Conoce PhishOS, el nuevo juego de entrenamiento de Phishing de Hacker Rangers
¿El phishing… sigue siendo un problema?
Los mensajes de phishing continúan siendo una de las principales amenazas de seguridad para las organizaciones en todo el mundo. Siendo el vector de ataque más prevalente hoy en día,¹ el phishing genera miles de millones en costos para las empresas cada año.²
A pesar de los avances en tecnologías de protección y filtros de correo electrónico, estas medidas no son infalibles y no logran bloquear todos los intentos de phishing. Por lo tanto, tus colaboradores se convierten en la última línea de defensa contra los ciberataques.
Reconociendo esto, muchas organizaciones enfatizan la importancia del entrenamiento en concientización sobre seguridad, con un enfoque en el phishing, para capacitar a los empleados a identificar y responder a estas amenazas de manera eficaz en situaciones reales.
¿Los usuarios realmente están reconociendo los correos electrónicos de phishing?
Cuando se realiza una simulación de phishing, surge una pregunta crucial: ¿cómo asegurarse de que el colaborador está realmente reconociendo los peligros asociados a un mensaje malicioso?
La mayoría de los expertos en concientización sobre ciberseguridad analiza la vulnerabilidad de la empresa basándose en la tasa de clics de los colaboradores en correos electrónicos de phishing simulados, es decir, analizando cuántos usuarios hicieron clic en el mensaje malicioso en relación con el total de usuarios que recibieron las simulaciones.
Pero, ¿es realmente eficaz esta métrica? ¿Tus usuarios están realmente reconociendo los intentos de phishing o simplemente adoptan una postura defensiva y prefieren no hacer clic en nada?
Las tasas de clics ofrecen una visión limitada del problema de phishing en tu organización. Proporcionan solo un punto de vista: los colaboradores que hicieron clic, y no reflejan el comportamiento real de todos los usuarios.
¿Es la sanción la mejor solución?
Los usuarios que no cayeron en una simulación de fraude no necesariamente reconocieron que se trataba de un intento de phishing. Los estudios muestran que solo el 3% de los usuarios informan de correos electrónicos de phishing a la gestión³, lo que indica que muchos colaboradores pueden no estar conscientes de los intentos de phishing o, incluso, dudan en reportarlos.
El entrenamiento tradicional de phishing puede terminar asustando a los usuarios, ya que los mensajes generalmente llegan por sorpresa, tomándolos desprevenidos. Como resultado, pueden sentir temor a interactuar con el entrenamiento, temiendo sanciones o sintiéndose avergonzados al reportar un mensaje que no era un intento de phishing. Este miedo puede resultar en inacción, haciendo que el equipo se desconecte del entrenamiento de seguridad, ¡y de otras iniciativas de la empresa!
El entrenamiento "check the box"
Cuando el entrenamiento de phishing adopta un enfoque de "check the box", enfocándose solo en quién hizo clic o no, la comprensión de la concientización sobre seguridad se ve comprometida. Esta perspectiva limitada no favorece una postura de seguridad resiliente, que requiere usuarios proactivos y comprometidos.
Los correos electrónicos de phishing varían en dificultad, y el entrenamiento tradicional muchas veces no considera esta variabilidad. Algunos correos son fáciles de identificar, mientras que otros son más sofisticados. Sin comprender por qué un usuario cayó en una simulación de fraude y hizo clic en el correo, no es posible abordar eficazmente las causas subyacentes.
¿Estaban inseguros sobre señales específicas de phishing? ¿Se sintieron presionados? ¿Faltó comprensión sobre las posibles consecuencias? Identificar los motivos específicos detrás de las acciones de los usuarios es crucial para dirigir los esfuerzos hacia lo que realmente importa.
Hacker Rangers PhishOS: un juego para la concientización sobre phishing
Ante este escenario, Hacker Rangers, referente en concientización sobre seguridad gamificada y cultura organizacional positiva, tiene el placer de presentar su más reciente innovación: ¡Hacker Rangers PhishOS, un juego innovador para entrenamiento de phishing!
Desarrollado en base a la Escala de Phishing del NIST, PhishOS desafía a los colaboradores a distinguir correos electrónicos legítimos de amenazas cibernéticas.
Al identificar un correo como phishing, el usuario debe señalar las pistas específicas por las que juzgó el correo como malicioso. ¿Fue la sensación de urgencia transmitida por el correo? ¿La ausencia del logotipo de la marca? ¿O quizás la información insuficiente sobre el remitente? Cada uno de los 36 indicadores de PhishOS ha sido cuidadosamente elaborado en base a los criterios delineados por el NIST como esenciales para la detección de phishing.
La importancia del contexto: con la gamificación, ¡todo es diversión!
La mayoría de las simulaciones de phishing actualmente toman a los usuarios por sorpresa, lo que puede generar confusión y ansiedad.
Hacker Rangers PhishOS transforma el entrenamiento de phishing en una experiencia envolvente, donde los usuarios asumen el papel de un ciberhéroe para ayudar a uno de los Rangers a identificar si un correo es un intento de phishing o no.
Poniendo el entrenamiento en un contexto interactivo y amigable, PhishOS proporciona un entorno controlado y diseñado específicamente para fines educativos. Este enfoque reduce la ansiedad y motiva a los usuarios a aplicar su verdadero conocimiento sobre phishing, sin la presión de sufrir malas consecuencias por ello.
¿Y lo mejor? El juego ofrece una comprensión integral de las acciones de todos los usuarios, ya que deben señalar lo que identificaron como una señal de alerta. Esto garantiza un análisis más profundo y completo de la concientización sobre phishing en tu organización, permitiendo medir y analizar el comportamiento de los colaboradores de manera más eficaz.
Superando desafíos de uso de marcas
Con PhishOS, tu organización puede superar los desafíos asociados al uso de marcas reales en simulaciones de phishing.
En las campañas tradicionales de phishing, utilizar nombres de marcas reales es crucial para crear escenarios realistas, pero también puede presentar problemas significativos. Estas simulaciones pueden perjudicar inadvertidamente la reputación de una marca o incluso infringir leyes de marcas registradas.
PhishOS supera estos desafíos ofreciendo un entorno de simulación controlado. Al incorporar simulaciones de phishing en un formato de juego envolvente, los usuarios comprenden que el ejercicio es puramente educativo. Esto te permite utilizar nombres de marcas libremente, sin preocupaciones.
¡Prueba PhishOS gratuitamente por 15 días!
Hacker Rangers es una plataforma de entrenamiento de concientización sobre seguridad completamente gamificada que ya ha ayudado a más de 1 millón de usuarios a adoptar hábitos más seguros en sus empresas.
¡Visita hackerrangers.com y prueba PhishOS gratuitamente por 15 días!
Producción: Equipo de Contenido de Perallis Security
Fuentes:
¹ https://www.ibm.com/reports/data-breach
² https://www.ic3.gov/Media/PDF/AnnualReport/2022_IC3Report.pdf
³ https://keepnetlabs.com/blog/2024-security-awareness-training-statistics