¡Deja ya de hacer Simulaciones de Phishing! ¿En serio?

¡Deja ya de hacer Simulaciones de Phishing! ¿En serio?

Días atrás encontré un artículo que reunía en un solo lugar los argumentos más comunes contra las simulaciones de Phishing.

Parafraseando, decía más o menos así:

“Las Simulaciones de Phishing no sirven para concientizar a los usuarios, y únicamente los pone en contra del Área de Seguridad, ya que se sienten engañados. Por este motivo, los usuarios saltean las medidas que tomamos y no reportan incidentes. Además, por más que haga Simulaciones de Phishing, nunca alcanzo a una métrica de cero clics, y los usuarios seguro pasan 1 segundo en los momentos educativos. Mejor invertir el tiempo en configurar herramientas tecnológicas. Al fin y al cabo, con ellas se puede incluso calcular el retorno de inversión.”

Uno a uno, destrucción de los argumentos contra las Simulaciones de Phishing

Propongo desmenuzar juntos cada uno de los argumentos y revisar por qué no son válidos argumentando de manera objetiva cada punto.

Argumento: Las Simulaciones de Phishing no sirven para concientizar a los usuarios

Las Simulaciones de Phishing tienen diferentes propósitos, todos ellos complementarios entre sí:

Para lograr este último objetivo, se utilizan las Simulaciones de Phishing en conjunto con Momentos Educativos. Esta herramienta convierte a las simulaciones no sólo en una manera de concientizar, sino que permite detenernos a pensar en el mejor momento posible, cuando la probabilidad de aprendizaje y asimilación de un contenido por parte de los usuarios es más alta.

Argumento: Las Simulaciones de Phishing únicamente pone a los usuarios en contra del Área de Seguridad. Por este motivo, saltean las medidas que tomamos y no reportan incidentes.

Y claro. Si sólo lanzamos Simulaciones de Phishing sin dar ningún tipo de feedback a nuestros usuarios, o si damos feedback negativo destacando lo que el usuario hizo mal, lo que menos vamos a generar es  una buena imagen del Área de Seguridad. Eso va a contribuir a una respuesta cada vez más pobre frente a las medidas del área. Tengamos un poco de sentido común 😉.
¿Es esto culpa de las Simulaciones de Phishing? No, es culpa de que no sabemos usarlas. Seguramente la imagen del área no dependa únicamente de las simulaciones, ¿no?. De hecho, es gracias a las herramientas de concientización que esta imagen puede mejorarse, y esa mejora puede medirse de manera objetiva.

Argumento: Además, por más que haga Simulaciones de Phishing, nunca alcanzo a una métrica de cero clics.

¿Todavía crees en la seguridad al 100%?
Si es así, entonces no tenemos claro por qué simular, o bien, será que elegimos cerrar los ojos frente a la realidad. Y posiblemente, tengamos deseos o expectativas que no los pueda cumplir ni Papá Noel:

 

Argumento: Los usuarios seguro pasan 1 segundo en los momentos educativos.

Siempre es fácil suponer y hablar sin saber. Muchas veces, quienes enuncian estas afirmaciones nunca realizaron una medición y se basan sólo en su “infalible” olfato.
Por suerte para ellos, existen herramientas que presentan a los usuarios Momentos Educativos con preguntas de validación de lectura, que en lugar de medir cuánto tiempo dedica el usuario mirando un contenido, miden lo que realmente importa: si el usuario comprendió el mensaje.

Argumento: Mejor invertir el tiempo en configurar herramientas tecnológicas. Además, con ellas se puede calcular el retorno de inversión.

Sentencia común de quien cree en la seguridad al 100%: se apoya únicamente en herramientas tecnológicas y desconfía del usuario.

El argumento se cae a pedazos leyendo cualquier informe de ciberseguridad de la última década. En todos ellos, el Phishing se menciona como la puerta de entrada de más del 90% de los ciberataques. Si las herramientas tecnológicas realmente brindasen el nivel de seguridad que algunos creen que brindan, la estadística sería otra.

Además, en el año 2021, ya debemos tener claro que la seguridad se debe implementar en capas, y que depender sólo de una de ellas, al día de hoy es una irresponsabilidad.

Por último, la capa humana es esencial frente a los ataques de ingeniería social, los cuales suceden muchas veces fuera del perímetro de nuestra organización, en dispositivos personales de nuestros usuarios, y de maneras muy creativas.

El retorno de inversión, por otro lado, puede medirse de manera objetiva y expresarse en informes claros con indicadores gerenciales, respaldados por registros de auditoría inalterables.

Ideas finales

Eventualmente se pueden encontrar argumentos en contra de las Simulaciones de Phishing, que clasifican a esta herramienta como la causa de distintos males que enfrenta el Área de Seguridad. La realidad demuestra que la causa de estos males es en realidad producto de actitudes y conductas internas al área, y del desconocimiento sobre el uso correcto de las herramientas de simulación.

Esto no es únicamente una afirmación de SMARTFENSE. La publicación de Linkedin que motivó este post, tiene decenas de comentarios de responsables de seguridad con experiencia, que indican claramente al autor que su enfoque está lejos de ser correcto.

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Ha escrito dos whitepapers y más de 150 artículos sobre gestión del riesgo de la ingeniería social, creación de culturas seguras y cumplimiento de normativas. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Deja un comentario