La simulación de Phishing de oro, o cómo interpretamos de manera incorrecta los resultados de nuestras pruebas

La simulación de Phishing de oro, o cómo interpretamos de manera incorrecta los resultados de nuestras pruebas

Las simulaciones de Phishing se utilizan para medir el comportamiento de los usuarios de nuestra organización frente a engaños que podrían culminar en una fuga de información o instalación de malware, afectando la seguridad de la información tanto a nivel personal como organizacional.
En este sentido, las simulaciones son una herramienta muy útil, siempre y cuando hagamos una interpretación correcta de sus resultados.

La simulación de Phishing de oro

En muchas organizaciones suele existir el preconcepto de que cada campaña de Phishing debe ser “perfecta” entendiéndose por esto que:
  • Sea recibida de manera correcta por todos los usuarios
  • Despierte el interés de todos ellos
  • Engañe efectivamente a quienes poseen comportamientos inseguros
  • No sea sesgada por ningún factor externo a la simulación
Lo que sucede en la vida real con las simulaciones es que son más un arte que una ciencia exacta, lo cual convierte en una utopía lograr esta prueba perfecta.

La realidad

El grado de efectividad de una campaña depende en realidad de muchos factores, siendo alguno de ellos:
  • El interés que despierte a cada usuario el asunto del correo electrónico, remitente y temática del mensaje recibido.
  • Las técnicas de persuasión que utilice la trampa, las cuales son muy variadas, no pueden estar todas en un único correo y pueden tener distintos efectos en cada persona. Cada usuario será más o menos propenso a verse influido por la técnica utilizada y por lo tanto a caer o no en la simulación realizada.
  • La cantidad de correos que cada usuario tenga por leer además del correspondiente a la simulación.
  • La carga de trabajo de cada usuario, por ejemplo, si se encuentra en un día repleto de actividades o es un día de trabajo relajado, o bien si se encuentra de vacaciones o en un viaje de trabajo, por mencionar algunos casos.
  • El medio por el cual cada usuario controle su correo electrónico, como por ejemplo un ordenador o dispositivo móvil.
  • La situación personal de cada usuario, lo cual incluye su situación económica, sentimental, estado anímico, etc.
  • La conformidad y grado de satisfacción de cada usuario respecto a la organización en la que lleva a cabo su actividad laboral.
  • El grado de atención y concienciación de cada usuario.
  • El grado de interacción de cada usuario con sus compañeros de trabajo.
  • La posibilidad de que la campaña sea detectada por alguna herramienta tecnológica y en algún momento de su ciclo de vida comience a mostrar algún tipo de advertencia a los usuarios.
  • Etc.
Una única simulación de Phishing, nos brindará un resultado sesgado por todos los factores mencionados y más. Es común desear que una campaña sea perfecta y represente de manera fiel y objetiva el estado de nuestra capa de seguridad humana, pero esto no se corresponde con la realidad.
Imaginemos, considerando lo analizado hasta ahora, si deseamos medir una línea base o justificar la inversión en concienciación con una única simulación de Phishing, por dar un ejemplo. Podremos concluir rápidamente que esta no es la mejor manera de lograrlo.

Cómo proceder frente a esta realidad

Ya hemos concluido que una simulación aislada no nos será de demasiada utilidad. Es por esto que en cambio debemos realizar un conjunto de simulaciones dentro del período que deseemos evaluar.
Estas campañas deben variar en cuanto a su temática, día y horario en que son enviadas, grupo de usuarios destinatarios, tipo de engaño, grado de personalización, etc.
De esta manera, lograremos un conjunto de estadísticas por cada simulación que podremos sumarizar y así, podremos lograr un resultado promedio que se corresponda de manera más fiel a la realidad de nuestra organización. Esto es así ya que cada simulación habrá sido sesgada por diferentes factores, pero en su conjunción, estaremos disminuyendo la influencia que cada factor pudo tener en dicho sesgo y lograremos así un resultado más representativo.
Esta forma de trabajar, nos permitirá además obtener métricas valiosas sobre nuestros usuarios, como los escenarios a los cuales son más sensibles o los horarios en los cuales son más propensos a caer en un engaño, por mencionar sólo algunas.
Como punto extra, nuestros usuarios se encontrarán más atentos, debido a que estaremos enviándoles simulaciones con una frecuencia suficiente como para que vayan tomando la costumbre y desarrollando el hábito de pensar dos veces antes de realizar una acción dentro de su correo electrónico.

Hay vida más allá de la simulación de Phishing

Dada su popularidad, la simulación de Phishing parece ser lo único que hay que hacer a la hora de concienciar.
¡Nada más lejos de la realidad!
Exámenes, encuestas, módulos interactivos, newsletters, momentos educativos, gamificación, son elementos de gran utilidad en el mundo de la concienciación.
Las personas pasan su día manejando información con niveles de sensibilidad distintos en diferentes medios y situaciones, siendo el Phishing sólo una de las amenazas a las cuales se enfrentan, si bien es una de las más efectivas y recurrentes.
Es por eso que una estrategia de concienciación, además de ser un esfuerzo continuo dentro de las organizaciones, debe hacer uso de diversas herramientas para cubrir en un mayor porcentaje todos los frentes posibles.

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Ha escrito dos whitepapers y más de 150 artículos sobre gestión del riesgo de la ingeniería social, creación de culturas seguras y cumplimiento de normativas. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Deja un comentario