Buenas prácticas en la creación de campañas de simulación de Phishing

Foto de un ave pescando

Buenas prácticas en la creación de campañas de simulación de Phishing

En este post recopilo algunas de las recomendaciones que en mi opinión personal me parecen más importantes a la hora de simular Phishing.

En este post asumo que los directivos de la organización ya comprenden la importancia de esta práctica y han demostrado su compromiso con la gestión de la ingeniería social.

Sin más consideraciones, vamos con las buenas prácticas en la creación de campañas de simulación de Phishing.

Haz los deberes previos

Consejo rápido

  • Ten en claro por qué vas a simular
  • Lleva adelante un proceso ordenado de Whitelist
  • Lanza campañas de prueba

Consejo detallado

El objetivo fundamental de una simulación de Phishing es medir el comportamiento de los usuarios para conocer el nivel de riesgo de la organización.

Por lo tanto, este seguramente sea uno de los objetivos de tus simulaciones. A partir de aquí pueden desprenderse muchos otros. Por lo general apuntarán a la gestión del riesgo de la ingeniería social y al desarrollo de hábitos seguros.

Pero enfocándonos en las bases, si deseamos saber cómo se comportarían nuestros usuarios frente a un ataque real, debemos asegurarnos de que el universo de usuarios que queremos evaluar reciba el correo de Phishing.

Para eso sirve un proceso de Whitelist. Básicamente, hay que configurar las distintas herramientas de seguridad de nuestra organización para que dejen pasar los correos de simulación, idealmente sin siquiera tocarlos.

Una vez realizadas las configuraciones, debemos lanzar campañas de prueba. Este tipo de campañas nos permitirán conocer si nuestro proceso de Whitelist se encuentra funcionando correctamente y si hemos considerado todas las herramientas corporativas que tenemos implementadas.

Esto último puede parecer un poco raro, pero muchas organizaciones se sorprenden en esta instancia. Cuando lanzan la prueba, se encuentran con que hay más herramientas analizando los correos electrónicos de las que tenían documentadas. Por este motivo el proceso de Whitelist muchas veces se hace más difícil de lo pensado, pero lleva a que las organizaciones mejoren su conocimiento y documentación de las herramientas de seguridad que poseen.

Lectura recomendada: ¡Deja ya de hacer Simulaciones de Phishing! ¿En serio?

 

No intentes que caigan todos los usuarios

Consejo rápido

Haz que tus simulaciones se parezcan a casos reales. No fuerces los escenarios de simulación para que caiga la mayor cantidad de usuarios posibles. Eso únicamente te dará métricas irreales.

Consejo detallado

Estamos hablando de simular Phishing. Simular es representar algo, haciendo que parezca real, por lo que nuestras simulaciones de Phishing deben comportarse como un Phishing real.

Entonces, empecemos por el principio.

Una simulación replica el comportamiento de un ciberataque real, en los siguientes aspectos:

  • Duración de la campaña, usualmente un par de horas
  • Medio utilizado para entregar el ataque, generalmente vía email
  • Presencia de técnicas de ingeniería social en las cabeceras y cuerpo del mensaje
  • Uso de enlaces o archivos adjuntos
  • Uso de sitios web falsos, réplica de otros reales
  • Medición de las acciones del usuario, es decir, si abre el correo, si hace clic en un enlace, etc.

Pero existe una diferencia importante: una simulación no captura información sensible y es inocua para el usuario final o la organización.

Por lo general, los ataques reales de Phishing finalizan cuando el ciberdelincuente logra capturar, por ejemplo, las credenciales del usuario. En cambio, una simulación, puede mostrar un mensaje educativo luego de que el usuario realiza una acción riesgosa, como enviar información privada en un formulario.

Sin embargo, muchos responsables de seguridad esperan algo diferente:

  • Que las campañas de simulación duren semanas
  • Que sean recibidas de manera correcta en el inbox de todos los usuarios
  • Que el escenario seleccionado despierte el interés de todos ellos
  • Que caigan todos los usuarios posibles

Para esto pasan semanas preparando el escenario de Phishing perfecto, abusando de la información interna que poseen de la organización y los usuarios. A esa práctica en SMARTFENSE le llamamos la simulación de Phishing de oro. 

