elena@8layer-latam.com
Elena Farfan hace 8 meses
elena@8layer-latam.com #phishing

8Layer te enseña Cómo Realizar Con Éxito Una Campaña De Simulación De Phishing

Las campañas de simulación e phishing es una metodología eficiente para enseñar a los colaboradores a detectar mensajes que pueden resultar engañosos y de mucha ayuda para poder combatir el phishing. Paraque estas campañas resulten exitosas se requiere de una prvia planificación, comunicación y análisis.

El phishing de correo electrónico es la principal causa de robo de credenciales de acceso y es un método exitoso utilizado para infectar las redes de TI con Ransomware. En 2022, el phishing fue una de las dos técnicas más populares y eficaces utilizadas por los ciberdelincuentes para hackear las redes corporativas.


El phishing suele tener éxito para los ciberdelincuentes ya que ocultan contenido malicioso para evitar su detección por parte de las herramientas de seguridad. También tiene éxito ya que engañan y manipulan a los colaboradores, convirtiéndolos así en informantes de forma involuntaria.


Le dejamos algunas pautas para garantizar que sus campañas de simulación de phishing funcionen de la manera correcta.


Pasos para el éxito de una campaña de simulación de phishing

Las campañas de phishing de simulacro se diseñan para automatizar la formación en seguridad y ofrecer experiencias de aprendizaje directamente a los colaboradores. Estos paquetes de formación de phishing ofrecen correos electrónicos de phishing con un aspecto muy realista, que siguen las campañas de phishing en la vida real.


No obstante, para sacarle el máximo provecho a estas hay que saber planificarlas, conocer el panorama de las amenazas de phishing, comunicarse con los colaboradores y comprender cómo se relacionan los objetivos de su empresa con sus necesidades de ciberseguridad.


Para sacarle el máximo provecho de una campaña debes seguir estos pasos:

Toda campaña que es exitosa se basa en un sólido trabajo de preparación. La preparación debe abarcar las siguientes áreas:


  1. Investigue las tendencias actuales de los correos electrónicos de phishing para ofrecer mensajes de phishing simulados más realistas: Pregunte a su equipo o a sus asesores qué tipo de correos electrónicos se están utilizando para dirigirse a su industria o sector. ¿Son populares las aplicaciones y marcas específicas, por ejemplo, Microsoft 365, como objetivos de suplantación en las campañas de phishing? Recopila estos datos para utilizarlos durante la parte de "construcción" de tu campaña.
  2. ¿Con qué frecuencia se enviarán los correos electrónicos de phishing simulados? Puede ser semanal, mensual, trimestral, etc. La frecuencia de las campañas debe estar en consonancia con su estrategia global de riesgos de ciberseguridad.
  3. Comuníquese con los empleados. Desarrolle un conjunto de instrucciones claras para los empleados sobre cómo informar de cualquier correo electrónico de phishing identificado, y/o ataques de ingeniería social asociados. Esto debería incluir detalles sobre cómo capturar los detalles de la amenaza.
  4. Decidir cómo seguir formando a los colaboradores que no detectan los correos electrónicos de phishing. Se debe explorar el uso de la educación "en el punto de necesidad" para centrarse en una formación mejorada.
  5. Esté preparado para ajustar su estrategia y el trabajo de preparación asociado a medida que cambia el panorama del phishing.


Construyendo su campaña de phishing


Una plataforma de automatización de phishing de simulación de phishing permitirá generar los elementos necesarios para realizar la campaña esto incluye la creación de plantillas de phishing. Una plataforma de automatización de simulación de phishing ofrecerá plantillas que se basan en las amenazas de phishing conocidas actualmente, utilizando las marcas falsas más comunes. Dado que ciertos sectores tienen amenazas específicas, estas plantillas deben ser modificables para reflejar esas especificidades.


Lo importante es que las plantillas sean fáciles de ajustar y configurar por el administrador de la campaña mediante una consola de gestión centralizada.


