¿Podemos protegernos contra el phishing?

Los programas de concienciación en aspectos relativos a la seguridad son cada día más importantes y están en la agenda de todo CSO (Chief Security Officer). Un ejemplo muy común es el del correo malicioso o phishing, es un problema universal que plantea un riesgo de negocio para toda Compañía. Por si queda alguien que no tiene claro el término, llamamos phishing a una técnica de suplantación de identidad por medio de ingeniería social consistente en el envío, por ejemplo, de correos electrónicos que aparentan provenir de orígenes fiables pero que en realidad intentan obtener datos confidenciales del usuario para realizar un fraude o estafa. En los últimos años se han multiplicado las vías de ataque y ya no sólo el correo electrónico es una puerta de entrada, las redes sociales, la mensajería instantánea y los móviles son otras fuentes de phishing cada vez más habituales.

Cada vez que se pone en marcha una barrera tecnológica, los atacantes encuentran fórmulas para saltarla. Por ejemplo durante 2019 se ha incrementado, en los ataques, el uso de sistemas de almacenamiento en la nube, como por ejemplo Google Drive, de esta forma llega un contenido desde un dominio legítimo que genera confianza al usuario y pasa los filtros tecnológicos con mayor facilidad. Es importante invertir en tecnología que frene los ataques pero es tanto o más importante la inversión en ciberconcienciación, al final, una vez superadas las barreras tecnológicas, todo depende de si el usuario abre el fichero, pincha en un enlace o introduce unos datos en un formulario. Entonces, ¿cómo podemos protegernos contra el phishing?.

Más del 40% de las empresas españolas han sufrido ataques de phishing durante el último año, cada vez los ataques son más sofisticados y cada año crece el número de correos de phishing en más de un 20%. Este año 2019 a nivel global se están produciendo más de 120 millones de ataques de phishing por trimestre. Los ataques con ransomware, estos que secuestran nuestros servidores y ordenadores, estos que nos dejan sin actividad durante cuatro o cinco días, estos que nos generan, además de pérdidas económicas, graves problemas de reputación, se han incrementado más de un 25% respecto al año anterior. La «industria» del ransomware mueve ya más de 1000 millones de euros al año y ha generado pérdidas de más de 40 mil millones.

Un 10% de los ataques atraviesan las barreras tecnológicas de seguridad, un 40% de las personas abren el correo malicioso y dos de cada 10 hacen «click» en los enlaces. De estos tres de cada cuatro no informan del incidente de seguridad pudiendo dejar un ransomware latente durante días o semanas.

.

Además de las contramedidas de seguridad lógica implantadas en la organización, al final todo depende de la decisión del destinatario, ¿abrirá o no abrirá el mensaje?, ¿accederá al enlace?, de nada vale lamentarnos, la solución es formación y concienciación. La Gamificación es una herramienta útil que permite obtener unos conocimientos duraderos y sólidos en áreas clave cómo la concienciación. 

La Gamificación en concienciación de seguridad no es un juego. Si queremos tener éxito en concienciación debemos complementar las medidas actuales, como los carteles y workshops, con experiencias que pongan a los usuarios en situaciones reales y aprendan cómo deben reaccionar en cada evento de seguridad. En GamePaths ponemos a tu disposición cuatro plataformas gamificadas que aumentarán el compromiso de los usuarios y evitarán la sensación de «siempre lo mismo» que ocurre actualmente con las newsletters de los departamentos de seguridad, desde una aventura por misiones asociadas a casos reales, pasando por la competición sobre conocimientos en amenazas y conceptos de ciberseguridad, un divertidísimo escape room donde en 60 minutos repasarán los errores típicos en seguridad, hasta un córner de realidad virtual para vivir la experiencia de un ataque real. La gamificación consigue que las personas estén motivadas y que se diviertan mientras aprenden, sin sensación de esfuerzo y con mejores resultados que en modelos tradicionales.

Recuerda que dispones de un número corto (017) para llamar al servicio de atención telefónica «Línea de Ayuda en Ciberseguridad«, el objetivo de esta línea de ayuda es centralizar los servicios de atención telefónica que ofrece INCIBE relativos a dudas o consultas sobre ciberseguridad, privacidad, confianza digital, uso seguro y responsable de Internet y de la tecnología. Es un número gratuito que está disponible todos los días del año en horario de 9 a 21 horas.