A estas alturas, casi todas las personas que conoces han hecho clic en un enlace malo o respondido a un mensaje de texto sospechoso en algún momento de su vida, incluso si no cayeron por completo en la estafa al ingresar su contraseña o descargar ransomware. ¿Cómo podemos entender mejor por qué el phishing es un delito tan eficaz? ¿Por qué algunas personas completan el falso "embudo de ventas" del estafador y entregan las joyas de la corona de su mundo digital? ¿Cómo podemos ayudar a las personas a rechazar la carnada?

El torneo anual Gone Phishing Tournament (GPT) fue creado por el servicio Terranova Security de Fortra y Microsoft para responder estas preguntas. El torneo del año pasado, realizado en octubre de 2023, estableció récords y reveló algunas verdades incómodas sobre el phishing en la década de 2020.
 

¿Qué es el Gone Phishing Tournament?

GPT es un evento anual gratuito de capacitación mediante simulación de phishing, diseñado para ayudar a las organizaciones y a los líderes de seguridad a comprender mejor sus áreas de alto riesgo. Al proporcionar datos de referencia sobre phishing basados en los hallazgos del evento, las organizaciones pueden aprender sobre sus vulnerabilidades, comparar su desempeño y establecer objetivos realistas para el cambio de comportamiento.

GPT se enfoca en una sola amenaza de phishing realista. La simulación de 2023 apuntó a los empleados con una falsa notificación de vencimiento de contraseña, una táctica cibernética cada vez más común. El correo electrónico de phishing permitía a los destinatarios conservar sus contraseñas existentes, en contra de las mejores prácticas de ciberseguridad, aprovechándose de nuestra tendencia a evitar la molestia de restablecer las contraseñas.

Si el destinatario hacía clic en el enlace de la contraseña, se le enviaba a una página de destino para solicitar sus credenciales. Si se enviaban sus credenciales, se les notificaba que formaban parte del Gone Phishing Tournament y que habrían sido víctimas de phishing si esto no hubiera sido una simulación.

Casi 300 organizaciones participaron en el evento de 2023, lo que lo convirtió en uno de los eventos de simulación de phishing más grandes de su tipo. Más de 1.37 millones de personas recibieron el correo electrónico de phishing, y estos mensajes se enviaron en 31 idiomas.

Resultados y revelaciones

El reciente GPT reveló una tendencia preocupante: a pesar de una mayor concienciación, las organizaciones siguen siendo susceptibles a los ataques de phishing. Poco más del 10% de los empleados hizo clic en el enlace de phishing, un pequeño aumento respecto de 2022. 

Aún más alarmante fue la gran proporción de personas que hicieron clic en el enlace frente a las que enviaron sus contraseñas. De las personas que hicieron clic en el enlace de phishing, 6 de cada 10 divulgaron sus credenciales. 

Si bien los resultados muestran por qué el phishing sigue siendo un problema tan persistente, todos podemos trabajar para ayudarnos mutuamente a decir no al phishing.

Conclusiones para una seguridad centrada en las personas

Los resultados del GPT de 2023 subrayan las limitaciones de depender únicamente de las medidas de protección técnicas. Aunque son esenciales, los firewalls y las medidas de seguridad del correo electrónico no pueden garantizar la ciberseguridad, especialmente a nivel empresarial. Debemos desarrollar el conocimiento y los reflejos necesarios para detectar y reportar de manera constante las amenazas de phishing. Hay algunas conclusiones que aprendimos a través de esta experiencia. 

1. Todos tenemos días malos: Incluso las personas más conscientes de la seguridad pueden pasar por alto señales de alerta de phishing si revisan los mensajes con rapidez. La conclusión es clara: tómate el tiempo para leer y reaccionar de forma adecuada ante cada correo electrónico entrante.

2. Elige capacitación de seguridad dinámica: Las plataformas de capacitación en concienciación de seguridad de hoy deben actualizar continuamente el contenido y lanzar nuevos módulos que reflejen las tendencias cambiantes del cibercrimen.

3. Las simulaciones pueden ser estimulantes: Una simulación de referencia es una excelente manera de entender el nivel de conocimiento de tu organización respecto a las amenazas de phishing.

4. La comunicación es fundamental: Usa herramientas de comunicación para promover el programa de capacitación, enfatizando su importancia para proteger la información sensible.

5. La gamificación es tu aliada: Piensa en emplear técnicas de gamificación para mantener a los participantes involucrados con las iniciativas de capacitación, haciendo que el aprendizaje sea más interactivo y agradable.

Los resultados del GPT de 2023 muestran que la ciberseguridad es una responsabilidad compartida. No hay razón para desesperarse, porque podemos trabajar juntos para hacer que internet sea más seguro. En conjunto, podemos construir defensas resilientes contra los ataques de phishing y preparar a las personas para la ingeniería social. Descarga una copia del informe aquí y ven a nuestro seminario web con Fortra para aprender más.