Un simulacro de phishing es un ejercicio de ciberseguridad que pone a prueba la capacidad de una organización para reconocer un ataque de phishing y responder a él.
Un ataque de phishing es un mensaje de correo electrónico, texto o voz fraudulento diseñado para engañar a las personas para que descarguen malware (como ransomware), revelen información confidencial (como nombres de usuario, contraseñas o datos de tarjetas de crédito) o envíen dinero a las personas equivocadas.
Durante un simulacro de phishing, los empleados reciben correos electrónicos (o mensajes de texto o llamadas telefónicas) de phishing simulados que imitan los intentos de phishing del mundo real. Los mensajes emplean las mismas tácticas de ingeniería social (p. ej., hacerse pasar por alguien a quien el destinatario conoce o en quien confía, crear una sensación de urgencia) para ganarse la confianza del destinatario y manipularlo para que emprenda una acción imprudente. La única diferencia es que los destinatarios que muerden el anzuelo (p. ej., haciendo clic en un enlace malicioso, descargando un archivo adjunto malicioso, introduciendo información en una página de destino fraudulenta o tramitando una factura falsa) simplemente no superan la prueba, sin repercusiones negativas para la organización.
En algunos casos, los empleados que hacen clic en el enlace malicioso simulado son llevados a una página de destino en la que se les indica que han sido presa a un ataque de phishing simulado, con información sobre cómo detectar mejor estafas de phishing y otros ciberataques en el futuro. Después del simulacro, las organizaciones también reciben métricas sobre las tasas de clics de los empleados y, a menudo, hacen un seguimiento con formación adicional en concienciación sobre el phishing.
Las estadísticas recientes muestran que las amenazas de phishing siguen aumentando. Desde 2019, el número de ataques de phishing ha crecido un 150 % por año, y el Anti-Phishing Working Group (APWG) ha informado de un máximo histórico de phishing en 2022, con el registro de más de 4,7 millones de sitios de phishing. Según Proofpoint, el 84 % de las organizaciones en 2022 experimentaron al menos un ataque de phishing con éxito.
Dado que ni siquiera las mejores pasarelas de correo electrónico y herramientas de seguridad pueden proteger a las organizaciones de todas las campañas de phishing, las empresas recurren cada vez más a los simulacros. Los simulacros de phishing bien elaborados ayudan a mitigar el impacto de los ataques de dos formas importantes. Los simulacros proporcionan la información que los equipos de seguridad necesitan para educar a los empleados con el fin de que reconozcan y eviten mejor los ataques de phishing de la vida real. También ayudan a los equipos de seguridad a detectar vulnerabilidades, mejorar la respuesta general ante incidentes y reducir el riesgo de vulneraciones de datos y pérdidas financieras derivadas de intentos de phishing culminados con éxito.
Las pruebas de phishing suelen formar parte de una formación más amplia en concienciación sobre seguridad dirigida por los departamentos de TI o los equipos de seguridad.
El proceso generalmente implica cinco pasos:
Una vez que completan estos pasos, muchas organizaciones compilan un informe exhaustivo que resume los resultados del simulacro de phishing para compartirlo con las partes interesadas pertinentes. Algunas también utilizan los conocimientos adquiridos para mejorar su formación en materia de concienciación sobre la seguridad antes de repetir el proceso con regularidad para mejorar dicha concienciación y adelantarse a las ciberamenazas en evolución.
Al realizar una campaña de simulacro de phishing, las organizaciones deben tener en cuenta lo siguiente.
Los simulacros de phishing y las formaciones en concienciación sobre seguridad son medidas preventivas importantes, pero los equipos de seguridad también necesitan capacidades de detección y respuesta ante amenazas de última generación para mitigar el impacto de las campañas de phishing realizadas con éxito.