Por: Jaime Berditchevsky, director general para México en Kaspersky
Imagina que recibes un correo electrónico de tu banco donde te piden corroborar un cargo exorbitante que no reconoces; para esto, es necesario que entres a un link donde debes ingresar tus datos. Como todo parece convincente y oficial, los ingresas, pero en realidad los recibe un ciberdelincuente que los usa para suplantar tu identidad, hacer fraude e inclusive, para acceder a la red de tu empresa. Lo anterior se conoce como phishing, y le puede suceder a cualquiera, incluidos los empleados de una compañía que se colocan como presa fácil de atacantes que buscan vulnerar a la organización.
Se estima que el 91% de todos los ataques cibernéticos comienzan con un email de phishing, pues este tipo de mensajes se especializan en llamar la atención del destinatario de manera contundente. En Kaspersky logramos identificar cuáles son los tipos de email que funcionan mejor como “anzuelo” para los trabajadores de una empresa, mediante un simulador de phishing de Kaspersky Security Awareness, solución integral de concienciación para empleados en materia de ciberseguridad.
Las pruebas demostraron que el correo electrónico de phishing con el asunto “Intento de entrega fallido”, enviado —supuestamente— por el “Servicio de entrega de correo'', concentra el mayor porcentaje de clics, un 18.5%, lo que quiere decir que los empleados tienden a caer en este engaño con mayor frecuencia.
Le siguen los emails con los asuntos “No se entregaron los correos electrónicos debido a servidores de correo sobrecargados”, enviado por el “Equipo de asistencia de Google”, y “Encuesta en línea a empleados” enviado por el “departamento de Recursos Humanos” (RRHH), ambos con una conversión de clics del 18%.
Para completar el Top 5 de este tipo de correos, destacan los enviados con los asuntos “Nuevo código de vestimenta en toda la empresa” de parte de “RRHH” con una conversión de clics del 17.5%, y “Atención a todos los empleados: nuevo plan de evacuación del edificio”, de parte del “Departamento de seguridad”, con una tasa de clics del 16%.
Es claro que un email con un asunto que apela a un inconveniente o a alguna urgencia resulta ser más atractivo, así como el remitente, pues en los casos anteriores se trata de agentes confiables como RRHH o Google.
Esta simulación de phishing logra reflejar las tendencias actuales de ingeniería social y los escenarios comunes de la ciberdelincuencia, para que las empresas puedan verificar si su personal logra distinguir un correo electrónico de phishing de uno real sin poner en riesgo los datos de la empresa.
La herramienta le permite a un administrador elegir un conjunto de plantillas para email que imitan escenarios comunes de phishing o crear una plantilla personalizada; luego la envía al grupo de empleados sin aviso previo y realiza un seguimiento de los resultados.
Los resultados que arroja el simulador de phishing refrenda la relevancia de capacitar a todos los empleados en temas de seguridad cibernética para lograr distinguir los engaños e intentos de fraude de la ciberdelincuencia. Para ello es fundamental que los departamentos de Sistemas recuerden constantemente las alertas básicas para diferenciar un correo o mensaje de phishing, tales como errores ortográficos, el uso de “Asuntos” urgentes, direcciones irregulares de los remitentes y enlaces sospechosos.
La realidad es que los ciberdelincuentes cambian de métodos constantemente, por lo que hacer pruebas y situar a los empleados en un contexto simulado puede ayudar mucho a que todo el equipo esté mejor preparado para enfrentar una amenaza de este tipo y evitar así violaciones de datos y comprometer la seguridad de una empresa.
Con base en esto, reitero la importancia de educar y concientizar a nuestros empleados sobre los temas de ciberseguridad, pues solo así podemos disminuir el riesgo de caer en estas y muchas otras trampas.