¿Qué es y cómo funciona el ethical phishing?

A diario convivimos con diversas amenazas informáticas que son un riesgo tanto para nosotros como para nuestra organización de trabajo. Los ciberdelincuentes perfeccionan cada vez más sus prácticas, haciéndolas sofisticadas y resistentes a la ciberseguridad convencional, por lo que es fundamental que las empresas implementemos medidas de prevención que nos ayuden a evitar este tipo de ataques.

Respondiendo a esta necesidad surge el ethical phishing, una técnica que cada vez se hace más frecuente dentro de las empresas y que tiene como propósito poner a prueba las prácticas de seguridad de los trabajadores. Esta acción consiste en simular correos electrónicos parecidos a los maliciosos, imitando un escenario real en donde los empleados se podrían ver afectados.

En este tipo de simulación -que se realiza con todos los empleados o con un grupo objetivo- se utilizan plantillas de correo que son creíbles y de uso común. Su realización permite obtener métricas de comportamiento de los trabajadores, aumentar el nivel de concientización en la empresa y proteger a los usuarios ante posibles ciberataques.

Caso Grupo DF

En el mes de mayo nuestra organización realizó una campaña de ethical phishing, en un grupo objetivo que fue seleccionado siguiendo una serie de criterios, como por ejemplo, personas que por sus labores están más expuestas a sufrir algún tipo de ciberataque o quienes -en el caso de ser vulnerados- exponen nuestra plataforma web.

Esta acción se hizo a través de una empresa externa y contó con cinco campañas diferenciadas. La principal conclusión que se obtuvo tras esta acción fue que debemos continuar trabajando por reforzar las medidas de seguridad y concientización de los trabajadores, ya que algunos de ellos accedieron a los enlaces que simulaban ser maliciosos, lo que -en el caso de un ataque real- podría generar una brecha de seguridad grave en nuestra empresa.