las limitaciones de las salvaguardas técnicas por sí solas. Aunque son esenciales, los cortafuegos y las medidas de seguridad del correo electrónico no pueden garantizar la ciberseguridad, especialmente a nivel empresarial. Debemos desarrollar los conocimientos y reflejos necesarios para detectar y denunciar sistemáticamente las amenazas de phishing. Hemos aprendido algunas cosas de esta experiencia.
- Todos tenemos días malos: Incluso las personas más conscientes de la seguridad pueden pasar por alto las señales de alerta de phishing si escanean los mensajes rápidamente. La conclusión es clara: tómate el tiempo necesario para leer y reaccionar adecuadamente ante cada correo electrónico entrante.
- Elija una formación en seguridad dinámica: Las plataformas actuales de formación en concienciación sobre seguridad deben actualizar continuamente los contenidos y lanzar nuevos módulos que reflejen la evolución de las tendencias de la ciberdelincuencia.
- Los simulacros pueden ser estimulantes: Un simulacro de base es una excelente manera de comprender el nivel de conocimiento de su organización con respecto a las amenazas de phishing.
- La comunicación es fundamental: utilice herramientas de comunicación para promover el programa de formación, haciendo hincapié en su importancia para salvaguardar la información sensible.
- La gamificación es su aliada: Piense en emplear técnicas de gamificación para mantener el interés de los participantes en las iniciativas de formación, haciendo que el aprendizaje sea más interactivo y ameno.
Los resultados del GPT 2023 demuestran que la ciberseguridad es una responsabilidad compartida. No hay razón para desesperarse porque podemos trabajar juntos para hacer que Internet sea más seguro. Colectivamente, podemos construir defensas resistentes contra los ataques de phishing y preparar a las personas para la ingeniería social. Descargue una copia del informe aquí y asista a nuestro seminario web con Fortra para obtener más información.