Ver ediciones digitales
Compartir

Tecnología

Aumenta tu resistencia a los ataques de phishing

Por: Financiero 23 Ago 2020

Dentro de las empresas se abren 30%de los correos electrónicos fraudulentos Ryan Wright y Matthew Jensen han propiciado “ciber-ataques” contra miles de personas durante la […]


Aumenta tu resistencia a los ataques de phishing

Dentro de las empresas se abren 30%
de los correos electrónicos fraudulentos

Ryan Wright y Matthew Jensen han propiciado “ciber-ataques” contra miles de personas durante la última década, y no planean dejar de hacerlo. No son hackers que buscan datos o fondos valiosos; son investigadores que trabajan con empresas, gobiernos y universidades de todo el mundo para entender por qué tan a menudo caemos en los ataques de phishing y qué pueden hacer las organizaciones para mitigar la amenaza.

Los departamentos de seguridad corporativa se esfuerzan por educar a la gente sobre el phishing, que representa el 90% de todos los escapes de datos. Se estima que se abre 30% de los correos electrónicos fraudulentos, según destaca un reportaje publicado por Harvard Business Review.

El costo de un ataque exitoso es en promedio 3.8 millones de dólares, una cifra incómoda, que podría crecer a medida que los ciberdelincuentes explotan la disrupción causada por la pandemia y el fuerte aumento del número de empleados que trabajan desde casa, donde el aumento de las distracciones puede hacer que bajen la guardia.

Sobre la base de sus investigaciones, Wright (profesor de Comercio de C. Coleman McGehee en la Universidad de Virginia) y Jensen (profesor asociado presidencial de Sistemas de Información de Gestión en la Universidad de Oklahoma) han identificado varias maneras de reforzar la eficacia de la capacitación en materia de seguridad.

Aquí están sus consejos:
Añadir un componente de atención plena

Muchas organizaciones requieren que los empleados completen módulos de capacitación estándar de forma regular. Eso es útil para alertar a las personas sobre amenazas comunes y darles pautas básicas para evaluar los mensajes entrantes, dicen los investigadores.
Pero la simple repetición del entrenamiento basado en reglas no aumenta necesariamente la resistencia a los ataques, advierten. De hecho, después de un punto puede ser contraproducente, debido a que puede desensibilizar a la gente hacia el entrenamiento y darles un falso sentido de dominio sobre las lecciones, que luego ignoran.

Parte del problema es que la capacitación basada en reglas promueve el pensamiento del Sistema 1, como lo llama el psicólogo ganador del Premio Nobel, Daniel Kahneman. Este tipo de procesamiento rápido y automático es eficiente, pero puede dar lugar a decisiones descuidadas y deja a los empleados vulnerables a ataques que se apartan de las reglas.

“En lugar de pedir a la gente que memorice una lista de claves que cambian constantemente”, dice Wright, “las organizaciones pueden adoptar una actitud más holística”: y agregar una instrucción de atención plena. El objetivo es fomentar el pensamiento del Sistema 2, que es un enfoque más reflexivo y analítico.

En un estudio de campo en el que participaron 355 estudiantes universitarios, profesores y miembros del personal, los investigadores compararon tres grupos de participantes, quienes habían pasado por una formación básica de seguridad.

El primer grupo recibió instrucción adicional basada en reglas. Al segundo grupo se le enseñó a usar técnicas simples de atención plena: Pausar si un correo electrónico solicita acción; considerar la naturaleza, el momento, el propósito y la conveniencia de la solicitud; y consultar a un tercero sobre cualquier sospecha. El tercer grupo no recibió capacitación adicional.

Diez días después, los investigadores lanzaron un simulacro de ataque de phishing. Descubrieron que el 13% de los que recibieron entrenamiento adicional basado en reglas tomaron el anzuelo, al igual que el 23% de los que no recibieron entrenamiento adicional, pero solo el 7% de los que se instruyeron en técnicas de atención plena cayeron en la trampa.
El trabajo posterior del investigador Christopher Nguyen obtuvo resultados similares y demostró que la resistencia aumentada duró varios meses.

Acércate a todo el equipo


Las medidas de seguridad a menudo se ven frustradas por el problema del “eslabón más débil”: si una sola persona responde a un ataque, puede tener éxito. Para entender si la dinámica de grupo puede disminuir esta vulnerabilidad, Wright y sus colegas hicieron un experimento de campo de dos años en la unidad financiera de 180 personas de una gran universidad

Al hacer un mapeo de las posiciones de los empleados en sus grupos de trabajo y redes sociales y suplantación de identidad varias veces, se enteraron de que cuanto más centrales, o conectadas en cualquier tipo de grupo, estaban las personas, menos probabilidades tenían de sucumbir a un ataque.

