Prevención interna

¿Quién llama? Concienciación sobre el vishing mediante una simulación

7 minutos de lectura

Cuando se trata de proteger a tu empresa de las ciberamenazas más avanzadas, la educación es la primera línea de defensa. Sin embargo, los seminarios de ciberseguridad convencionales y los correos electrónicos educativos distribuidos masivamente a menudo no logran comunicar un mensaje de manera eficaz a los empleados. Considera la formación basada en simulaciones para que la experiencia formativa sea más atractiva.

Por muy sólidas que sean las defensas de tu software, no pueden impedir que un atacante decidido explote la psicología humana para obtener acceso no autorizado. Conscientes de ello, muchas empresas están tomando medidas proactivas para preparar a sus empleados a enfrentarse a las llamadas técnicas de ingeniería social.

Uno de los métodos que pueden utilizar es realizar un ejercicio de simulación. Veamos una prueba en tiempo real que demuestra lo preparado que puede estar un equipo para enfrentarse a ataques de phishing por voz.

¿Qué es el vishing?

El vishing, abreviatura de "phishing de voz", es una técnica astuta que consiste en que un atacante manipula a las personas para que divulguen información confidencial o transfieran dinero a través de una llamada telefónica. A diferencia del phishing tradicional basado en el correo electrónico, el vishing aprovecha la inmediatez y la naturaleza personal de la comunicación por voz.

Los resultados de un ejemplo real

La resistencia al vishing se puso a prueba en empleados de una empresa tecnológica anónima.

Durante la prueba, los empleados se encontraron con un atacante que asumía tres roles distintos:

  • Apoyo al departamento financiero: En este escenario, el atacante se hizo pasar por un agente de soporte del departamento financiero, insistiendo en la confirmación de los datos personales enviados por correo electrónico. Para acceder al archivo supuestamente crítico, se requerían credenciales de inicio de sesión.
  • Auditor externo: El atacante se hizo pasar por un representante de una falsa empresa de auditoría, solicitando a los administradores que rellenaran un formulario en línea. Sin embargo, el acceso al formulario dependía de que proporcionaran sus credenciales.
  • Colega en excedencia: En el tercer escenario, el atacante se hizo pasar por un compañero de trabajo sin acceso al ordenador, en busca de ayuda urgente. Para resolver el problema había que conectarse a una aplicación externa.

Sorprendentemente, los sujetos de esta prueba se mantuvieron firmes y repelieron eficazmente los avances del atacante. Ninguno de ellos fue víctima de los intentos de vishing. Esto subraya la importancia de la educación continua en ciberseguridad, ya que se trata de empleados de una empresa con un sólido programa de concienciación cibernética, que incluye formación periódica en diversas formas.

Enfrentados a una situación potencialmente cuestionable, recordaron y aplicaron hábilmente los principios preventivos que habían adquirido previamente, protegiendo así a su empresa de las posibles ramificaciones de un ataque de ingeniería social.

Prácticas anti-vishing: ¿Cómo evitar convertirse en víctima?

1. Ser consciente de los peligros potenciales

Estar alerta siempre que se reciba una llamada inesperada de cualquier "autoridad", por ejemplo, un banco, una institución gubernamental o un servicio técnico. Aunque la persona que llama pueda ser quien dice ser, siempre es bueno conocer los riesgos potenciales y proceder con cautela.

2. Validar la identidad de la persona que llama

Los empleados que participaron en el simulacro anterior siempre intentaron validar la identidad de la persona que llamaba, y es la práctica correcta. Cuando se recibe una llamada sospechosa, pide el nombre completo de la persona que llama, sus datos de contacto e información sobre la organización. No dudes en cotejar estos datos con fuentes oficiales, como el sitio web de su organización o comunicaciones anteriores.

