En la entrega anterior de este Especial Phishing os dejamos caer en las últimas líneas del post que el Phishing tenía solución. Decíamos que era imprescindible tener una solución de filtrado del email que fuera capaz de detectar y detener el SPAM y todas las amenazas en forma de suplantación de identidad que pueden circular en el email. Pero también señalábamos que estos filtros, aunque tremendamente efectivos, no son invulnerables, y una buena cantidad de SPAM y posibles ataques Phishing seguirán llegando a nuestras bandejas.
Los filtros del email son insuficientes
¿Por qué los filtros no son insuficientes? Las razones son varias, por un lado los ataques pueden venir dirigidos desde cuentas de confianza (amigos, colegas…) que hayan sido infectadas al carecer de la seguridad adecuada; otras veces se trata de ataques extremadamente sofisticados y dirigidos, es decir, que siempre hay un riesgo y reducirlo al mínimo requiere de la colaboración de los usuarios. Hablamos del discernimiento de cada persona cuando recibe un email. Esta capa de seguridad tiene que ser formada y entrenada con cierta periodicidad.
Aquí entra en juego CLIC de Metafrase: un servicio de formación y entrenamiento para el Phishing que combina un entrenamiento activo de campañas de suplantación de identidad con una formación en ciberseguridad de alto valor añadido. En resumidas cuentas CLIC funciona de la siguiente manera: el cliente le solicita a Metafrase una campaña de concienciación y formación de CLIC. Metafrase estudia al cliente para ofrecerle una campaña personalizada y convincente. Sin previo aviso Metafrase lanza el ataque simulado por email a los usuarios que se haya convenido con el cliente previamente.
Cayendo en la trampa de CLIC
Una vez el ataque está en los buzones de los usuarios un elevado porcentaje de ellos morderá el anzuelo y abrirá el email o hará clic en los enlaces del email trampa. ¡Es lo que familiarmente llamamos incontinencia dactilar! Una vez acceda al engaño el software le notificará que ha sido víctima de un ataque simulado, pero que de haber sido real habría comprometido a toda la organización. A continuación le solicitará realizar un breve programa interactivo de formación que le ayudará a identificar próximos ataques a la par que incrementa sus conocimientos de ciberseguridad. Todos aquellos usuarios que afortunadamente supieron ver el engaño o no llegaron a ver siquiera el email en sus bandejas también recibirán una formación que les sirva de refuerzo a sus habilidades.
Cuando se dé por finalizada la campaña de formación CLIC permite generar un informe especialmente útil para los responsables de RRHH, Compliance y IT pues les permitirá valorar el nivel de compromiso con la ciberseguridad de la compañía y las tasas de éxito y fallo de sus empleados. Con datos individualizados o agregados anónimamente esta es una gran herramienta para auditar la gran desconocida de la ciberseguridad: la capacitación de los usuarios.
En definitiva, CLIC es una herramienta muy útil para entrenar a los usuarios en la difícil tarea de distinguir emails legítimos de fraudes, pero además es un novedoso sistema de programas formativos de diversa índole: desde los más genéricos temas de ciberseguridad hasta la protección de datos o compliance. Pruébalo.