Crear experiencias de aprendizaje que hagan que la formación se mantenga


El objetivo de las campañas de simulación de phishing es educar a los empleados sobre cómo detectar un correo electrónico de phishing y cambiar el comportamiento de "impulso de hacer clic " en el que se basan los estafadores. Para garantizar una experiencia de aprendizaje memorable y eficaz, una plataforma de simulación de phishing debe proporcionar una experiencia de aprendizaje "en el punto de necesidad".

Los elementos típicos de este tipo de aprendizaje interactivo son la presentación de un aviso de advertencia, una infografía relevante, una encuesta para capturar métricas para una mayor adaptación de la formación, etc., a cualquier colaborador que no detecte un correo electrónico de phishing.


Este punto de necesidad explicará lo que ha ocurrido y los peligros asociados a un correo electrónico de phishing. Algunos sistemas avanzados irán un paso más allá y educarán al colaborador en estrategias de evasión para ayudar a prevenir futuros intentos de phishing.


Recoger y analizar las métricas


A medida que avanza la campaña de phishing simulada, se debe animar a los empleados a que informen de los correos electrónicos de phishing observados. El conjunto de instrucciones que desarrolle durante la fase de planificación es la base para que los empleados denuncien los intentos de phishing.


Algunas plataformas automatizadas de simulación de phishing ofrecen un panel de métricas que utiliza los datos capturados de la campaña de phishing simulada para analizar el índice de éxito de la campaña.


Aclarar y repetir la campaña de phishing simulada


El panorama del phishing cambia constantemente, ya que los estafadores se esfuerzan por evadir la detección. Para adaptarse a este cambio, las campañas de phishing simuladas también deben actualizarse de acuerdo con estos cambios. Esto significa que su campaña de simulación de phishing probablemente cambiará para reflejar el panorama del phishing, regularmente y a lo largo del tiempo.


La frecuencia con la que lo haga vendrá determinada por su análisis general de riesgos de seguridad. Las recomendaciones sobre los periodos entre campañas varían, pero cada 4-6 semanas es una buena regla general. Sin embargo, los plazos de entrega de las campañas también deben ajustarse si aparecen cambios significativos en el panorama del phishing, como ocurrió durante la pandemia de Covid-19.


Hora de pescar


Un estudio realizado por investigadores de la Agencia de Investigación de Defensa sueca reveló que el 24% de los destinatarios de correos electrónicos de phishing hacen clic en un enlace y el 21% introducen sus contraseñas en sitios falsos. Esta alarmante cifra muestra la importancia vital de utilizar una educación pertinente y centrada en el phishing para los empleados.


Pero hacer que esta educación sea efectiva requiere un plan de acción. Siguiendo las sugerencias de 8Layer chile, puede asegurarse de que su campaña de simulación de phishing tenga éxito y detenga los intentos reales y maliciosos de phishing antes de que perjudiquen a su empresa.


1
187

Login to Post comments

Comentarioss 0
¿Qué es el autoservicio de TI y por qué lo necesitas?

¿Qué es el autoservicio de TI y por qué lo necesitas?

defaultuser.png
Elena Farfan
 hace 4 meses
Regla del 3-2-1-1-0 La clave para proteger tus datos

Regla del 3-2-1-1-0 La clave para proteger tus datos

defaultuser.png
Elena Farfan
 hace 6 meses
Plan de concienciación de seguridad informática

Plan de concienciación de seguridad informática

defaultuser.png
Elena Farfan
 hace 10 meses
Regla del 3-2-1-1-0: la clave para proteger tus datos

Regla del 3-2-1-1-0: la clave para proteger tus datos

defaultuser.png
Elena Farfan
 hace 2 meses
El Rol De Las Mujeres En El Mundo TI; Una Brecha Que Aún Persiste

El Rol De Las Mujeres En El Mundo TI; Una Brecha Que Aún Persiste

defaultuser.png
Elena Farfan
 hace 1 año