¿Qué es la formación sobre phishing?
La formación de concienciación sobre phishing es un tipo de formación de concienciación sobre seguridad diseñada para enseñar a los empleados a detectar correos electrónicos de phishing.
Los programas de formación combinan contenidos escritos, vídeos, infografías y simulaciones de phishing para mostrar a los empleados las técnicas que utilizan los actores de amenazas para lanzar ataques de phishing, ingeniería social y spear phishing.
Cómo funciona la formación sobre phishing
La formación sobre phishing se basa en ejercicios de simulación de phishing. En un simulacro de phishing, el equipo de TI o de seguridad enviará a los empleados correos electrónicos falsos de phishing y medirá su índice de clics.
Supongamos que la tasa de detección de un usuario para estos correos electrónicos de phishing simulados cae por debajo de un determinado umbral. En ese caso, se les puede notificar y proporcionar materiales de formación justo a tiempo para ayudarles a detectar correos electrónicos fraudulentos de forma más sistemática.
Los materiales de formación pueden incluir
- Contenido escrito y guías
- Vídeos cortos de menos de 5 minutos
- Infografías
- Pósters/hojas informativas
- Minijuegos
- Formación dirigida por un instructor
Por ejemplo, una guía escrita podría ser algo tan sencillo como “5 formas de detectar un correo electrónico de phishing”, “5 ejemplos de correos electrónicos de phishing que tuvieron éxito” o “Cómo denunciar un correo electrónico de phishing”.
Los simulacros de phishing también proporcionan una medida de referencia de la concienciación de los empleados, que la organización puede intentar mejorar con el tiempo y evaluar la eficacia de los materiales de formación existentes. También proporciona una forma de identificar y apoyar a los empleados de alto riesgo.
¿Por qué es importante la formación sobre phishing?
La formación sobre phishing es esencial porque enseña a los empleados cómo responder a uno de los tipos más comunes de ciberataques, que representan el 36% de todas las violaciones de datos en Estados Unidos.
Al mismo tiempo, a medida que las herramientas comerciales de IA generativa como ChatGPT se hacen cada vez más populares, así como las soluciones de IA oscura como WormGPT y FraudGPT, las organizaciones necesitan estar preparadas para hacer frente a un panorama de amenazas repleto de correos electrónicos fraudulentos cada vez más convincentes y bien escritos.
En este entorno, la realidad es que sólo se necesita un correo electrónico bien escrito para engañar a un empleado para que descargue un archivo adjunto con malware o visite un sitio web de phishing para iniciar una violación de datos que puede costar millones.
La formación sobre phishing ofrece a las organizaciones una forma de hacer frente a estas amenazas, ayudando a mitigar los errores humanos y proporcionando a los empleados los conocimientos necesarios para detectar estas estafas.
Ofrecer a los empleados ejercicios como simulaciones de phishing que pongan a prueba sus conocimientos prácticos sobre las estafas basadas en el correo electrónico y materiales de formación complementarios reduce la posibilidad de que hagan clic en un enlace o archivo adjunto malicioso en el futuro.
¿Proveedor de formación sobre phishing o “hazlo tú mismo”?
A la hora de crear un programa de concienciación sobre phishing, las organizaciones pueden elegir entre materiales de formación internos o un programa prediseñado creado por un proveedor externo (normalmente parte de una plataforma todo en uno).
El diseño de un programa interno ofrece a la organización un mayor control sobre la estructura y la marca de los materiales de formación, pero requiere mucho tiempo.
Por el contrario, trabajar con un proveedor externo puede proporcionar acceso a una biblioteca de materiales de formación predefinidos, que pueden personalizarse, así como a funciones como cuadros de mando e informes, que permiten a los directivos supervisar el rendimiento de los empleados a lo largo del tiempo.
Trabajar con un proveedor externo es ventajoso si una organización desea crear rápidamente un programa de concienciación con materiales de formación existentes, plantillas de phishing o funciones más avanzadas como pruebas e informes automatizados ya creados.
Cabe destacar que algunos proveedores también permiten a las organizaciones utilizar marcas personalizadas para sus materiales de formación.
¿Qué prácticas recomendadas debe enseñar la formación sobre phishing?
Al crear un programa de concienciación sobre el phishing, deben incluirse algunas prácticas recomendadas como parte de los materiales de formación. Algunas de ellas son las siguientes:
- Nunca hagas clic en enlaces o archivos adjuntos de correos electrónicos de usuarios desconocidos;
- Ten cuidado con el lenguaje de alta presión en los mensajes de correo electrónico que tratan de apresurarle a actuar;
- Comprueba dos veces si hay URL sospechosas en los correos electrónicos entrantes;
- Configura filtros antispam en las cuentas de correo electrónico para filtrar las estafas de phishing.
- Notifica los correos electrónicos de phishing al equipo informático;
- Selecciona contraseñas sólidas en las cuentas en línea;
- Activa la autenticación multifactor en las cuentas en línea para añadir un paso más al proceso de verificación;
- Mantén actualizados el hardware y las aplicaciones con los últimos parches de seguridad para que sean menos vulnerables a la explotación;
- Instala herramientas antivirus y antimalware en los dispositivos de los usuarios finales para reducir la posibilidad de infecciones por malware.
- La realización conjunta de cada una de estas acciones puede ayudar a reducir significativamente la exposición de un empleado a los actores de amenazas y convertirlo en un objetivo más difícil de explotar.
Cómo mantener el compromiso en la formación sobre phishing
El compromiso de los empleados es uno de los retos más importantes a la hora de implementar la formación de concienciación sobre el phishing. Después de todo, si los empleados no se comprometen con los materiales de formación, sus conocimientos no mejorarán.
Las organizaciones pueden intentar maximizar el compromiso tomando algunas medidas sencillas:
- Explicar por qué es esencial la concienciación sobre el phishing: Una forma de aumentar el compromiso de los empleados es simplemente explicarles cómo la formación sobre phishing puede ayudarles a proteger mejor su organización y sus cuentas personales en línea.
- Ofrezca incentivos y recompensas: Puede crear una tabla de clasificación de concienciación sobre phishing y ofrecer a los empleados recompensas, como un regalo o una tarjeta regalo, vales o tiempo libre por alcanzar un determinado umbral.
- Utilice materiales de formación atractivos: El uso de materiales de formación sencillos y atractivos, como vídeos e infografías, puede hacer que los materiales de formación sean más fáciles de digerir para los empleados.
- Proporcionar certificación: Ofrecer a los empleados un certificado por aprobar un simulacro de phishing puede ayudar a demostrar que usted reconoce su progreso y valora su participación.
La concienciación sobre la suplantación de identidad es una concienciación sobre la seguridad
La concienciación sobre el phishing es un componente esencial de la ciberseguridad moderna. La mayoría de las veces, si un atacante quiere acceder a un entorno, recurrirá a técnicas de bajo riesgo y alta recompensa como el phishing y las estafas de ingeniería social.
Si proporciona a sus empleados las herramientas que necesitan para detectar estas amenazas, obligará a muchos piratas informáticos a buscar un objetivo más fácil.