Por ejemplo, los empleados del cuartil superior de centralidad en sus grupos de trabajo hicieron clic en los enlaces de los mensajes de phishing solo el 14% de las veces, mientras que los empleados del cuartil inferior lo hicieron el 35% de las veces. Los investigadores también descubrieron que cuanto mayor eficacia informática general de un equipo, más resistente era cada miembro a los ataques de phishing.

Estos hallazgos indican que los empleados pueden aprender valiosas lecciones de seguridad de sus compañeros de equipo, una dinámica que los gerentes podrían aprovechar. “Los gerentes podrían realizar entrenamientos de equipo y responsabilizar a cada equipo de los resultados, en lugar de decir: ‘En esta época del año: complete su capacitación de IT cuando pueda’ y luego nunca hable de ello”, aconseja Wright.

Las organizaciones también podrían utilizar el análisis de redes para identificar a los empleados especialmente susceptibles y proporcionarles capacitación adicional a las personas que son periféricas o nuevas en sus equipos.

Una de las conclusiones del estudio tomó por sorpresa a los investigadores: cuanto más interactuaran con los empleados o incluso confiaran en su servicio de asistencia de IT, más probabilidades serían de caer en phishes.

Esas personas pueden haberse sentido “indemnizadas” contra las amenazas, afirman los investigadores. “Si se roba una tarjeta de crédito, la compañía de tarjetas de crédito cubre las pérdidas, haciendo que la gente esté menos preocupada por proteger sus tarjetas; teorizamos que algo similar está sucediendo aquí”, explica Wright. “Si la gente piensa, ‘El servicio de ayuda me mantendrá a salvo si hago clic en algo mal’, no son dueños de la protección de sus datos ni aprenden de sus interacciones”.

Los gerentes podrían incentivar a los empleados haciendo que el cumplimiento de normas de seguridad sea parte de sus revisiones anuales, dice, y los mostradores de ayuda podrían asegurarse de que los usuarios comprendan las señales de advertencia que perdieron en lugar de simplemente solucionar el problema, como ocurre comúnmente.

Usa entrenamiento gamificado


Otra forma de aprovechar la dinámica de grupos es agregar un elemento competitivo a los ejercicios de ciberseguridad. Investigadores llevaron a cabo tres experimentos en los que participaron 568 personas que desempeñaron el papel de un pasante. A todos se les enseñó a identificar y reportar mensajes sospechosos y luego le dieron una variedad de tareas, entre ellas la gestión de la bandeja de entrada del jefe.

A medida que los sujetos prosiguieron su trabajo, encontraron cinco correos electrónicos de phishing. En los dos primeros experimentos, sus informes fueron publicados en tablas de clasificación de diferentes diseños. En el tercer experimento, se compararon las tablas de clasificación con otras medidas antiphishing, individualmente y en combinación: un video de capacitación, etiquetas que marcan los correos electrónicos como «externos» si procedían de fuera de la organización, y etiquetas que advierten que los correos electrónicos particularmente sospechosos podrían ser phishes.

La tabla de clasificación fue muy eficaz para alentar los informes mientras mantenía los falsos positivos bajo control; solo las etiquetas que advertían explícitamente que los correos electrónicos podrían ser phishes obtuvieron mejores resultados. Esto era especialmente potente cuando se combinaba con el entrenamiento. Pero algunos diseños resultaron mejores que otros.

La configuración óptima hizo que las identidades de los reporteros fueran visibles para todos y ambos otorgaron puntos por informes correctos. “La motivación externa resultó ser mucho más efectiva que los incentivos intrínsecos”, dice Jensen.

Nadie va a pasar tiempo cazando phishes por diversión. Sin embargo, las organizaciones pueden adoptar estas medidas para hacer hincapié en la importancia de la detección y la presentación de informes y para que esas actividades sean más eficaces y gratificantes. Cuando se trata de la caída de los empleados por mensajes fraudulentos, “es realmente difícil llegar a cero”, dice Jensen. “Tienes que tomar un enfoque por capas”.

LEE MÁS CONTENIDO
¿QUÉ TEMA TE INTERESA?