¿Qué es el phishing?
El phishing es un tipo de fraude cuyo principal objetivo es robar información y credenciales de acceso de algún individuo u organización, o bien infectar algún dispositivo de la víctima.
Para ello, se suele utilizar el correo electrónico, aunque también se pueden emplear otros medios como mensajes SMS (smishing), redes sociales, aplicaciones de mensajería instantánea o llamadas de teléfono (vishing). Los ciberdelincuentes simulan ser una entidad legítima (red social, banco, institución pública, etc.) o suplantan la identidad de una persona.
Para conseguir la información suelen incluir un enlace en el e-mail que dirige a una web fraudulenta, normalmente una réplica de una real, en la que se le solicita determinada información. Para infectar el equipo se suele emplear algún archivo adjunto que, al interactuar con él (descargarlo o abrirlo) infecta el sistema.
Beneficios de contratar una simulación de campañas de phishing
- Permite concienciar de manera práctica a los usuarios de que es un phishing y las técnicas de ingeniería socia que suele utilizar este tipo de fraude.
- Permite reducir el impacto de potenciales ataques de phishing dentro de la organización y por lo tanto mejorar la seguridad.
- Permite documentar a través de informe y estadísticas asociadas del progreso de las campañas de concienciación e incidir en la formación en caso de que sea necesario.
¿Qué es una simulación de phishing?
La simulación de phishing es un ejercicio práctico y controlado que ayuda a los empleados de una organización a reconocer y evitar fraudes, suplantaciones de identidad, spam, malware y otras amenazas similares. El objetivo principal de estos ejercicios de concienciación es dar capacidad a los empleados, a través de la práctica y del conocimiento, de identificación de amenazas, convirtiéndoles en la primera barrera de defensa en la empresa frente a un ciberataque.
Ejemplos de simulaciones de phishing que se suelen realizar son:
- Técnicas de engaño e ingeniería social generalmente vía email para la obtención de información personal o información confidencial.
- Uso de enlaces o archivos adjuntos aparentemente dañinos.
- Uso de sitios web falsos, réplica de otros reales.
- Suplantaciones de identidad.
Pasos a la hora de crear ejercicios de simulación
Cualquier ejercicio de simulación de ataques debe estar perfectamente planificado y enfocado en lograr los objetivos propuestos por la organización. De la misma forma, todo ejercicio de simulación debe estar delimitado a lo acordado previamente y monitorizado constantemente a través de indicadores (KPIs).
Los pasos a seguir son los siguientes:
- Planificación: Se delimita el alcance de la campaña, las reglas de participación y se concretan los recursos necesarios para llevarla a cabo.
- Despliegue: Se diseña la campaña de engaño que se va a llevar a cabo en la organización y se despliegan y configuran los recursos necesarios para que la campaña de phishing sea efectiva.
- Ejecución: Se envían los correos electrónicos y se monitorizan la actividad para verificar el progreso de la misma y la limitación de alcance.
- Informes: Se recogen y analizan las estadísticas recopiladas y los datos de actividad. Una vez finalizada la campaña y con los datos ya recopilados se debe retroalimentar todo el proceso de simulación para detectar posibles errores, puntos de mejora o acciones recomendadas.
¿Dónde recibir asesoramiento o contratar los servicios de un equipo de respuesta a incidentes?
Desde el BCSC, se pone a disposición de las empresas y la ciudadanía el “Libro Blanco de la Ciberseguridad en Euskadi” en el que se incluye el catálogo de empresas de ciberseguridad, en el ámbito de Euskadi, que ofrecen este tipo de servicios.
Este Libro Blanco pretende servir de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un catálogo vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan.