Por supuesto, no es para nada recomendable, ya que estaremos sesgando el resultado de las campañas y obtendremos resultados que no serán coherentes con la realidad.

Lectura recomendada: La simulación de Phishing de oro, o cómo interpretamos de manera incorrecta los resultados de nuestras pruebas

 

Envía muchas simulaciones

Consejo rápido

Envía un conjunto de simulaciones por mes y luego agrúpalas para ver los resultados sumarizados.

Cada campaña del mes debe variar en cuanto a su temática, día, horario, grupo de usuarios destinatarios, tipo de engaño, grado de personalización, etc.

Consejo detallado

La verdad es que enviar unas pocas simulaciones por año no nos servirá de mucho.

Esto es porque cada simulación que enviamos está sesgada por numerosos factores, entre los cuales se incluyen:

  • El nivel de interés que el usuario tenga en el asunto del correo electrónico, el remitente y el contenido del mensaje recibido.
  • Las técnicas de persuasión utilizadas en la trampa (las cuales son muy diversas). No todas pueden estar presentes en un solo correo y pueden tener distintos impactos en cada persona. Cada usuario es más o menos susceptible a la técnica empleada, lo que influye en si cae o no en la simulación.
  • La cantidad de correos pendientes que tiene el usuario, además del correo relacionado con la simulación.
  • La carga de trabajo del usuario, como si está en un día lleno de actividades o si es un día más tranquilo, o si está de vacaciones o en un viaje de trabajo, por citar algunos ejemplos.
  • El dispositivo que el usuario utiliza para revisar su correo electrónico, ya sea un ordenador o un dispositivo móvil.
  • La situación personal de cada usuario, que puede incluir su situación económica, sentimental, estado emocional, entre otros.
  • La conformidad y satisfacción del usuario con la organización donde trabaja.
  • El nivel de atención y conciencia del usuario.
  • El grado de interacción que el usuario tenga con sus compañeros de trabajo.
  • La posibilidad de que la campaña sea detectada por alguna herramienta tecnológica y, en algún momento de su ciclo de vida, empiece a mostrar algún tipo de advertencia a los usuarios.
  • Y otros factores adicionales.

Por todos estos motivos (y más) debemos pensar en las simulaciones por período más que por campaña. Lo mejor que podemos hacer es lanzar múltiples simulaciones en un mes y luego agruparlas para ver sus resultados como una única evaluación.

Cada campaña del período puede (y debería) variar en cuanto a su temática, día, horario, grupo de usuarios destinatarios, tipo de engaño, grado de personalización, etc.

¿Qué logramos con esto? Todas las simulaciones van a tener algún sesgo de los mencionados arriba, pero cada una habrá sido sesgada por diferentes factores. En su conjunto, nos brindarán un resultado mucho más representativo de la realidad.

Esta forma de trabajar, nos permitirá además obtener métricas valiosas sobre nuestros usuarios, como los escenarios a los cuales son más sensibles o los horarios en los cuales son más propensos a caer en un engaño, por mencionar sólo algunas.

Como punto extra, nuestros usuarios se encontrarán más atentos, debido a que estaremos enviándoles simulaciones con una frecuencia suficiente como para que vayan tomando la costumbre y desarrollando el hábito de pensar dos veces antes de realizar una acción dentro de su correo electrónico.

Lectura recomendada: ¿Cuánto duran las campañas de Phishing?

 

No te esfuerces tanto

Consejo rápido

Tu tiempo vale mucho para que pases días o semanas preparando el Phishing perfecto. Usa contenidos predefinidos siempre que puedas, y si los editas, haz ediciones mínimas.

Solo frente a casos especiales y si tienes los recursos disponibles, date el lujo de clonar un Phishing famoso o uno real que haya llegado a tu organización.

Consejo detallado

Posiblemente pienses que lanzar un conjunto de simulaciones por mes sea una carga de trabajo muy grande.

Pero espera… no pienses en la simulación perfecta, en preparar escenarios de Phishing con lujo de detalle… Si cuentas con una herramienta que te brinda contenidos predefinidos de calidad, simplemente haz uso de ellos. En 15 minutos puedes planificar un conjunto de campañas mensuales sin pensar tanto. 

Esto será mucho más útil y representativo que pasar días preparando en detalle un único escenario y enviar ese único escenario a todos los usuarios el mismo día.

