Una página de inicio de sesión de Google falsa increíblemente precisa. Emma Williams, CC BY-NDUna página de inicio de sesión de Google falsa increíblemente precisa. Emma Williams, CC BY-ND

Las empresas son bombardeadas con estafas de phishing todos los días. En una encuesta reciente de más de los profesionales de seguridad cibernética de 500 en todo el mundo, 76% reportaron que su organización fue víctima de un ataque de phishing en 2016. La conversación

Estas estafas toman la forma de correos electrónicos que intentan persuadir al personal de descargar archivos adjuntos maliciosos, hacer clic en enlaces dudosos o proporcionar detalles personales u otros datos confidenciales. Se culpó a una campaña de correo electrónico de "phishing" dirigida por instigar el reciente ataque cibernético que causó una corte de energía importante en Ucrania.

Aún más preocupante, los ataques de phishing son ahora la forma más popular de entregar ransomware a la red de una organización. Este es un tipo de software que normalmente encripta archivos o bloquea pantallas de computadoras hasta que se pague un rescate. Las cantidades demandadas son generalmente bastante pequeño, lo que significa que muchas organizaciones simplemente pagarán el rescate sin, por supuesto, ninguna garantía de que sus sistemas estén desbloqueados. En vista de estos ataques de phishing, los empleados se han convertido en primera línea de seguridad cibernética. Reducir su vulnerabilidad a los correos electrónicos de phishing se ha convertido en un desafío crítico para las empresas.

Problemas disciplinarios

A medida que las organizaciones luchan para contener la amenaza, una idea que está ganando tracción es el uso potencial de procedimientos disciplinarios contra el personal que hace clic en correos electrónicos de phishing. Esto abarca desde la finalización de la capacitación adicional hasta la acción disciplinaria formal, especialmente para los llamados "repetidores repetidores" (personas que responden a los correos electrónicos de phishing más de una vez). Ellos representan un Punto débil particular en seguridad cibernética.

gráfico de suscripción interior

Esto no es necesario, ni tampoco es una buena idea. Para empezar, todavía no entendemos qué hace que las personas respondan a los correos electrónicos de phishing en primer lugar. La investigación solo está arañando la superficie de por qué las personas pueden responder a ellos. Hábitos de correo electrónicolugar de trabajo cultura y normas, el grado de conocimiento que tiene un individuo, si un empleado está distraído o bajo un alto grado de presión - hay comprensión variada de los riesgos en línea, todo lo cual puede influir en si las personas pueden identificar un correo electrónico de phishing en un momento determinado.

Desafortunadamente, esto significa que todavía hay más preguntas que respuestas. ¿Son algunos de los puestos de trabajo más vulnerables debido a los tipos de tareas que realizan? ¿La capacitación es efectiva para educar al personal sobre los riesgos de los ataques de phishing? ¿Los empleados pueden priorizar la seguridad sobre otras demandas laborales cuando sea necesario? Entre estas incógnitas, centrarse en un enfoque disciplinario parece prematuro y corre el riesgo de dejar de lado otros esfuerzos que pueden ser más efectivos.

Los ataques de phishing dirigidos también son cada vez más sofisticados y difíciles de detectar, incluso para usuarios técnicos. Ataques recientes (en PayPal y Google, por ejemplo) demuestran esto.

Ahora es increíblemente fácil crear un correo electrónico fraudulento que se ve muy similar, si no casi idéntico, a uno legítimo. Las direcciones de correo falsificadas, la incorporación de logotipos precisos, los diseños correctos y las firmas de correo electrónico pueden dificultar la distinción entre un correo electrónico de phishing y uno genuino.

Mantenga la calma y continúe

Phishers también son muy buenos en creando escenarios que maximiza la probabilidad de que las personas respondan. Inculcan una sensación de pánico y urgencia por cosas como imitar figuras de autoridad dentro de una organización para crear una sensación de crisis. O se enfocan en el impacto negativo potencial de no responder. Cuando reconocemos la mayor sofisticación que se muestra en el arsenal del phisher, se vuelve más difícil justificar penalizar a los empleados por ser víctimas de sus trucos.

Los ataques de phishing simulados se utilizan a menudo como una forma de aumentar la conciencia entre los empleados. Si bien ha habido sugerencias de tasas de clics mejoradas siguiendo tales programas, se carece de una evaluación exhaustiva del rango de impactos potenciales en los empleados. Y algunas investigaciones señala el potencial que los empleados simplemente dejan de tratar de lidiar con la amenaza, ya que parece una batalla perdida.

Una cultura de culpa y victimización también puede hacer que los empleados estén menos dispuestos a admitir sus errores. Cualquiera de estos resultados es probable que dañe la relación entre el personal de seguridad de una organización y sus otros empleados. A su vez, esto tendrá un impacto negativo en la cultura de seguridad de la organización. Sugiere un regreso a un papel autoritario para la seguridad, que investigación muestra es un paso atrás si queremos involucrar plenamente a los empleados en las iniciativas de seguridad.

Mitigar la exposición de una organización a los ataques de phishing representa un desafío complejo y en evolución. El reciente #AskOutLoud campaña del gobierno australiano alentar a las personas a pedir una segunda opinión cuando reciben un correo electrónico sospechoso proporciona un buen ejemplo de cómo este desafío puede comenzar a abordarse. Fomenta la conversación y las experiencias compartidas. El uso de este enfoque puede garantizar que los empleados se sientan fortalecidos y alentados a reportar sospechas, un elemento vital para mantener la ciberseguridad.

La investigación es limpiar que la ciberseguridad depende del diálogo abierto, la participación de los empleados cuando se trata de desarrollar soluciones y la confianza entre el personal de seguridad de una organización y otro personal. Como dice el viejo cliché: eres tan fuerte como tu enlace más débil. Por lo tanto, es imperativo que todos los empleados reciban apoyo para ser una línea de frente efectiva en la defensa de su organización.

Sobre el Autor

Emma Williams, investigadora, Universidad de Bath y Debi Ashenden, Profesora de Ciberseguridad, Universidad de Portsmouth

Este artículo se publicó originalmente el La conversación. Leer el articulo original.

Libros relacionados

at InnerSelf Market y Amazon