Phishing,,Hacking,Personal,Data,And,Money,,,Key,And,Hook

¿Sirven de algo las simulaciones de phishing?

¿Existen soluciones más efectivas y sencillas?

El objetivo de este artículo consiste en analizar algunos aspectos de las campañas de simulación de phishing y lanzar algunos interrogantes sobre su impacto y efectividad. La intención consiste en abrir un debate que ayude a las organizaciones a plantear sus campañas de concienciación en ciberseguridad para alcanzar el máximo nivel posible de protección en lo que respecta a los comportamientos de los usuarios.

¿En qué consiste una simulación de phishing?

Una simulación de phishing es un recurso que usan numerosas organizaciones para diagnosticar el grado de exposición de sus empleados a los mensajes maliciosos de phishing y educar a los usuarios en la prevención de este tipo de riesgos. 

Los mensajes maliciosos reales suelen llegar por correo electrónico intentando engañar a los usuarios. Los objetivos de los ciberdelincuentes que envían mensajes de phishing suelen ser obtener información sobre medios de pago, conseguir datos de acceso o adquirir información personal para finalidades delictivas que suponen un serio perjuicio para todo tipo de organizaciones.

Las campañas de simulación de phishing replican el comportamiento de un ataque de phishing real en sus aspectos más característicos como las técnicas de ingeniería social, uso de enlaces o archivos adjuntos o la derivación hacia sitios web falsos o réplicas de sitios web reales.

Estas campañas suelen realizarse mediante plataformas controladas e inocuas de simulación de phishing, permitiendo medir las reacciones de los usuarios y ofreciendo estadísticas relevantes como el número de usuarios que leen el mensaje de simulación de phishing, abren el enlace o descargan un documento adjunto.

En algunos casos, los usuarios que han realizado alguna acción incorrecta frente al mensaje de simulación de phishing, son invitados a recibir una formación que les ayudará a aprender a detectar futuros mensajes maliciosos reales que puedan llegar a sus bandejas de entrada de correo electrónico.

¿Qué ocurre con los usuarios que no abren el mensaje de phishing simulado?

Resulta muy evidente cómo interpretar los casos en que los usuarios receptores del ataque de phishing simulado abren los mensajes y sus enlaces. Pero ¿cómo interpretamos los casos en que los usuarios no los han abierto ni han interactuado?

Sería poco realista pensar que todos los usuarios que no han caído en la trampa simulada han tomado la decisión consciente de ignorarlo, borrarlo o denunciarlo. Al tratarse de una acción subjetiva, los comportamientos de los usuarios ante los cientos o miles de mensajes que reciben a diario dependen de muchas variables que analizamos a continuación:

Que, el mensaje llegue a todos los usuarios de la organización. La preparación de las simulaciones de phishing es sumamente compleja. Una de las dificultades consiste en configurar los sistemas de filtrado para que dejen pasar el mensaje de simulación de phishing y que lleguen a la bandeja de entrada de cada usuario. Aún así, los sistemas corporativos de correo electrónico también tienen implementados sistemas que pueden indicar que un mensaje es sospechoso.

La carga de trabajo y cantidad de mensajes por leer. La causa de que algunos usuarios no abran el mensaje de simulación de phishing puede ser tan simple como que ese día tenían mucho trabajo o una gran cantidad de mensajes por leer. Esos usuarios no habrían llegado a ver el mensaje y por lo tanto no habrían llegado a valorar qué acción es la correcta.

El dispositivo con el que revisa su correo electrónico. Puede darse una influencia derivada de revisar la bandeja de entrada desde un dispositivo móvil o un dispositivo de sobremesa.

La subjetividad individual. Un mismo mensaje de phishing simulado puede despertar mayor o menor interés en cada persona dependiendo de su situación personal, intereses o aficiones. De esta forma, puede ocurrir que el motivo de no abrir un enlace de phishing simulado sea debido a una falta de interés por el contenido del mensaje.

Teniendo en cuenta todas estas variables, ¿realmente podemos interpretar que un usuario que no ha caído en la simulación de phishing se debe a que ha sabido analizar el mensaje? En tal caso, ¿podemos inferir que no será víctima de ataques reales?

¿O acaso es más realista considerar que un número indeterminado de los usuarios destinatarios de la simulación no han llegado a ver el mensaje o no lo han leído una o varias de las causas anteriormente expuestas?

Otros inconvenientes de las simulaciones de phishing

Además de la incertidumbre derivada de no poder diagnosticar con claridad con los casos en los que un grupo numeroso de usuarios no ha interactuado con el mensaje de phishing simulado, existen otros inconvenientes a tener en cuenta como paso previo a lanzar campañas de simulación de phishing.

Complejidad técnica. Cualquier campaña de simulación de phishing está sujeta a importantes complejidades. Por una parte, es preciso superar todo el proceso de generar todos los elementos de la simulación como el mensaje y una página web landing, así como toda la configuración de la plataforma de simulación. Otra parte de la complejidad consiste en que las redes corporativas y sistemas externos están cada vez mejor preparados para conseguir que los mensajes dudosos no lleguen a los usuarios. Por lo tanto, existe una elevada complejidad derivada por conseguir que todos los filtros y cortafuegos dejen paso a los mensajes de las campañas.

Elevado Coste. Muy asociado a la complejidad técnica está el inconveniente del elevado coste. Tanto si se contrata un servicio externo como si la simulación se lleva a cabo con recursos internos, el coste suele ser de miles de Euros o Dólares.
Reacciones negativas de los empleados. Una cuestión no menos importante es dimensionar el impacto que una campaña de simulación de phishing pueda tener en la plantilla en general y en algunos miembros de la plantilla en concreto. En función de cómo se contextualicen los procesos de la simulación, las reacciones individuales o colectivas positivas o negativas pueden jugar un papel importante en la efectividad de las campañas.

¿Existen alternativas a las simulaciones de phishing?

Dados todos estos interrogantes y potenciales inconvenientes, cabría plantear si existen alternativas más eficaces de testear y concienciar al mismo tiempo.
Estas serían las premisas que debería cumplir un sistema alternativo para superar el nivel de efectividad de una simulación de phishing:

  • Garantizar que pueda concienciar a toda la plantilla
  • Que no dependa de la carga de trabajo
  • Que no influya la subjetividad individual
  • Optimizar la relación entre coste, complejidad y efectividad
  • Conseguir que sea una experiencia positiva para los usuarios

En el artículo sobre simuladores gamificados analizamos en detalle una de las alternativas que muchas organizaciones valoran como método más efectivo de concienciación en ciberseguridad.