Claves para enseñar a los empleados a detectar los ataques de phishing

Recomendados:  Claves de seguridad para las nuevas aplicaciones web y API. Ebook Protegiendo los datos corporativos en aplicaciones basadas en cloud. Leer

Según los datos de la telemetría de ESET, las ciberamenazas por correo electrónico experimentaron un aumento del 37% en el primer cuatrimestre de 2022 y, sin duda, la tecnología es fundamental para poner freno a esta amenaza, pero también lo es formar y concienciar a los empleados para que no sean víctimas de un ataque de este tipo.

Las estafas de phishing siguen siendo una de las formas más exitosas para que los atacantes instalen malware, roben credenciales y engañen a los usuarios para que realicen transferencias de dinero a nivel corporativo. Su efectividad se debe, según explica este firma, a una combinación de tácticas de suplantación de identidad que ayudan a los estafadores a hacerse pasar por remitentes legítimos, y técnicas de ingeniería social diseñadas para apresurar al destinatario a actuar sin pensar primero en las consecuencias de su acción.

Además, un ataque de phishing puede ser la puerta de entrada a ciberamenazas como el ransomware, troyanos bancarios, malware de cryptojacking, botnets, robo de cuentas o de datos, etc.

Un reciente estudio global ha revelado que la formación y la concienciación en materia de seguridad para los empleados será la principal prioridad para las empresas y dónde invertirán más dinero durante el año que viene. Según la firma de seguridad, estas son las mejoras técnicas y herramientas para conseguir que los empleados estén formados en este ámbito:

-- Formación completa sobre todos los casos de phishing (correo electrónico, teléfono, redes sociales, etc.)

-- Ejercicios entretenidos que utilicen mensajes positivos en lugar de instaurar el miedo

-- Ejercicios continuos de simulación real y actualizados por el departamento de TI según la evolución de las campañas de phishing

-- Sesiones de formación continuas a lo largo del año con actividades cortas de no más de 15 minutos

-- Formación para todos los empleados, incluidos los temporales, personas en plantilla y altos ejecutivos. Cualquier persona con acceso a la red y una cuenta corporativa es un objetivo potencial de phishing.

-- Análisis para proporcionar información detallada de cada trabajador, que pueda ser compartida y utilizada para mejorar las sesiones en el futuro.

-- Actividades personalizadas adaptadas a funciones específicas. Por ejemplo, los miembros del equipo de finanzas pueden necesitar orientación adicional sobre cómo hacer frente a los ataques BEC

-- Actividades lúdicas como juegos o concursos. Estas pueden ayudar a motivar a los usuarios a “competir” contra sus compañeros en lugar de sentir que están siendo "enseñados" por expertos en TI. Algunas de las herramientas más populares utilizan técnicas de gamificación para hacer que la formación sea más entretenida, más fácil de usar y más atractiva

-- Ejercicios de phishing de tipo "hazlo tú mismo". Según el Centro Nacional de Ciberseguridad del Reino Unido (NCSC), algunas empresas hacen que los usuarios construyan sus propios correos electrónicos de phishing, lo que les proporciona una visión mucho más completa de las técnicas utilizadas.