Programas de entrenamiento contra phishing consumen recursos sin mejorar seguridad digital de compañías
Los fraudes de phishing siguen golpeando a las víctimas con inquietante regularidad. Es por ello que el Anti-Phishing Working Group, el cual recopila datos de múltiples organismos alrededor del mundo, ha informado acerca de casi un millón de ataques de phishing en los últimos 3 meses de 2024, esto equivale a siete por minuto, cada minuto del día.
Se trata de los casos que las empresas que son miembros reportan al APWG, cada incursión cuesta a los negocios, debido a que los ciberdelincuentes logran que las víctimas entreguen contraseñas o datos bancarios. Un análisis señala que se pierden más de 17 mil dólares por minuto debido a los ataques de phishing.
Esto hace rentable que las compañías intenten enseñar a sus trabajadores a ser más escépticos con los correos que reciben. La capacitación contra el phishing no resulta demasiado costosa a nivel individual; el entrenamiento básico en línea tiene promedio de un dólar al mes por trabajador, aunque puede subir a cinco o más por persona al mes.
Con frecuencia, los proveedores de formación más personalizada cobran a sus clientes una tarifa anual. Para organizaciones con cientos o miles de empleados, los costes se acumulan rápido. Además, los líderes corporativos históricamente lo han visto como dinero bien invertido.
Tras capacitar al personal, se le pone a prueba con correos tentadores de vez en cuando. Si hacen clic, suelen recibir aún más entrenamiento. Sin embargo, un nuevo estudio con más de 12 mil empleados de una firma Fintech de los Estados Unidos, sugiere que la capacitación antiphishing puede ser algo peor que inútil.
Los especialistas pensaban que verían alguna diferencia, debido a que suponían que dedicar más más tiempo a entrenamientos interactivos y ese tipo de cosas mejoraría el desempeño. No obstante, no ha marcado diferencia en ningún modo significativamente medible. De hecho, se ha visto un ligero aumento en la cantidad de clics sobre correos de phishing muy sencillos.
TIC Defense tiene a disposición de tu empresa un conjunto de productos, servicios y herramientas de última tecnología, las cuales se encargan de proteger los activos digitales de las organizaciones. Además, se ajusta a las necesidades de tu organización.
Por estas razones, los expertos no creen que los cursos o programas de entrenamientos antiphishing sean un método de formación particularmente eficaz, según los expertos. En parte, por su frecuencia, si se quiere que las personas cambien un comportamiento, se debe trabajar en dicho comportamiento de manera constante, una vez al año, que es el nivel de formación que algunas reciben, parece un plazo insuficiente.
Los descubrimientos parecen contradecir lo que se asume comúnmente, pero por eso mismo son relevantes, según los especialistas. La ciberseguridad mejora mucho cuando se basa en datos empíricos, sugiriendo que la “intuición” ha llevado a que tanta educación de usuarios haya sido equivocada y, probablemente, hubo un exceso de confianza en su eficacia, según las afirmaciones de especialistas en el tema.
Esto recuerda a trabajos que han demostrado que algunos consejos originales acerca de contraseñas resultaron erróneos cuando se verificaron con estudios de campo. Además, los expertos señalan que la orientación bien intencionada de cambiar contraseñas de forma mensual, por ejemplo, ha sido llevada al extremo por la compañías. Estas empresas obligaban a los empleados a cambiarlas constantemente, lo que derivó en contraseñas más fáciles de adivinar.
