Últimos años Informe de violaciones de datos de Verizon descubrió que el 80% de todos los ataques de seguridad cibernética comenzaron con un correo electrónico de phishing que incitaba al destinatario a hacer clic en un enlace, abrir un documento o descargar un archivo, por lo que no sorprende que las empresas quieran crear conciencia y probar qué tan buenos son sus empleados en detectar falsificaciones. Y a medida que los ciberdelincuentes se vuelven más sofisticados en la ingeniería social, los ejercicios de ataque simulado deben emular con precisión las tácticas, técnicas y procedimientos utilizados por los atacantes reales.
Los mejores anzuelos para una campaña de phishing tienden a ser aquellos que tendrán el mayor impacto emocional en el objetivo que juegan con nuestros miedos o ansiedades, o brindan esperanza, recompensa e incentivo.
Durante la pandemia, los ciberdelincuentes no se han contenido y han aprovechado al máximo la crisis con ofertas de pagos falsos, pruebas de Covid-19 con descuento, EPP y vacunas. En el pico del coronavirus en 2020, Kaspersky identificó más de 5000 sitios web de phishing relacionados con la pandemia.
Pero cuando se trata de diseñar pruebas de phishing para ver qué tan bueno es su personal para detectar falsificaciones, ¿dónde traza la línea? West Midlands Trains llegó a los titulares el año pasado, acusado de sobrepasarse. La empresa envió un correo electrónico a unos 2500 empleados para agradecerles su arduo trabajo durante la pandemia y les ofreció un pago único como recompensa.
Pero aquellos que hicieron clic en el enlace para leer un mensaje del director gerente recibieron un correo electrónico con un mensaje que les decía que era una “prueba de simulación de phishing” diseñada por la compañía y que no habría bonificación.
Ese incidente inevitablemente generó muchas críticas y debates, sobre todo entre las empresas y los equipos de seguridad interna que realizan estos ejercicios simulados. Cada gancho que usamos para una prueba de ingeniería social tiene la posibilidad de molestar a una persona objetivo, por lo que debe haber un equilibrio entre el realismo de una simulación y la obligación de proteger a los empleados del estrés o el daño.
Moralmente, tenemos el deber de cuidar a aquellos a quienes apuntamos, lo que significa que debemos minimizar la angustia. Pero es un área gris que los profesionales de la seguridad cibernética tienen que navegar con sus clientes.
En lugar de preguntar si las pruebas de phishing como la realizada por West Midlands Trains son moralmente incorrectas, sería mejor preguntarse si son contraproducentes. La seguridad cibernética es un problema de todo el negocio, no solo un problema de TI, y los mejores resultados de seguridad se logran con una fuerza laboral positiva y comprometida. Si estos ejercicios pueden hacer que los empleados se sientan molestos, agraviados y menos valorados, en última instancia, esto tiene el potencial de dañar la resiliencia general de la seguridad cibernética.
Por supuesto, el contraargumento es que los ciberdelincuentes no tienen reparos en decidir con qué emociones jugarán para lograr sus fines, lo que puede ser devastador para las empresas y sus empleados. La ingeniería social consiste en mentirle a la gente, abusar de la confianza o traicionar las relaciones. Estas son tácticas que usan los adversarios sin tener en cuenta a sus víctimas, y si queremos simular con precisión la cadena de ataque, también debemos adoptar estas técnicas.
Aunque este es un punto válido, no es de nuestro interés perder de vista el bienestar de nuestras víctimas humanas al simular adversarios avanzados. Una mejor manera de transmitir ese mensaje a la población de usuarios es educarlos sobre los tipos de presión psicológica que los delincuentes tienden a aplicar.
Incluso una tasa de respuesta cero en cualquier tipo de ejercicio de phishing no es motivo para esperar que su personal esté a salvo de los riesgos de ingeniería social de un adversario determinado. Puede ser una métrica útil para medir, pero un atacante solo necesita un único punto de apoyo en una organización para causar caos. La resiliencia real radica en la defensa en profundidad y un conjunto de controles en capas.
Perder la confianza de los empleados al descuidar el cuidado de aquellos que han sido víctimas de ataques de ingeniería social puede dañar las mismas relaciones en las que confía para proteger sus activos y datos. Si bien la ingeniería social es algo que debe hacerse para respaldar la simulación de la cadena de ataque, debemos tener en cuenta el costo humano y tomar medidas para garantizar que se minimice el daño a las víctimas. Este es un paisaje pintado en tonos de gris, pero olvidamos la humanidad de nuestros objetivos a nuestro propio riesgo.
Gemma Moore es directora de Cyberis