Una simulación de phishing es un ejercicio de ciberseguridad que prueba la capacidad de una organización para reconocer y responder a un ataque de phishing.
Un ataque de phishing es un mensaje de correo electrónico, de texto o de voz fraudulento diseñado para engañar a la gente para que descargue programas maliciosos (como ransomware), revele información confidencial (como nombres de usuario, contraseñas o datos de tarjetas de crédito) o envíe dinero a personas equivocadas.
Durante una simulación de phishing, los empleados reciben correos electrónicos que simulan phishing (o mensajes de texto o llamadas telefónicas) que imitan los intentos de phishing en el mundo real. Los mensajes usan las mismas tácticas de ingeniería social (por ejemplo, hacerse pasar por alguien que el destinatario conoce o en quien confía, creando una sensación de urgencia) para ganar la confianza del destinatario y manipularlo para que tome medidas desaconsejadas. La única diferencia es que los destinatarios que muerden el anzuelo (por ejemplo, al hacer clic en un enlace malicioso, descargar un archivo adjunto malicioso, ingresar información en una página de destino fraudulenta o procesando una factura falsa) simplemente no pasan la prueba, pero no hay un impacto adverso para la organización.
En algunos casos, los empleados que hacen clic en el enlace malicioso simulado son dirigidos a una página de destino que indica que fueron víctimas de un ataque de phishing simulado, con información sobre cómo detectar mejor las estafas de phishing y otros ataques cibernéticos en el futuro. Luego de la simulación, las organizaciones también reciben datos sobre el porcentaje de clics de los empleados y, a menudo, realizan un seguimiento con formación adicional de concienciación sobre el phishing.
Las estadísticas recientes muestran que las amenazas de phishing continúan aumentando. Desde 2019, la cantidad de ataques de phishing creció un 150 % por año ; el Grupo de Trabajo Anti-Phishing (APWG) informó un máximo histórico de phishing en 2022, registrando más de 4.7 millones de sitios de phishing. Según Proofpoint, el 84 % de las organizaciones en 2022 experimentaron al menos un ataque de phishing exitoso.
Debido a que incluso las mejores puertas de enlace de correo electrónico y herramientas de seguridad no pueden proteger a las organizaciones de todas las campañas de phishing, las organizaciones recurren cada vez más a las simulaciones de phishing. Las simulaciones de phishing bien elaboradas ayudan a mitigar el impacto de los ataques de phishing de dos maneras importantes. Las simulaciones proporcionan que los equipos de seguridad de la información necesitan entrenar a los empleados para que reconozcan mejor y eviten los ataques de phishing en la vida real. También ayudan a los equipos de seguridad a identificar vulnerabilidades, mejorar la respuesta general a incidentes y reducir el riesgo de filtraciones de datos y pérdidas financieras causadas por intentos de phishing exitosos.
Las pruebas de phishing suelen formar parte de una capacitación más general de conocimientos sobre seguridad dirigida por los departamentos de TI o los equipos de seguridad.
El proceso generalmente consta de cinco pasos:
Una vez que completan estos pasos, muchas organizaciones compilan un reporte completo que resume los resultados de la simulación de phishing para compartir con los stakeholders relevantes. Algunos también usan los insights para mejorar su capacitación en conocimientos sobre seguridad antes de repetir el proceso de manera regular para mejorar los conocimientos sobre ciberseguridad y mantener a la vanguardia de las amenazas cibernéticas en evolución.
Al ejecutar una campaña de simulación de phishing, las organizaciones deben tener en cuenta lo siguiente.
Las simulaciones de phishing y las capacitaciones de conocimientos sobre seguridad son medidas preventivas importantes, pero los equipos de seguridad también necesitan capacidades de detección y respuesta a amenazas de última generación para mitigar el impacto de las campañas de phishing exitosas.