Cómo ejecutar una prueba de phishing con éxito para tus empleados

El último año ha sido el más prolífico en cuanto a ciberataques y, en consecuencia, no es sorprendente que en el 2023 cada vez más empresas sean víctimas de ciberataques.

En estos tiempos inquietantes, es importante asegurarte de que tu negocio sea lo más ciberseguro posible, por eso a continuación te informamos sobre una de las formas más comunes de estafa: el phishing.

¿Qué es el phishing?

El phishing es la práctica de crear un «señuelo» que invita a los empleados a realizar una acción, como hacer clic en un enlace. Esto suele ocurrir a través del correo electrónico, pero recientemente también ha habido un aumento en el phishing por SMS, que se sospecha se debe a la pandemia.

Las estafas de suplantación de identidad adoptan la forma de comunicaciones que parecen provenir de fuentes confiables, como proveedores de atención médica, la Administración, la Policía o sitios de compras populares. A menudo afirman que el destinatario debe dinero, que no ha pagado una factura a tiempo o incluso que existe una orden de arresto.

El mensaje incluirá un enlace o archivo adjunto que llama al destinatario a completar una acción correspondiente, como «Pague aquí» o «Visite nuestra página web».

Sin embargo, si el destinatario completa esta acción, lo que sigue suele ser la filtración de sus datos bancarios al ciberdelincuente o la inyección de malware en su dispositivo. Ambos son extremadamente difíciles de resolver.

Como puedes imaginar, este proceso es particularmente aterrador para las personas mayores o aquellos con un nivel más bajo de conocimientos informáticos, pero afecta a todas las áreas de Internet, incluidas las empresas.

Existen varios tipos diferentes de este fenómeno, pero en esencia, “phishing” es sinónimo de fraude. Las personas que hacen esto se aprovechan de las ansiedades de las personas acerca del uso de Internet, o de que algo le suceda a su dinero o incluso a sus seres queridos.

Es una práctica atroz y es increíblemente importante reconocer los efectos que puede tener en tu empresa y en tus empleados.

¿Cuáles son los efectos en tu negocio?

Los tipos de estafas de phishing que se dirigen a las empresas difieren de los que se dirigen a las personas.

En lugar de pretender ser de una de las entidades antes mencionadas, las estafas dirigidas a empresas se disfrazarán de cosas como auditores, contables o incluso gerentes. En lugar de hacer clic en un enlace, la parte de acción a menudo tomará la forma de un archivo adjunto de una imagen o PowerPoint.

Aquí es donde se vuelve especialmente complicado.

Todos sabemos lo importante que es la gestión del SEO para la empresa. Los ciberdelincuentes también lo saben. En lugar de robar tu dinero, pueden adjuntar malware que automáticamente dejará spam o críticas negativas de tu negocio, reduciendo tu SEO y arruinando tu reputación.

Esto es particularmente peligroso para las empresas que ejecutan una estrategia de SEO SaaS, porque ya se ejecutan casi exclusivamente online y, como resultado, ciberataques como estos pueden ser especialmente dañinos.

Todo esto puede sonar un poco como una sentencia de muerte para tu negocio, pero no te asustes. Tenemos algunos consejos para que minimices el riesgo de estafas de phishing y mantengas tu empresa lo más segura posible online.

Ejecución de una prueba de phishing satisfactoria

En términos de protección contra estafas de phishing, las pruebas de phishing son uno de los métodos más efectivos. Proporcionan una experiencia de la vida real para tus empleados, por lo que sabrán exactamente qué hacer si se encuentran cara a cara (virtualmente) con un estafador real.

¿Qué implican?

Las pruebas de phishing son simulaciones para tu negocio. En resumen, se enviará una campaña de phishing falsa creada por un pequeño equipo, generalmente por correo electrónico, para probar cómo tu personal puede detectar contenido sospechoso.

Después de un cierto período de tiempo, todos serán informados. Aquellos que se “cayeron” reciben capacitación adicional para detectar comunicaciones maliciosas, y aquellos que no lo hicieron reciben un resumen básico de lo que deben buscar.

