Estudio revela qué empleados son más propensos a caer en el phishing

Cuando se trata de comprometer la red de una empresa, la forma más fácil de comenzar suele ser dirigirse a los empleados mediante campañas de phishing. Ellos son la parte más débil del entorno de tu red.

Por lo tanto, las simulaciones de phishing (también conocidas como pruebas de phishing) se han vuelto cada vez más comunes en las empresas. Estas simulaciones pretenden ser correos electrónicos de phishing reales que llegan a las bandejas de entrada de los empleados, sin contenido malicioso. Muestran una página de phishing realista y recopilan estadísticas sobre quién hizo clic con o sin proporcionar credenciales, cuántos usuarios lo reportaron al personal de seguridad, etc.

Las empresas pueden utilizar servicios profesionales de simulación de phishing o incluso crear su propia simulación de forma gratuita utilizando herramientas como GoPhish.

No importa el método, el objetivo de la simulación de phishing sigue siendo el mismo: conocer mejor los comportamientos de los empleados dentro de la empresa y aumentar la conciencia sobre esa amenaza crítica.

Índice de Contenido
  1. Un estudio de simulación de phishing a gran escala durante 15 meses
  2. ¿Qué usuarios son más propensos a caer en el phishing?
    1. Uso de computadora
    2. Rango de edad
    3. Género
  3. El phishing a largo plazo
  4. Las advertencias son útiles, las páginas educativas no
  5. Los empleados siguen siendo un activo para combatir el phishing

Un estudio de simulación de phishing a gran escala durante 15 meses

Un estudio reciente publicado sobre este tema proviene del departamento de informática del ETH Zurich, una universidad pública suiza centrada en ciencia, tecnología e ingeniería. El estudio se llevó a cabo durante 15 meses en una gran organización (más de 56,000 personas empleadas, alrededor de 14,000 empleados objetivo del estudio), lo que lo convierte en el estudio más grande en términos de escala y duración publicado hasta la fecha.

El método utilizado consistió en enviar correos electrónicos de phishing que llevaban a una página de phishing, o correos electrónicos que contenían un archivo malicioso que incitaba al usuario a realizar una acción peligrosa al abrirlo, como proporcionar credenciales o habilitar macros en un archivo adjunto.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Los correos electrónicos de phishing podían contener advertencias, ya sea cortas o más detalladas (Figura A), mientras que otros correos electrónicos no contenían ninguna advertencia.

Figura A

Estudio revela qué empleados son más propensos a caer en el phishing - Seguridad | Imagen 1 Newsmatic

El empleado también podía reportar los intentos de phishing a través de un botón de reporte instalado en su cliente de correo electrónico. El botón se introdujo antes del estudio y se promocionó en las noticias internas de la empresa.

Una vez que un usuario realizaba una acción peligrosa, la simulación podía llevarlo a una página educativa que explicaba en detalle lo que había sucedido, lo que debería haber buscado para evitar el phishing y consejos para el futuro. También se proporcionó un video instructivo adicional, pruebas y material de aprendizaje sobre phishing, pero el usuario no estaba obligado a verlo o leerlo. Algunos usuarios no recibieron esa página educativa.

¿Qué usuarios son más propensos a caer en el phishing?

El estudio analizó qué tipo de uso de computadora, género y rango de edad realizarían la acción peligrosa (Figura B).

Cómo proteger tu computadora de los virus: métodos y consejos

Figura B

Estudio revela qué empleados son más propensos a caer en el phishing - Seguridad | Imagen 2 Newsmatic

Uso de computadora

Los empleados con un uso especializado de las computadoras (por ejemplo, trabajadores de sucursales que utilizan principalmente un solo software específico) hicieron clic en más enlaces de phishing y realizaron más acciones peligrosas que las otras categorías de usuarios.

Rango de edad

Los empleados más jóvenes hicieron clic más en enlaces peligrosos que los más mayores. Los empleados en el rango de edad de 50 a 59 años también mostraron ser más propensos a caer en el phishing.

Género

Según el estudio, la combinación de género y uso de computadora fue significativa, pero el género por sí solo no lo fue.

El phishing a largo plazo

El estudio se realizó durante 15 meses y demostró que un pequeño número de empleados caerá varias veces en el phishing, especialmente los más jóvenes.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

También reveló que muchos empleados eventualmente caerán en el phishing si se les expone de manera continua. Los investigadores del ETH dijeron que "una fracción bastante grande de toda la base de empleados será vulnerable al phishing cuando se les exponga a correos electrónicos de phishing durante un tiempo suficientemente largo".

Las advertencias son útiles, las páginas educativas no

Al parecer, las advertencias en los correos electrónicos de phishing ayudaron significativamente a evitar que los usuarios hicieran clic en los enlaces, pero las advertencias detalladas no fueron más efectivas que las cortas.

De manera sorprendente, los usuarios que recibieron la página educativa después de caer en una estratagema de phishing hicieron clic más en las futuras páginas de phishing. Los investigadores suavizaron este resultado con el hecho de que solo se podía aplicar a esta forma particular de impartir capacitación voluntaria y que otros métodos podrían ofrecer resultados diferentes.

Los investigadores trataron de encontrar la causa de este hallazgo significativo en el cuestionario posterior al experimento completado por los empleados. Una posible explicación es una sensación falsa de seguridad relacionada con el método de capacitación implementado: el 43% de los encuestados seleccionaron la opción "Ver la página de capacitación me hizo sentir seguro" y el 40% seleccionó "La empresa me está protegiendo de los correos electrónicos maliciosos." Queda como una pregunta abierta para futuros trabajos explorar si esto se debe a una malinterpretación de la página de capacitación (por ejemplo, los empleados pensaron que estaban protegidos de un caso real de phishing) o a una excesiva confianza en el departamento de TI de la empresa.

Los empleados siguen siendo un activo para combatir el phishing

El estudio señaló que los usuarios continuaron reportando correos electrónicos de phishing con el tiempo y que no hubo ningún tipo de "fatiga de reporte" en la empresa. Un número significativo de usuarios estuvieron activos en la denuncia. Los informantes más activos fueron aquellos que mostraron las mejores habilidades informáticas esperadas. Los usuarios reportantes también se sintieron animados al recibir comentarios positivos.

El 10% de los informes se enviaron dentro de los cinco minutos de recibir el correo electrónico. La mayor parte, entre el 30% y el 40% de los informes, se envió dentro de los 30 minutos (Figura C).

Protege tus contraseñas con PAM: Tu aliado para la seguridad

Figura C

Sin embargo, para que este tipo de colaboración sea efectiva, los empleados todavía necesitan una forma conveniente y sencilla de denunciar casos de phishing. Un botón en su cliente de correo electrónico parece ser una buena opción.

Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Estudio revela qué empleados son más propensos a caer en el phishing , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.