Ataques de phishing: los trabajadores siguen picando el anzuelo

Si te preguntas por qué se cuelan tantos visitantes indeseados en tu red, por qué tienes tantos agujeros de seguridad, o por qué algunos empleados parecen estar siempre con el ordenador roto… la respuesta puede estar en los ataques de phishing de la que son víctimas. Hasta un 33 por ciento de quien recibe este tipo de correos “malos” cae en la tentación de abrirlos o clicar sus enlaces. Sí, en 2016 todavía un tercio de los trabajadores son lo bastante inocentes o torpes como para eso, comprometiendo la seguridad de la empresa con ello.

Ataques de phishing ensayados

Estas cifras proceden de una herramienta lanzada en marzo por Duo Security para poner a prueba la seguridad de las redes. Los equipos de Informática de 400 compañías pusieron de esta forma a más de 11.000 empleados a prueba enviándoles correos “malos” para comprobar quién caería en la trampa. De todos ellos, nada menos que un 31 por ciento abrió el correo y además hizo clic en el enlace que contenía. Un comportamiento que, de haberse tratado de phishing real en lugar de uno fingido, podría haber provocado pérdida de datos en su empresa.

El hecho de que solo una minoría cayera en la trampa de los ataques de phishing, porque dos terceras partes de los que estuvieron a prueba lo reconocieron como potencialmente peligroso y no lo tocaron, no es lo importante según Jordan Wright, el ingeniero de investigación y desarrollo en Duo Security…

Basta un correo malicioso para que un ataque tenga éxito.

“A fin de cuentas, lo que vemos es que un solo correo malicioso es lo que hace falta para que un ataque tenga éxito. Un 31 por ciento puede parecer poco, pero en realidad es un montón de gente”. De hecho, en el caso de estos resultados ese porcentaje representan nada menos que 3.578 personas, unas nueve por empresa.

Una herramienta que crea phishing

La herramienta Duo Insight de Duo Security fue usada por las 400 empresas para enviar los correos de suplantación de identidad (phishing) a sus empleados.

“Animamos a los administradores y directores de informática a personalizar el correo lo más posible” dice Wright. Imitar cómo actuaría un posible hacker mejora los objetivos de los ataques y aumenta las posibilidades de que el receptor abra el correo y clique.

“La gente cree que si no meten sus detalles personales están seguros, pero algunas herramientas pueden cargarse en el ordenador de forma desapercibida y tomar información sin que el usuario lo sepa”. Pero no acaba ahí: si la página a la que accedemos pide algún tipo de credencial, habrá gente que verá que eso huele mal y se marcharán, en lugar de dar sus detalles. Pero aunque la gente crea que eso les mantiene a salvo, podría no ser así.

Lo importante de este ejercicio no es pillar a quién lo abrió o hacerles sentir mal por ello.

“La intención de estos tests de ataques de phishing fingidos es que los administradores hagan dos cosas. La primera, mejorar sus estrategias para ver cómo gestionan potenciales ataques de phishing. La segunda, ayudar a educar mejor a los usuarios”. Y eso es más que simplemente decir a la gente que no abran a ciegas enlaces o correos: también es que el 59 por ciento que no lo abrió avisara del incidente a Informática, ayudando así a localizar el problema.

Si tienes curiosidad por saber qué pasaría en tu empresa y quieres hacer la prueba, comienza a utilizar la versión beta gratuita de Duo Insight.

Deja un comentario