En diciembre de 2020, la empresa de dominios de internet GoDaddy envió a 500 de sus empleados un correo en el que les prometía un bono navideño de 650 dólares. Lo único que tenían que hacer era rellenar un formulario con su información personal.
Aquello era mentira.
Dos días después, los empleados de la empresa recibieron un correo de responsable de ciberseguridad de la empresa en el que se indicaba que "has recibido este correo electrónico porque suspendiste nuestro reciente simulacro de phishing".
Una captura del correo de phishing generado por los propios responsables de GoDaddy. Fuente: The Copper Courier.
Aquella estrategia no tuvo muy buena acogida entre los empleados, que se sintieron engañados. La empresa incluso afirmó disculparse que habían percibido que el correo había sido "poco sensible", pero es que unos meses antes esa misma empresa, GoDaddy, había informado de un ciberataque en el que se habían robado datos de unos 28.000 empleados. El origen de aquella intrusión fue que uno de sus empleados había sido víctima de un ataque de phishing personalizado.
Los simulacros de phishing llevan siendo una práctica habitual en empresas desde hace años. Una de las compañías que proporciona un servicio para realizarlos, Knowbe4, indicó en aquel momento que 17.000 organizaciones usaron su plataforma para enviar 9,5 millones de correos de phishing a cuatro millones de usuarios.
Pero como indicaron en HBR, hay que ser especialmente cuidadoso con este tipo de simulacros. Ofrecer por ejemplo bonificaciones falsas puede acabar dañando la relación entre empleados y empresa. Los estudios revelan que para realizarlos de forma adecuada hay que hacer simulacros dirigidos a grupos, y no a personas específicas, y que es importante no avergonzar a nadie si por ejemplo alguien ha caído en la trampa.
No solo eso: es importante "gamificar" la experienca y recompensar a aquellos que detectan esos correos tanto a la primera como en intentos posteriores para animar a los empleados y que aprendan a estar alerta ante este tipo de ataques.
Simulacros hasta contraproducentes
De hecho, los expertos de ciberseguridad de Google desaconsejan esta práctica. En un artículo publicado en mayo de 2024 Matt Linton, "especialista en caos" en Google, nos recordaba cómo cuando se iniciaron los simulacros de incendio, muchas personas resultaron heridas en esos simulacros al no estar bien diseñados y la gente tomárselos totalmente en serio. Fueron las mejoras en la construcción y la regulación que obliga a tener extintores las que ayudaron a evitar desastres mayores en casos de incendio.
Los actuales simulacros de phishing se parecen según Linton a aquellos primeros simulacros de incendio. La propia Google, eso sí, realiza esos simulacros, enviando correos a los que siguen formaciones para que los empleados no sean engañados por estos correos.
Pero es que los propios responsables de Google indican que "no hay evidencia de que los resultados de estas pruebas tengan como resultado menos incidencias de campañas de phishing exitosas". En uno de los estudios citados con 14.000 participantes, se mostró un efecto contraproducente para estos simulacros, indicando que quienes "clican de forma repetitiva" en estos correos suspenden estas pruebas a pesar de simulacros recientes.
Además, destacaban, los empleados acaban teniendo una percepción negativa de estas pruebas, y creen que la seguridad de su empresa "está jugando con ellos", lo que degrada la confianza que los empleados tienen en los equipos de ciberseguridad de la empresa.
Así, aunque es importante enseñarle a la gente cómo detectar posibles mensajes de phishing y alertarles de la ingeniería social, tratar de engañar a los propios empleados no parece funcionar. Es mucho más adecuado educar a los empleados, informarles de cómo actuar, y recolectar datos para mejorar esas formas de luchar contra el phishing. En Google también destacaban la relevancia de invertir en medidas de seguridad recomendadas como las claves de paso o la autenticación en dos pasos.
Sea como fuere, este tipo de pruebas siguen utilizándose de forma frecuente. Empresas como Microsoft, por ejemplo, proporcionan documentación detallada sobre cómo poner en marcha este tipo de campañas de correo falsas, y la FTC de EEUU proporciona incluso un pequeño cuestionario para educar a los internautas a la hora de diferenciar un correo de phishing.
Imagen | Solen Feyissa
Ver 6 comentarios
6 comentarios
wokan
Yo trabajo en una empresa de "Ciberseguridad" y llevo desde la semana pasada 15 empresas jodidas por Ransomware, phishings....
Llegas y te encuentras que aquello es todo campo, nada actualizado todo dios son admin, no hay control de nada, todo información sensible (que te pueden meter un puro de cárcel como se filtre esa información)....pero eso si, ipads y mierdas de colores a tutiplen.
Esto lo puedes ver desde una empres a 2 personas a empresas de 1500 empleados.......
De momento este 2025 el premio se lo llevan los bufetes de abogados, llevo 10 en enero por Ransomware....es un chiste XDDD
eduardovv
En mi empresa se han realizado dos o tres campañas de este tipo, y hay quien ha fallado y quien ha acertado.
Y si es necesario estar al tanto de este tipo de amenazas y reportarlas al responsable.
Estos simulacros serían como poner un policía de incógnito a vender droga en una empresa...oye, si te ofrecen droga di no. Es tan sencillo como eso.
Obviamente los datos son anónimos y tenemos periódicamente formaciones para este típo de cosas.
No sé quién puede pensar que es algo negativo para el trabajador...me preguntó que tipo de trabajador se sentirá "engañado" si tu empresa te manda un phishing y tú picas...como un tonto.
l0ck0
pues me parece perfecto y si como decis en el articulo que pasa en goggle hay gente reincidente que cae continuamente a pesar de que se les avisa y en su puesto se maneja informacion sensible... pues a la puta calle, y si son funcionarios/politicos inabilitacion de por vida para todo cargo publico.
igual que no puedes ser policia si has cometido algun delito tampoco deberias poder manejar cierta informacion sensible si no aprendes un minimo se seguridad informatica.
elhot69
Donde trabajo es una empresa grande mas de 3000 cuentas de correo, tenemos el knowbe4 para esto de las campañas de entrenamiento, recientemente lanzaron una campaña y cayeron mas de 400 cuentas, por mucho que eduques al usuario en temas de ciberseguridad siempre hay alguno que le cuelas cualquier cosa.
jrballesteros05
Donde yo trabajo, envían un montón de correos de publicidad interna de la misma empresa, yo suelo borrar la mayoría de esos correos porque me parecen inútiles. Resulta que un día me apareció que yo había fallado en una prueba de phishing de Knowbe4 porque no reporté un correo de una de sus pruebas, es que no lo reporté porque directamente lo borré con todo el SPAM que me manda la misma empresa.
Pregunté a varios de mis compañeros para ver si era el único que había "caído" y resulta que los demás también cayeron.
No sé si hay otro tipo de pruebas, pero esa en particular de "reportar phishing" me pareció cuanto menos lamentable, teniendo en cuenta que la misma empresa te llena el correo de basura.