3. Hacer preguntas desafiantes

Desconcertar a los posibles agresores planteándoles preguntas que no puedan responder fácilmente. Dependiendo del contexto, pregunta sobre interacciones previas, supervisores o conocidos comunes. Profundiza en la conversación para intentar sacar a la luz incoherencias y revelar su verdadera naturaleza.

4. Tener precaución con las solicitudes urgentes

Los atacantes de vishing suelen insinuar urgencia para influir en sus objetivos. Mantente alerta y sospecha ante cualquier solicitud urgente. No te dejes acorralar para tomar decisiones precipitadas.

5. Verificar e informar

En caso de duda, interrumpe la llamada y ponte en contacto de forma independiente con el representante oficial de la institución. Informar de las llamadas sospechosas es crucial, ya que contribuye a los esfuerzos colectivos de ciberseguridad.

6. Apostar por la educación y el fomento de la concienciación cibernética

Comparte estas ideas con toda tu organización. Cualquiera puede convertirse en objetivo de un ataque de vishing. Crea una cultura de concienciación cibernética e inculca la importancia del escepticismo.

6 pasos para realizar con éxito una prueba de simulación de vishing

Al realizar simulaciones de vishing, capacitarás a tu equipo para reconocer y resistir las amenazas de vishing. El objetivo no es señalar con el dedo ni castigar a los empleados que tropiecen, sino mejorar su conciencia cibernética. Trata cada simulación como una oportunidad para preparar con confianza a tus colegas para enfrentarse y repeler las tácticas de ingeniería social.

Paso 1: Definir los objetivos y el alcance

Empieza por establecer unos objetivos claros para el simulacro de vishing. ¿Evaluar la respuesta de los empleados ante llamadas telefónicas sospechosas o evaluar la eficacia del programa de formación en seguridad de tu empresa? Determina el alcance del simulacro, incluidos los departamentos, empleados o funciones específicas a los que pretendes dirigirte.

Paso 2: Obtener la aprobación de la dirección

Explica la finalidad, las ventajas y los posibles resultados del ejercicio de vishing a la dirección de tu empresa. Aborda cualquier preocupación y destaca cómo este enfoque proactivo puede ayudar a identificar vulnerabilidades y reducir el riesgo de infracciones de seguridad en el mundo real.

Paso 3: Desarrollar escenarios

Elabora escenarios de vishing realistas que imiten las amenazas potenciales a las que se pueden enfrentar tus empleados. Considera escenarios en los que las personas que llaman se hagan pasar por técnicos de soporte de TI, proveedores de servicios o incluso personal interno que busca información confidencial. Elabora un guion convincente y plausible, asegurándote de que contiene las señales de alarma típicas de los intentos de vishing, como la urgencia, la intimidación y la solicitud de datos confidenciales.

Paso 4: Informar y formar a los empleados

Antes de poner a prueba a los empleados, recuérdales la importancia de la concienciación sobre ciberseguridad y anímelos a seguir los protocolos establecidos al tratar con llamadas sospechosas. Realiza sesiones de formación de actualización si es necesario.

Paso 5: Evaluar los resultados

Tras el simulacro, recopila y analiza los datos recogidos. Identifica tendencias, patrones y áreas de mejora. Organiza una sesión informativa con los participantes en la que se debata el objetivo del simulacro, los resultados y las lecciones aprendidas. Proporciona comentarios constructivos y utiliza ejemplos del mundo real para enfatizar la importancia de detectar un ataque de vishing.

Paso 6: Mejorar continuamente

Utiliza los conocimientos adquiridos en el simulacro de vishing para perfeccionar los programas, políticas y procedimientos de formación en seguridad de tu empresa. Baraja la posibilidad de realizar simulacros similares con regularidad para mantener un alto nivel de preparación y adaptabilidad de los empleados a las amenazas emergentes.

¿Estás preparado para poner a prueba las defensas de tu equipo? Con la preparación adecuada, un simulacro de vishing puede reforzar la ciberseguridad de tu empresa.

 

Seguir leyendo