Cómo implementar una formación de concienciación sobre ataques de phishing

¿Qué es la formación sobre phishing?

¿Con qué frecuencia recibes un correo electrónico que sabes que es una estafa? Quizás sean las palabras mal escritas o el formato irregular lo que lo delata, o la línea de asunto que llama la atención y te hace reflexionar. Lo más probable es que, como profesional de TI o de ciberseguridad, puedas detectar un correo de phishing sin ningún problema. Ahora bien, ¿pueden hacerlo tus empleados?

La ciberdelincuencia de todo tipo (y el phishing en particular) alcanza nuevas cotas en 2023. Por ello, es importante que cada miembro de tu organización pueda identificar un ataque de phishing y desempeñar un papel activo a fin de mantener la seguridad de tu empresa y tus clientes.

La formación de concienciación sobre ataques de phishing es un programa educativo que enseña a las personas:

• Qué son los ataques de phishing y cómo funcionan
• Cómo detectar correos electrónicos de phishing y otros métodos de ataque
• Medidas que se pueden tomar para evitar ser víctima de un ataque de phishing
• Cómo denunciar un presunto ataque de phishing

¿Por qué necesitas formación sobre phishing?

A medida que aumentan los incidentes de phishing y se produce más actividad en línea, es absolutamente fundamental que las organizaciones tomen medidas para proteger a la empresa y sus recursos digitales. Por desgracia, las personas pueden ser una de las mayores vulnerabilidades, pues pueden instalar malware o iniciar ataques de ransomware sin querer, simplemente haciendo clic en un enlace malicioso o descargando un archivo dañado.

El Internet Crime Report (Informe sobre delitos en Internet) más reciente del Internet Crime Complaint Center (IC3, Centro de denuncias de delitos en Internet) del FBI, publicado en marzo del 2022, revela un aumento del 280 % en las estafas de phishing desde que comenzó la pandemia de COVID-19 a principios del 2020. Este significativo incremento indica la intención constante de los ciberdelincuentes de aprovecharse de las personas, que ofrecen una vía de acceso a los sistemas corporativos y facilitan el avance de sus planes de ataque.

Si bien muchas empresas aprovechan tecnologías como soluciones antivirus y detección y respuesta para endpoints (EDR) a fin de contribuir a limitar el riesgo, estas herramientas no son infalibles. Además, conforme los ciberdelincuentes refinan sus técnicas, algunas herramientas, especialmente las soluciones gratuitas o más económicas, pueden resultar menos efectivas a la hora de marcar mensajes sospechosos. Esto significa que depende de los empleados ayudar a la empresa a ganar la batalla contra el phishing.

¿Es eficaz la formación sobre phishing?

Como sucede con cualquier programa de formación corporativa o de TI, la respuesta puede variar. La calidad del programa, la voluntad de aprendizaje del individuo y la cultura empresarial influirán en la eficacia de un programa de formación sobre phishing, tanto a corto como a largo plazo.

Dado que muchas organizaciones de TI carecen de conocimientos profundos sobre ciberseguridad, puede ser muy útil contratar a un socio de confianza para evaluar el nivel de concienciación de la organización, identificar carencias formativas y desarrollar las habilidades y los procesos para garantizar que todos los empleados estén listos, dispuestos y sean capaces de combatir el phishing y otros riesgos cibernéticos.

Pasos para implementar la formación de concienciación sobre phishing

La concienciación sobre phishing debería ser un componente central del programa general de formación en ciberseguridad de todas las empresas. Aquí describimos los pasos que deben seguir las empresas al implementar una formación de concienciación sobre phishing.

1. Preparar materiales educativos para los empleados

Como primer paso, el equipo de TI debe realizar una investigación intensiva o asociarse con un proveedor experto en ciberseguridad con buena reputación para comprender los riesgos únicos que enfrenta la empresa. Como parte de este proceso, el equipo debe revisar cualquier incidente pasado que la empresa pueda haber experimentado, así como las herramientas, las directivas y los procedimientos existentes en la empresa que puedan contribuir a prevenir ataques futuros.

A partir de ahí, la organización debe desarrollar un programa de formación personalizado, así como herramientas complementarias, como cuestionarios y simulaciones, para ayudar a los empleados a fortalecer su conciencia de seguridad, adoptar las prácticas recomendadas y tener en cuenta las políticas de la empresa.