Además, imagina que pasaste dos semanas preparando el Phishing perfecto, y a la hora de lanzarlo un usuario lo reporta y la URL de la simulación aparece en las listas negras de Google. Esta situación la ví múltiples veces, y las personas se enojan mucho al respecto.

Se enojan con la herramienta de simulación, obviamente, mientras que lo que les sucedió es independiente de la herramienta que usen y les va a pasar con cualquiera.

Por eso, de nuevo, olvídate de las simulaciones de phishing de oro.

Y si aún sigues sin estar del todo convencido, piensa que enviar una gran cantidad de simulaciones ayuda al desarrollo de hábitos seguros por parte de los usuarios. ¿Por qué? Porque los usuarios se acostumbrarán a recibir correos de Phishing. No importa cómo son esos correos, mientras sean Phishing, sirve. Los usuarios pasarán a estar mucho más atentos a su bandeja de entrada y a reportar cada vez más casos de Phishing, simulados o reales. 

¿Nunca se justifica dedicar tiempo a armar un escenario de Phishing? Solo si cuentas con los recursos disponibles, a veces puede ser interesante:

  • Tomar un caso real, mediático, y clonarlo para ver cómo hubiera sido la situación si ese engaño llegaba a tu organización.
  • Tomar un caso real que haya sido recibido en tu organización y haya sido detenido (ya sea por una herramienta o por el reporte de un usuario concienciado), para analizar cómo hubiera sido el impacto si estaba vigente por más tiempo.

Lectura recomendada: ¡Deja ya de hacer Simulaciones de Phishing! ¿En serio?

 

Aprovecha el momento para concienciar

Consejo rápido

Cuando un usuario realice una acción de riesgo, demuéstrale al instante qué hubiera ocurrido en una situación real con un Momento Educativo.

Consejo detallado

Si además de simular estás buscando generar una cultura segura en tu organización, debes pensar en el desarrollo de hábitos seguros en los usuarios. Para lograr esto puedes disponer de diversas herramientas de concienciación, por ejemplo, Videos, Videojuegos, Módulos Interactivos, etc.

Cada una de ellas brindará sus propias ventajas al usuario. Por ejemplo, un Módulo Interactivo puede tener explicaciones detalladas de cierto tópico, mientras que un Videojuego puede permitir al usuario practicar la toma de decisiones en un entorno divertido y seguro.

Pero, ya que estás simulando, puedes sacar un provecho muy grande de los Momentos Educativos. En este tipo de herramienta se muestra el contenido de concienciación justo cuando el usuario realiza una acción de riesgo dentro de una simulación. 

Esto aumenta en gran manera el impacto del contenido entregado y lo hace más memorable.

Lectura recomendada: El mejor momento para que nuestros usuarios aprendan – SMARTFENSE – Concientización en ciberseguridad 

 

Vuelve a las bases y mejora en forma contínua

Consejo rápido

Revisa tus objetivos y haz ajustes en caso de que sea necesario.

Sigue lanzando campañas de pruebas, y si se justifica, revisa la configuración de Whitelist.

Consejo detallado

Vuelve al primer consejo, pero con un enfoque de mejora continua.

Objetivos

Cada tanto, vuelve a revisar los objetivos que te planteaste para tus simulaciones. ¿Siguen siendo válidos? ¿Tus acciones están alineadas a tus objetivos? ¿Has alcanzado alguno de ellos? ¿Necesitas plantear nuevos o probar diferentes estrategias?

Ten en cuenta que en este punto, no te servirá de mucho compararte contra otros. El único benchmarking que vale es el que haces contra tú mismo año tras año.

Whitelist y campañas de prueba

Las herramientas de protección corporativas están en constante actualización. También se añaden nuevas herramientas o se remueven otras que ya no se necesitan. 

Por este motivo es recomendable volver a lanzar campañas de prueba antes de comenzar un nuevo período de simulación. 

En base a estas pruebas, si es necesario, revisar las configuraciones de Whitelist.

Lectura recomendada: ¿Tomas la pastilla roja? Simulando Phishing fuera de la Matrix

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Ha escrito dos whitepapers y más de 150 artículos sobre gestión del riesgo de la ingeniería social, creación de culturas seguras y cumplimiento de normativas. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Deja una respuesta