Sigue a ZDNET: Agréganos como fuente preferida en Google.
Takeaways de llave de ZDNET
- El phishing es una amenaza importante y creciente para las empresas.
- Pero el entrenamiento de conciencia de phishing tiene una tasa de éxito mínima.
- Los investigadores instan a las organizaciones a invertir en contramedidas.
Un nuevo estudio ha confirmado lo que muchos de nosotros sospechamos: la capacitación de phishing de los empleados simplemente no vale la pena.
El estudiarrealizado por los investigadores de la salud y los censuros de UC San Diego, descubrieron que los programas de capacitación de ciberseguridad relacionados con el phishing no tuvieron ningún efecto sobre si los empleados fueron engañados o no por los correos electrónicos de phishing.
Después de analizar los resultados de 10 campañas de correo electrónico de phishing diferentes enviadas a más de 19,500 empleados en UC San Diego Health durante ocho meses, los investigadores encontraron «ninguna relación significativa entre si los usuarios habían completado recientemente una capacitación anual de seguridad cibernética y la probabilidad de enamorarse de los correos electrónicos de phishing».
El equipo también investigó si la capacitación de phishing integrada, cuando las organizaciones envían correos electrónicos de phishing simulados para ver si sus empleados se enamorarán de ellos, fue efectiva. En pocas palabras, no lo fue, y casi no hubo diferencia en las tasas de falla para aquellos que completaron el entrenamiento versus aquellos que no lo hicieron. Los grupos se separaron por una probabilidad reducida de caer en un correo electrónico de phishing de solo 2%.
Esto es especialmente preocupante, dado que se descubrió que el phishing era la principal causa de ransomware este año, alimentada por los infadores y el abuso de herramientas de IA, según una nueva Informe de amenaza de identidad de Spycloud. El phishing también fue el vector de ataque más reportado por las empresas que participaron en la investigación y fue citado por el 35% de las organizaciones afectadas, frente al 25% en 2024.
¿Qué es el phishing?
Phishing es un flagelo constante y es una amenaza que afecta a las personas, las PYME y las empresas por igual. Las campañas de phishing a menudo toman la forma de correos electrónicos fraudulentos o mensajes específicos diseñados para provocar curiosidad, pánico o miedo en sus destinatarios.
Al elaborar mensajes que inspiran miedo o urgencia, los ciberdelincuentes esperan que sus víctimas no dan un paso atrás y piensen racionalmente, sino que, más bien, hará clic en el pánico un botón o la información confidencial que se puede usar en el robo de identidad, con transacciones fraudulentas de conducir o para usar en ciberdineo más amplio.
Cuando la amenaza es tan grave, y una violación relacionada con el phishing puede conducir a graves consecuencias para una organización, incluido el robo de datos, la destrucción, las consecuencias financieras, el despliegue de ransomware y el daño de reputación, las empresas, naturalmente, buscarán soluciones.
Los programas de capacitación de phishing son una táctica popular destinada a reducir el riesgo de un ataque exitoso de phishing. Se pueden realizar anualmente o con el tiempo, y por lo general, se les pedirá a los empleados que vean y aprendan de los materiales de instrucción. También pueden recibir correos electrónicos de phishing falsos enviados por un socio de capacitación a lo largo del tiempo, y si hacen clic en enlaces sospechosos dentro de ellos, se registran estas fallas para detectar un correo electrónico de phishing.
Por qué la capacitación de phishing no funciona
Los investigadores de UC San Diego Health and Censys dijeron que el tema era importante para el éxito de un correo electrónico de phishing en su estudio. Por ejemplo, casi nadie hizo clic en un enlace para actualizar su contraseña de Outlook, mientras que más del 30% de los participantes hicieron clic en un enlace en un correo electrónico que pretendía ser una actualización del empleador de las políticas de vacaciones.
Cuanto más tiempo continuara un esquema de phishing, más probable es que un empleado haga clic en un enlace fraudulento, que aumenta del 10% de los participantes en el mes uno a más del 50% para el octavo mes.
«Tomados en conjunto, nuestros resultados sugieren que es poco probable que los programas de capacitación anti-phishing, en sus formas actuales y comúnmente implementadas, ofrezcan un valor práctico significativo para reducir los riesgos de phishing», dijeron los investigadores.
Según los investigadores, la culpa es la falta de compromiso en los programas modernos de capacitación en ciberseguridad, con las tasas de compromiso a menudo registradas como menos de un minuto o ninguno. Cuando no hay compromiso con los materiales de aprendizaje, no es sorprendente que no haya impacto.
Soluciones potenciales
Para combatir este problema, el equipo sugiere que, para un mejor retorno de la inversión en protección de phishing, podría funcionar un eje de ayuda más técnica. Por ejemplo, imponer dos o autenticación multifactor (2FA/MFA) en dispositivos de punto final y hacer cumplir el intercambio y uso de credenciales solo en dominios confiables.
También: Cómo funcionan PassKeys: la guía completa de su inevitable futuro sin contraseña
Eso no quiere decir que los programas de phishing no tengan un lugar en el mundo corporativo. También debemos volver a los conceptos básicos de los alumnos involucrados. Como ex maestro, sugeriría que las discusiones de mesa, los seminarios en persona e incluso la gamificación podrían proporcionar el vínculo faltante entre la capacitación y los resultados positivos.