Contenido del material educativo

Si bien la situación de cada organización es única y la mayoría requiere un programa de formación personalizado, el plan de estudios sobre phishing debe cubrir los siguientes temas:

• Patrón común de un ataque de phishing
• Técnicas habituales de los ciberdelincuentes
• Características típicas de los mensajes de phishing
• Intención de los ciberdelincuentes y resultados típicos de ataques exitosos
• Acciones a evitar si se sospecha que un correo puede formar parte de una campaña de phishing
• Canal de denuncia de las campañas de phishing, tanto al equipo de TI como a las autoridades

Uso de ejemplos reales para mejorar los resultados

Con la formación y concienciación adecuadas, la mayoría de los ataques de phishing básicos pueden reconocerse fácilmente. Como parte del curso de formación, es útil emplear una variedad de correos electrónicos de phishing conocidos, como el que se incluye más abajo, para ayudar a las personas a detectar características comunes e identificar la estafa.

Lista de comprobación de phishing

Puede tratarse de un correo de phishing si el remitente:

• Solicita información confidencial
• Usa un dominio diferente
• Incluye enlaces que no coinciden con el dominio
• Adjunta archivos no solicitados
• No personaliza el correo
• Comete faltas ortográficas y gramaticales
• Trata de infundir temor en el destinatario

2. Asignar un cuestionario relativo a la formación sobre ataques de phishing

Una vez finalizada la formación, es importante evaluar el conocimiento y la consciencia de los participantes sobre el tema y su capacidad para detectar correos y mensajes de phishing.

CrowdStrike ha elaborado un cuestionario de concienciación sobre phishing que presenta varios ejemplos reales y solicita a los empleados que identifiquen los mensajes que suponen un riesgo, así como los pasos a seguir en caso de recibir mensajes como esos. La incorporación de este cuestionario de concienciación sobre phishing o uno similar puede ayudar al equipo de TI a confirmar la eficacia de sus materiales formativos e identificar áreas en las que puede necesitarse más instrucción.

3. Implementar simulaciones de campañas de phishing

Todo programa de formación también debe incluir pruebas simuladas de phishing periódicas y sin previo aviso, a fin de reforzar el plan de estudios, identificar puntos débiles persistentes y mantener la ciberseguridad como una prioridad para la plantilla.

Estas pruebas podrían consistir en correos, SMS o mensajes de voz enviados y monitorizados por parte del equipo de TI. Las personas que hagan clic en un enlace, descarguen un archivo o respondan a un mensaje podrían recibir recursos de formación relevantes para contribuir a mejorar su conocimiento y sus habilidades en materia de ciberseguridad. El equipo también puede utilizar los resultados de estos ejercicios para perfeccionar los materiales de formación o crear cursos personalizados sobre cuestiones clave.

4. Enseñar a los empleados cómo denunciar los ataques de phishing

Todo programa de formación de concienciación sobre phishing también debería enseñar a las personas los pasos a seguir para gestionar con seguridad los correos sospechosos de phishing. Esto incluye:

• No abrir correos electrónicos sospechosos, ni responderlos o interactuar con ellos
• Informar de inmediato del supuesto evento de phishing al equipo de TI
• Avisar a los compañeros de equipo y demás empleados para que estén atentos a mensajes similares

5. Evaluar los resultados y realizar pruebas periódicas

Como el phishing es una amenaza persistente y en evolución, las organizaciones deben ofrecer cursos de actualización periódicos, así como lanzar programas personalizados para educar a la plantilla acerca de nuevas campañas, técnicas y características del phishing.

El equipo de TI también debe realizar pruebas y simulaciones periódicas para garantizar que los empleados permanezcan alerta en la lucha contra el phishing. Los resultados de estas pruebas se pueden utilizar para perfeccionar el programa de formación y brindar instrucción intensiva a personas o equipos que puedan tener un mayor riesgo de sufrir vulneraciones.

Facilita recursos contra el phishing fácilmente accesibles

También puede ser útil (y resultará tranquilizador) informar a las personas sobre las medidas adicionales que toma el equipo de TI para limitar el riesgo del phishing y otros ciberataques. Aquí entran múltiples herramientas de seguridad, servicios, directivas y procedimientos diseñados para limitar la exposición a los ataques de phishing en primer lugar. Por ejemplo:

• Software antivirus, que puede prevenir, detectar y eliminar malware que accede al sistema mediante el phishing.
• Filtros antispam, que emplean listas de bloqueo predefinidas creadas por investigadores expertos en seguridad para mover automáticamente los correos de phishing a la carpeta de correo basura del usuario.
• Actualizaciones periódicas del navegador y del software para proporcionar defensas más sólidas contra las estafas de phishing, ya que cada día se lanzan nuevos ataques cada vez más innovadores.
• Autenticación multifactor (MFA), que requiere un segundo nivel de verificación, como un código de acceso enviado al teléfono, antes de conceder acceso a una cuenta privada.