Estimada comunidad en esta oportunidad deseo compartirles mi participación en la conferencia de WOSEC Panamá este 2023 con la charla "La realidad del phishing, aprendiendo de los ataques simulados"
Antes que nada agradezco a todos los asistentes, a los miembros organizadores de WOSEC Panamá por hacer estos espacios de aprendizaje, intercambio de conocimientos y relacionamiento posible.
Antes de entrar en materia quisiera comentarles que dentro de mis labores cuento con aproximadamente 26 cuentas, es decir con más de 28 mil usuarios a los cuales, mi equipo y yo debemos de probarlos, capacitarlos y sobre todo bajar su índice de riesgo de caída de phishing.
Esto quiere decir darle a cada usuario las herramientas para que puedan reconocer ataques de phishing, puedan pensar antes de dar clic, descargar un archivo, escanear un código QR, etc.
Nuestro lema es “Dar las herramientas a nuestros usuarios para que sean el primer frente de seguridad”
Dentro de ello quisiera sumergirme en algunos datos
La creciente dimensión de volumen de datos digitales alcanzará una cifra colosal de 175 zetta bytes. Esta evolución no solo se debe al uso intensivo de videos, sino a las tendencias hacia la nueva Industria 4.0 que son ciudades inteligentes, telemedicina, robótica, autos autónomos, inteligencia artificial, nanotecnología, etc.
Por ello gestionar la seguridad de los datos, es el reto de todas las empresas
Entendiendo que los datos en una organización son un activo muy valioso, los ciberdelincuentes utilizan diferentes ataques para el robo de información, entre ellos:
ataques de fuerza bruta
malware
vulnerabilidad de sistemas
keylogger
pero el método más utilizado y más efectivo es el phishing
Algunos datos importantes que deseo destacar son:
El informe de phishing revela un aumento del 47.2 % en los ataques de phishing el año pasado.
Las herramientas de IA han contribuido significativamente al crecimiento de phishing ahorrando tiempo y recursos
Los casos de suplantación aumentaron un 64%
Les comparto algunos reportes, datos e información que me fueron de ayuda para entender las estadísticas, tendencias y lo que está sucediendo en amenazas de phishing los últimos años:
Recursos informes 2022 y 2023 sobre phishing
Phishing 2022 Informe Securelist, Informe Sophos 2023, Informe Phishing 2023 Zscaler e Informe de amenazas trelix
Los ataques de phishing requieren de creatividad e ingenio.
Las estafas de phishing va dirigido a todos los sectores financiero, gobierno, salud, educación “nadie se salva realmente”
El phishing es sin duda el “cibercrimen más importante del siglo XXI”
Ahora es más común encontrar noticias de diferentes compañías que han sido víctima de alguna estafa ocasionando pérdidas con grandes cantidades de dinero.
Nota: En Cyware Social pueden encontrar noticias en tiempo real de ciberseguridad
Tenemos que tener en mente que el phishing evoluciona constantemente y para los cibercriminales es muy rentable este tipo de ataques y suele utilizarse como catalizador para otro tipo de ataque, obtener datos de acceso a email, escalada de privilegios, etc.
Nosotros nos dedicamos a diseñar y crear los templates mes con mes para medir el indicie de riesgo por persona, por área o departamento con el fin de conocer el riesgo organizacional.
Los que han representado mas caidas son:
Internos de RH
Cambio de contraseña
Apps de colaboración (Teams, SharePoint, Forms, OneDrive o aplicaciones Slack, Okta, Google, etc)
Y no fallan correos con sentido de urgencia infracciones, compra de boletos, descuentos, etc
Cuando probamos a los usuarios lo que deseamos conocer es
¿Cuántos clickers tuve en cierta campaña?
¿Qué tratamiento le voy a dar a los clickers?
¿Quienes fueron reincidentes 1, 2 o 3 veces?
¿Mis usuarios conocen realmente las políticas de seguridad informática?
Mi gran objetivo es saber si mis usuarios
saben leer e identificar los dominios
saben ver y analizar las URL sospechosas antes de dar clic,
saben reportar algún correo sospechoso
saben diferenciar correos internos de TI, RH
Quiero que aprendan a pensar antes de dar clic y se pregunten:
Estaba esperando este correo?
Porque me esta diciendo que tome una acción con urgencia?
Descargar este archivo que no necesito es seguro?
Prefiero meterme directamente a SharePoint, oneDrive para verificar si este correo tiene relación.
KnowBe4 solución de simulación de phishing para probar a los usuarios.
Nota: si gustan que realice una demo, no duden en contactarme a cfarfan@cybernuvol.com
O visitar la demo de mi compañero Dario: https://www.youtube.com/watch?v=xv2bAfPbIbE&t=59s
Gracias WoSEC Panamá y a todos los asistentes por escuchar mi ponencia "La realidad del phishing" recuerden que en nosotros está ayudar y darle las herramientas a nuestros usuarios para que puedan identificar correos sospechosos, que antes de hacer clic, se pregunten:
1. ¿Este es un dominio real?
2. ¿La URL parece sospechosa?
3. ¿Porque me pide descargar este documento con urgencia?
Recuerden que el primer frente de seguridad deben ser nuestros usuarios (colaboradores, empleados). Probemos, capacitemos y reforcemos sus conocimientos! :)
Cerramos con este gran video sobre como se ve un ataque de phishing
Otros artículos que pueden ser de interés:
Nuvol México
Tel. +52 55 9124 0158
Cel. +52 442 808 7788
Correo: info@cybernuvol.com
Dirección: Edificio City, No 11B, Blvd Manuel Avila Camacho, No 3130, Tlalnepantla, C.P 54020, CDMX
Nuvol Panamá
Tel. +507 6203 0287
Correo: cfarfan@cybernuvol.com
Dirección: Ciudad del Saber, Clayton, Panamá
Nuvol Colombia
Tel. +57 318 659 5343
Correo: info@cybernuvol.com
Dirección: Oficina We Work, Piso 5, Carrera 7 #116-50, Bogotá 110221
#PhishingSimulado #HerramientasdePhishingSimulado #KnowBe4enMexico #KnowBe4enPanama #KnowBe4enColombia #CulturadeSeguridadInformatica #ConcientizacionenCiberseguridad #ProgramadeCiberseguridadparalosempleados #CapacitacionCiberseguridadparacolaboradores #ServiciosdePhishingSimulado #CapacitacionSeguridadInformatica #SolucionCulturadeCiberseguridad #PhishingSimulado #PartnersKnowBe4Mexico #ServiciosAdministradosKnowBe4 #Mexico #Panama #Colombia