Es típico que en el ámbito de la concienciación los usuarios se hagan la pregunta del tiempo que dura un ataque de phishing. Esta duda surge porque una de las formas más efectivas de combatir una amenaza de estas características es con una simulación de un ataque de phishing. Con este procedimiento, las empresas pueden ver el riesgo que corren si sufren uno real.
De esta manera, muchas compañías lanzan simulaciones que duran semanas enteras e incluso meses con la creencia de que cuanto más tiempo esté activa la prueba, más probabilidades habrá de que los empleados caigan en la trampa y mayor preparados saldrán del proceso.
Pero, si se tiene en cuenta la duración de las campañas reales, se comprobará rápidamente que lanzar una simulación que dure semanas no es la mejor elección.
Las campañas de phishing, cada vez más difíciles de combatir
No es una buena decisión utilizar simulaciones que duren mucho tiempo porque, aunque las campañas de phishing puedan tener una duración variable, si hacemos una media de todas las que se ejecutan en el mundo, en general son de corta duración.
Según un estudio difundido en el sector, estas campañas duran una media de 15 horas, siendo el tiempo mínimo unos 15 minutos y el máximo 44 horas. Además, hay que tener en cuenta que la gran mayoría de las campañas que se analizaron en la investigación duraron menos de un día entero.
Los ataques de phishing han reducido el tiempo de exposición para evitar que las empresas puedan brindarse contra los correos y los sitios webs que se encontraban infectados. Esto ha provocado que ahora sea más difícil detectarlos, ya que duran menos tiempo.
Pero no solo duran menos los ataques para evitar que las empresas puedan prepararse mejor para combatirlos, sino que estos utilizan sitios legítimos que han sido infectados para eludir así las clasificaciones en listas negras de interacciones que tengan su origen en sitios ilegítimos.
Con todo esto queremos decir que los ataques son cada vez más sofisticados y que necesitamos añadir un plus a la seguridad TI de la empresa para mantenerla a salvo.
Este valor añadido lo entregan los planes de simulación en ciberseguridad y, en concreto, las simulaciones.
¿Cómo realizar una simulación de phishing efectiva?
El secreto del éxito de las campañas de simulación de phishing se encuentra en la planificación, comunicación y análisis.
Dentro de la primera consideración (la planificación) será muy importante establecer previamente el tiempo de la simulación. Si tenemos en cuenta que las campañas de phishing son cada vez más cortas, una simulación para preparar a los empleados ante un eventual ataque tendría que ajustarse al tiempo de los ataques reales.
Con esto queremos decir que si muchos ataques duran 24 horas, nuestra simulación debería durar esa extensión o, como máximo, 24 horas más, pero sin pasarnos del límite de 48 horas.
Además, dentro de la planificación habrá que prestarle especial dedicación a investigar sobre las tendencias en ataques phishing. De esta manera, podrás proponer a tus empleados una simulación lo más realista posible. El nivel de realismo es clave para formar a los empleados en ciberseguridad y evitar que caigan en la trampa de este tipo de amenazas.
Para preparar una simulación exitosa también habrá que comunicar bien a los empleados que informen de cualquier amenaza que localicen e indicarles instrucciones claras y concisas para capturar información sobre las mismas.
Por último, el análisis es muy importante en una simulación. Muchas plataformas de concienciación generan datos sobre la misma que merece la pena analizar detenidamente para obtener conclusiones acertadas que permitan tomar mejores decisiones.
¿Necesitas proteger tu empresa contra phishing o cualquier otro ataque de ingeniería social? En Cargilar te facilitamos todo lo que necesitas para que puedas implementar con éxito un Plan de concienciación en ciberseguridad.