Consejos para optimizar una prueba de phishing

Eso es todo en pocas palabras, pero aquí hay algunos consejos para optimizar tu prueba de phishing:

• La comunicación es clave: Tu plan de comunicación tiene que ser sólido como una roca al preparar este tipo de simulaciones, de lo contrario, corres el riesgo de que tu equipo entre en pánico masivo. Acuerda con ellos de antemano cuántos correos electrónicos planeas enviar, cuándo se enviarán y a quién. Es importante escalonar su liberación, de lo contrario, tus empleados podrían comenzar a sospechar.
• Control de calidad: El proceso de control de calidad es crucial para estas campañas. Tener un procedimiento de garantía de calidad sólido optimizará el éxito de tu simulación de phishing. De hecho, estos ejercicios de formación mejoran la garantía de calidad general de tu empresa. Piénsalo: cuanto menos tu negocio sea víctima de este tipo de estafas, menos se verá afectado tu SEO y mejores serán tus calificaciones generales. Considera utilizar funciones como un servicio de control de calidad automatizado, para aliviar la tensión y permitirte concentrarte en otras áreas de tu campaña, como el contenido y el trabajo analítico que seguirá.
• Análisis: Una vez que hayas enviado tu campaña, deberás realizar un seguimiento de quién está mordiendo el anzuelo. ¿Cuánto tiempo dejan el correo electrónico antes de completar la acción? ¿Dan algún paso después de esto? Podría valer la pena considerar contratar a un desarrollador de RPA o similar, especialmente si tu empresa tiene una mayor cantidad de empleados. Podría establecer un programa que clasifique a tus trabajadores en las categorías, diferenciando los que han picado el anzuelo y los que no. De todos modos, siempre vale la pena automatizar las cosas con la mayor frecuencia posible, especialmente si tu empresa opera online la mayor parte del tiempo. Es más rápido, reduce el error humano y el coste es casi siempre una inversión que vale la pena.
• Interrogar: Hemos hablado sobre la importancia de ser sincero con tu fuerza de trabajo una vez finalizada la campaña, pero ¿cuál es exactamente la mejor manera de hacerlo? Necesitas una forma de comunicarte con todos cara a cara. Es más probable que las personas recuerden su capacitación si se entrega en persona, por lo que enviar un correo electrónico no es el mejor curso de acción aquí. Sin embargo, las llamadas telefónicas son un buen compromiso porque tus empleados pueden escuchar una voz y hacer preguntas en tiempo real. Si tienes un número particularmente grande de empleados, tal vez consideres usar el método de reunión de pie. Eso significa llevar a cabo una serie de reuniones informales con grupos pequeños de personas. Son más fáciles de administrar, puedes asegurarte de que todos conozcan todos los puntos importantes y creas un ambiente amigable. Después de todo, no estás tratando de reprenderlos, simplemente les estás dando las herramientas que necesitan para mantenerse lo más seguros posible.

¿Ahora que?

Una vez que hayas completado con éxito la prueba de tu campaña de phishing, no te queda más remedio que volver a hacerlo. Y otra vez. Y tal vez incluso pasado un tiempo.

Como dijimos, los tiempos siempre están cambiando. Los estafadores constantemente están ideando formas nuevas y mejoradas de engañar a las personas, y tendrás que mantenerte alerta si quieres mantenerte a salvo. Recomendamos realizar una campaña aproximadamente cada año para tener la mejor oportunidad de optimizar la seguridad de Internet de tu empresa.

• Sentido común.
• Educación.
• Leer las señales.
• Informar sobre cualquier cosa sospechosa.

Estas son todas las cosas que son fundamentales para mantener a tus empleados y tu empresa a salvo del fraude. Fomenta el sentido común (es decir, ¿el correo electrónico es realista o es claramente falso?), educa a tu personal sobre las señales de malware o malas intenciones y asegúrate de que tu gente sepa que debe informar sobre cualquier cosa que parezca maliciosa.

Si sigues estos pasos y usas los consejos anteriores, tendrás la mejor oportunidad de vencer a los ciberdelincuentes.

Recuerda: las empresas están hechas de humanos y los humanos pueden cometer errores. A menos que haya robots dirigiendo tu empresa, siempre habrá un margen de error humano. Minimizar esto tanto como sea posible crea una empresa más fuerte y cohesiva.

Me interesa

• 7 formas prácticas de proteger a tu empresa de los piratas informáticos y los ataques de phishing
• Tipos de phishing: cómo reconocerlos y mantenerte a salvo
• Los 10 ciberataques de phishing en los que más suelen «picar» los empleados
• ¿Qué es el Spear Phishing?
• Vishing: voz y phishing para una nueva forma de estafa que aprovecha el teletrabajo para robar