El Phishing se considera uno de los ataques más comunes en la red. Los cibercriminales envían correos electrónicos que contienen enlaces fraudulentos, con la intención de que la víctima haga clic y acceda a un sitio diseñado exclusivamente para robar credenciales y contraseñas. Esta amenaza puede afectar tanto a usuarios particulares como a empleados de diferentes empresas. En los últimos años, ha crecido la conciencia sobre este problema y se ha intensificado el entrenamiento contra el Phishing. Sin embargo, un estudio reciente ha indicado que estos esfuerzos han sido en gran medida infructuosos.
Muchas organizaciones han implementado programas de capacitación contra el Phishing para sus trabajadores. Estos programas suelen involucrar simulacros de correos maliciosos que podrían recibir. Se busca concienciar a los empleados para que estén listos ante correos reales que representen un riesgo significativo tanto para su información personal como para la empresa.
Los programas de capacitación contra el Phishing no han sido efectivos
Un estudio llevado a cabo por 10 investigadores de seguridad de la Universidad de Chicago, la Universidad de California en San Diego (UCSD) y UCSD Health, analizó durante ocho meses en 2023 el impacto de la formación en un total de 19,789 empleados de UCSD Health. El objetivo era evaluar los resultados en esta importante institución de salud estadounidense.
Los hallazgos no fueron los esperados y se presentará el informe el próximo mes de agosto en el evento Black Hat en Las Vegas. Aunque se anticipa que en ciertas condiciones la capacitación pueda tener un efecto positivo, en la mayoría de los casos la mejora es mínima o incluso puede resultar contraproducente.
Un estudio previo realizado por investigadores del Departamento de Informática del ETH en Zurich, involucró a 14,000 empleados y también mostró resultados poco alentadores. Durante meses, se enviaron numerosos correos simulados de Phishing junto con material educativo para formar a los empleados. Aquellos que caían en la trampa recibían información sobre cómo identificar correos falsos. Al final del estudio, se descubrió que estos empleados tenían una falsa sensación de seguridad, creyendo que estaban capacitados y protegidos, pero en realidad cayeron más veces en los ataques de Phishing.
Un dato importante es que solo el 24% de los empleados completaron correctamente los cursos de capacitación. Muchos abandonaron y otros directamente terminaron las sesiones pocos segundos después de iniciarlas. Irónicamente, aquellos que completaron el curso tuvieron un 18.5% más de probabilidades de convertirse en víctimas de correos electrónicos de Phishing.
¿Qué medidas podemos tomar?
Es importante destacar que los atacantes ahora utilizan Inteligencia Artificial para generar correos fraudulentos que son extremadamente realistas, lo que dificulta su detección en comparación con años anteriores. Por lo tanto, aunque los empleados hayan recibido formación sobre cómo identificar un correo de Phishing, esa capacitación podría no ser suficiente en la actualidad. Es recomendable también habilitar la autenticación en dos pasos en todas tus cuentas. Además de elegir una contraseña segura, activar la 2FA en redes sociales, correos electrónicos o tiendas en línea puede prevenir accesos no autorizados en caso de ser víctima de un ataque de Phishing. Adicionalmente, es crucial proteger los dispositivos, ya sean móviles o computadoras. Asegúrate de mantenerlos actualizados y utiliza un buen software antivirus que te ayude a detectar y eliminar amenazas rápidamente.
Preguntas frecuentes sobre el Phishing
¿Por qué recibo correos de Phishing?
Tu dirección puede haberse filtrado, o también hay campañas que envían correos maliciosos de manera aleatoria. Trata de no exponer tu dirección para así reducir el riesgo de recibir Spam o Phishing.
¿Qué plataformas de Internet pueden verse afectadas por el Phishing?
Puede afectar a cualquier servicio en línea, sitio web o tienda donde estés registrado. Facebook, Amazon o Netflix son algunas de las más atacadas por los cibercriminales.
¿Qué debo hacer si creo que he sido víctima de un ataque de Phishing?
Cambia tu contraseña de inmediato. Luego, investiga qué pudo haber sucedido, analiza tu dispositivo, habilita la autenticación en dos pasos si no lo has hecho y revisa el resto de tus cuentas.