Un nuevo estudio de la UE demuestra que los empleados son la mejor línea de defensa de una organización

Written By Guest User

Un estudio reciente de la UE respalda la postura de Beauceron Security que afirma que los empleados son la mejor línea de defensa de una organización. Sigue leyendo para conocer los detalles del estudio y cómo las organizaciones pueden beneficiarse de enseñar sobre el phishing a sus empleados.

BASES DEL ESTUDIO

Investigadores de ETH Zurich publicaron un estudio en colaboración con una organización anónima en diciembre de 2021 donde probaron hacer phishing a nivel organizacional durante un período de 15 meses, de julio de 2019 a octubre de 2020. Un total de 14,733 empleados de la organización anónima participaron en el estudio en 28 grupos organizacionales y 3827 equipos. Este es el primer estudio de phishing de esta magnitud y duración.

Para los fines del estudio, los datos de los participantes fueron analizados y clasificados por edad, sexo y uso de computadoras en función de su puesto dentro de la organización. Los participantes se dividieron en 12 «grupos de usuarios». De julio de 2019 a octubre de 2020, la organización envió 8 correos electrónicos de phishing simulados diferentes a cada participante. Estos recibieron los primeros seis primeros correos electrónicos en orden aleatorio y en intervalos aleatorios durante el primer año del estudio, y los últimos dos correos electrónicos en los últimos tres meses. Cinco correos electrónicos contenían un enlace a un sitio web de phishing, mientras que tres contenían un archivo adjunto. Estos correos electrónicos no estaban dirigidos a empleados específicos o puestos de la empresa, sino que se basaban en estafas de phishing reales dirigidas a toda la empresa.

El estudio utilizó la campaña de concientización sobre phishing existente que la organización utilizó con sus empleados antes del experimento. Los investigadores pidieron a la organización que enviara dos tipos de advertencias sobre el phishing simulado: advertencias cortas, que eran «visualmente idénticas a las advertencias estándar de Outlook ya existentes», y advertencias más largas y detalladas, que presentaban razones por las que el correo electrónico podía considerarse sospechoso. Luego, los participantes se dividieron en grupos que no recibieron advertencias de los correos electrónicos de phishing simulados, la advertencia corta y estándar, y la advertencia modificada más larga y detallada.

Los participantes que cayeron en el phishing fueron redirigidos a una página web de formación donde se le explicaba al empleado que había caído en el phishing, a qué debía estar atento en el futuro para identificar un phishing, un video instructivo y cuestionarios y materiales de aprendizaje adicionales. La formación contextual o correctiva se completó voluntariamente y los participantes que fueron redirigidos a la página web de la formación pudieron optar por no usarla. 

El estudio se basó en las siguientes 4 preguntas:

  1. ¿Quiénes son los empleados más vulnerables al phishing? 

  2. ¿Cuántos empleados terminarán cayendo en correos electrónicos de phishing debido a la exposición continua?

  3. ¿Cómo pueden las organizaciones ayudar a los empleados a prevenir el phishing mediante el uso de herramientas populares como la formación y las advertencias de phishing integradas en la parte superior de los correos electrónicos sospechosos?

  4. ¿Pueden los empleados ayudar colectivamente a la organización a prevenir el phishing? 

RESULTADOS DEL ESTUDIO

El estudio descubrió que los participantes hicieron clic en 6680 de los 117,864 ganchos de phishing simulados. Poco más del 32% hizo clic en al menos 1 intento de phishing, y el 25.4% llevó a cabo una acción peligrosa como resultado de ello. Los investigadores también vieron que los empleados más jóvenes entre las edades de 18 y 19 años hicieron clic en más intentos de phishing y realizaron acciones más peligrosas que cualquier otro grupo de edad. El estudio encontró que el grupo de edad con el mejor desempeño fueron las personas de entre 20 y 29 años y los mayores de 60 años. 

4260 participantes denunciaron al menos un correo electrónico de phishing durante el estudio. De manera alentadora, el botón para denunciar sospechas de phishing también se utilizó para los empleados de la compañía que no participaban en el estudio y que aprovecharon la oportunidad y denunciaron correos electrónicos sospechosos de phishing, incluso si no se les había pedido que lo hicieran. 

Las advertencias cortas y detalladas ayudaron en gran medida a los participantes a identificar los phishing simulados. Al comparar los datos, el grupo que no recibió ninguna advertencia hizo clic 3964 veces, en comparación con 1427 que sí tenían la advertencia corta y 1289 con la advertencia detallada. Dado que la desigualdad entre los datos de advertencia cortos y los detallados no muestra diferencias significativas, se concluyó que una advertencia detallada no disuadiría significativamente a un usuario de caer en el phishing. 

También se encontró que la formación contextual voluntaria (correctiva) no ayuda a los usuarios a identificar el phishing, ya que la tasa de clics y la tasa de acciones peligrosas fueron más altas para los participantes que fueron redirigidos a la página web de formación correctiva. Se deben realizar más investigaciones para determinar la causa de este resultado, pero la naturaleza voluntaria de la formación pudo haber desalentado a los usuarios de completar la formación, así como la naturaleza no específica de la página de formación con respecto al phishing específico en el que se hizo clic porque se asignó aleatoriamente a los participantes. 

El volumen alto y constante de intentos de phishing denunciados no disminuyó a medida que el estudio progresó y, de hecho, aumentó en los últimos meses del estudio cuando los dos intentos de phishing simulados finales se enviaron en estrecha sucesión. El estudio concluye que debido a que la notificación de sospechas de phishing se facilitó con el clic de un botón, los participantes estaban motivados para denunciar los phishing y no presentaban «fatiga de denuncia», donde el 90% de los participantes denunciaron seis o menos phishing simulados durante el estudio. 

El estudio también reveló y respalda nuestra postura de que los empleados son la primera y la mejor línea de defensa de una organización contra los ataques cibernéticos. A los 5 minutos de lanzar una campaña de phishing, el estudio encontró que en promedio, el 10% de los participantes denunciaron el phishing, y entre el 30 y 40% de los participantes lo denunciaron en media hora. 

 

Para leer el estudio completo, haz clic aquí.

¿Quieres saber cómo Beauceron Security puede ayudar a tu fuerza laboral a ser la mejor línea de defensa contra los ciberataques? Haz clic aquí para leer nuestro informe técnico sobre la formación antiphishing.

¿Te ha resultado útil esta entrada de blog? No dejes de compartirla con tus equipos y compañeros para fomentar una cultura de ciberseguridad positiva y bien informada.

Guest User
Previous

5 cosas que puedes hacer para impulsar el éxito continuo de tu programa de concientización cibernética
Next

Conceptos básicos de ransomware