Simulacro de phishing

Delito cibernético

El phishing simulado o una prueba de phishing es un método mediante el cual una organización envía correos electrónicos engañosos, similares a correos electrónicos maliciosos, a su propio personal para evaluar su respuesta al phishing y otros ataques de correo electrónico similares. Los correos electrónicos en sí mismos suelen ser una forma de capacitación, pero dichas pruebas normalmente se realizan junto con una capacitación previa y, a menudo, se complementan con más elementos de capacitación. Este es especialmente el caso de aquellos que "fallan" al abrir archivos adjuntos de correo electrónico, hacer clic en enlaces web incluidos o ingresar credenciales.

Razón fundamental

En el campo de la seguridad informática existe una amplia aceptación de que las medidas técnicas por sí solas no pueden detener todos los ataques maliciosos por correo electrónico, y que es necesaria una buena formación del personal. ^{[ cita requerida ] [1]} La simulación de phishing permite la medición directa del cumplimiento del personal y, cuando se realiza con regularidad, puede medir el progreso en el comportamiento del usuario. Varias agencias oficiales recomiendan la simulación de phishing y suelen proporcionar directrices para diseñar dichas políticas. ^[2] Las simulaciones de phishing a veces se comparan con los simulacros de incendio, ya que permiten al personal practicar regularmente el comportamiento correcto. ^[3]

Ética

Estas campañas deben estar autorizadas a un nivel apropiado ^[4] y llevarse a cabo de manera profesional. ^[5] Si una técnica de este tipo se utiliza sin cuidado, puede infringir las leyes, generar demandas judiciales y antagonizar o traumatizar al personal.

Sin embargo, si se informa a los empleados de un cambio en la política, de modo que "la empresa se reserva el derecho de enviar correos electrónicos engañosos de 'phishing simulado' al personal de vez en cuando para evaluar la conciencia y el cumplimiento de la normativa de seguridad del personal", y se ha impartido formación y orientación con antelación, no deberían producirse esos problemas. Algunas organizaciones pueden optar por exigir a los usuarios que den su consentimiento optando por participar ^[6], y otras pueden permitir al personal la opción de optar por no participar ^{[7] .}

El consejo estándar es que no se avergüence de ninguna manera al personal que “falla”, pero es apropiado y razonable brindar capacitación de seguimiento de apoyo. ^{[8] [9] [10]}

Algunas técnicas que podrían resultar eficaces y que los actores maliciosos utilizan normalmente se evitan en el phishing simulado por razones éticas o legales. Entre ellas se incluyen los correos electrónicos con contenido que pueda causar problemas al destinatario o el uso de marcas comerciales de terceros, ^{[5] [8]} aunque a veces también se argumenta que esto está contemplado en el uso legítimo . ^[11]

Métodos

Estas pruebas pueden realizarse de varias maneras.

• Muchos proveedores ofrecen plataformas alojadas en la web para hacer esto, y algunos proporcionan campañas de "prueba" gratuitas limitadas. ^{[12] [13]}
• Una amplia gama de herramientas de código abierto disponibles gratuitamente permiten que las organizaciones más técnicas alojen y ejecuten sus propias pruebas. ^{[14] [15] [16]}
• Algunos servicios de correo electrónico ahora tienen esta prueba como una opción incorporada. ^{[17] [18]}

Debido a que las organizaciones generalmente tienen un conjunto de defensas de varias capas implementadas para prevenir el phishing malicioso real, las simulaciones a menudo requieren que se implementen algunas listas blancas en las puertas de enlace de correo electrónico, software antivirus y servidores proxy web para permitir que el correo electrónico llegue a los escritorios y dispositivos de los usuarios y se tomen medidas al respecto.

Frecuencia

La mayoría de los consejos indican que se deben realizar pruebas varias veces al año para brindarle al personal práctica para responder correctamente y para proporcionar retroalimentación a la gerencia sobre el progreso del personal en la identificación y denuncia de correos electrónicos potencialmente peligrosos.

Véase también

• Suplantación de identidad (phishing)
• Simulacro de incendio

Referencias

1. Jampen, Daniel; Gür, Gürkan; Sutter, Thomas; Tellenbach, Bernhard (9 de agosto de 2020). "No haga clic: hacia una formación eficaz contra el phishing. Una revisión comparativa de la literatura". Ciencias de la información y computación centradas en el ser humano . 10 (1). doi : 10.1186/s13673-020-00237-7 . hdl : 11475/20346 . ISSN  2192-1962.
2. "Diseño de simulaciones de phishing" (PDF) . Centro para la Protección de la Infraestructura Nacional . Consultado el 12 de septiembre de 2018 .
3. Fischbein, Jonathan. "Council Post: Resoluciones cibernéticas de Año Nuevo 2021". Forbes . Consultado el 3 de octubre de 2021 .
4. Kovacs, Eduard (23 de agosto de 2018). "Ataque al DNC como parte de una prueba de phishing simulada". Security Week . Consultado el 12 de septiembre de 2018 .
5. Cheng, Joey (18 de marzo de 2014). "Resultados de pruebas de phishing fuera de control del ejército en nuevas directrices". DefenseSystems . Consultado el 12 de septiembre de 2018 .
6. "Phishing simulado". Berkeley Lab . Consultado el 12 de septiembre de 2018 .
7. "Campaña de correo electrónico de phishing simulada". UC Santa Cruz . Consultado el 12 de septiembre de 2018 .
8. Prendergast, Tom. "¿Todo vale en el phishing simulado?". www.csoonline.com . Consultado el 9 de septiembre de 2018 .
9. Meijdam, Katrien. "Phishing como servicio: diseño de una forma ética de imitar ataques de phishing dirigidos para capacitar a los empleados" . Consultado el 10 de septiembre de 2018 .
10. R, Kate. "El problema del phishing". Centro Nacional de Seguridad Cibernética . GCHQ . Consultado el 12 de septiembre de 2018 .
11. Calarco, Daniel. "Detenga el phishing con cebos falsos". EDUCAUSEreview . Consultado el 12 de septiembre de 2018 .
12. Salla, Sebastian. "Campañas de prueba de phishing gratuitas". CanIPhish . Consultado el 10 de octubre de 2022 .
13. Korolov, Maria. "10 empresas que pueden ayudarte a combatir el phishing". CSO Online . Consultado el 12 de septiembre de 2018 .
14. Por ejemplo, GoPhish, King Phisher, el kit de herramientas de SocialEngineer
15. Pauli, Darren (4 de febrero de 2016). "Vayan a engañar a su propio personal: un desarrollador crea una herramienta de código abierto para comprobar si alguien es un tonto". The Register . Consultado el 12 de septiembre de 2018 .
16. "Simuladores de campañas de phishing". Medidas contra el phishing . Consultado el 12 de septiembre de 2018 .
17. Ghosh, Debraj. "GA of Attack Simulator For Office 365 Threat Intelligence". Comunidad tecnológica de Microsoft . Consultado el 12 de septiembre de 2018 .
18. Lardinois, Frederic. «Microsoft lanza un simulador de ataques de phishing y otras herramientas de seguridad». TechCrunch . Consultado el 12 de septiembre de 2018 .