El phishing simulado es una técnica utilizada para educar y entrenar a los usuarios en la detección de ataques de phishing. Consiste en enviar correos electrónicos falsos que simulan ser correos de phishing reales, pero sin ningún riesgo real para los usuarios ni para la seguridad de la organización.
El objetivo principal del phishing simulado es concienciar a los usuarios sobre los peligros y las técnicas utilizadas en los ataques de phishing, y enseñarles cómo identificar y evitar caer en estas trampas.
Al realizar simulaciones de phishing, las organizaciones pueden evaluar la preparación y el nivel de conocimiento de sus empleados en cuanto a la seguridad cibernética.
Algunos de los beneficios y objetivos del phishing simulado son:
Concientización: Ayuda a los usuarios a comprender los riesgos asociados con los ataques de phishing y la importancia de mantener una actitud vigilante al interactuar con correos electrónicos y enlaces sospechosos.
Educación: Proporciona información sobre las técnicas y señales de advertencia comunes utilizadas en los correos electrónicos de phishing, ayudando a los usuarios a identificar las características de un intento de phishing.
Entrenamiento: Permite a los usuarios practicar sus habilidades de detección y respuesta a ataques de phishing en un entorno seguro y controlado.
Evaluación: Permite a las organizaciones evaluar la efectividad de sus programas de concientización y capacitación en seguridad cibernética, identificando áreas de mejora y enfoques de capacitación adicionales.
Fortalecimiento de la seguridad: Al mejorar la capacidad de los empleados para identificar y reportar correos electrónicos de phishing, se fortalece la postura de seguridad general de la organización y se reduce el riesgo de ser víctimas de ataques cibernéticos.
¿Cómo hacer simulación de phishing?
Diseño de Phishing Templates
Nosotros usamos la plataforma de KnowBe4, la cual cuenta con más de 20 mil templates de phishing simulado prediseñados, van desde Banca, Negocios, Educación. Gobierno, Salud, Legal, Servicios Online, Redes Sociales, etc.
Dentro de las plantillas de KnowBe4 puedo realizar las siguientes configuraciones:
Dirección del correo del remitente: esta sección es de mi agrado ya que se puede capacitar a los usuarios a que lean el dominio y los remitentes como primer paso para identificar correos maliciosos
Asunto: debemos de ser creativos y tener un asunto que llame la atención a nuestros usuarios, aquí también deben de identificar si existe banderas rojas, por ejemplo: preguntarse si este correo lo estaban esperando, averiguar por otro medio el envio de el archivo o documentación compartida.
Archivo Adjunto: podemos configurar PDF, PTT o Word para conocer quién de nuestro usuarios bajo un documento que pudiera ser ransomware.
Cuerpo del template: es donde debe de surgir la idea ya sea una oferta o promoción, actualización de contraseñas, mensajes del departamento de TI o RH, notificaciones de entrega, citatorios, ofertas de empleo, programa de prácticas, multas de tránsito, etc. Recuerda que el objetivo de estas simulaciones es educar y concientizar a los usuarios sobre los peligros del phishing, por lo tanto, configuramos las banderas rojas para proporcionar una retroalimentación clara y explicativa para que los usuarios aprendan a identificar, verificar, antes de hacer clic
Página de inicio: en ella podemos configurar un landing page ya sea de Office 365, Google, Linkedin, etc para saber quién está proporcionando datos como contraseñas, número de empleado, datos personales.
Diseño de Landing Page Inteligentes
Dentro de la consola de KnowBe4 tendremos un apartado de Landing Page, donde se encuentran una gran variedad de ejemplos prediseñados, los cuales se pueden editar. Como Nuvol nos gusta configurar los landing page inteligentes que indican las banderas rojas para que el usuario conozca las claves en las que debe prestar más atención y no caiga tan fácilmente en un phishing real.
Algunos de los errores más comunes son:
Hacer clic en enlaces sin verificar: Los usuarios pueden ser propensos a hacer clic en enlaces dentro de correos electrónicos sin verificar su autenticidad o la dirección de destino. Esto puede llevarlos a sitios web fraudulentos o a descargar malware.
Proporcionar información confidencial: En respuesta a un correo electrónico falso, los usuarios pueden ser engañados y proporcionar información confidencial, como contraseñas, números de tarjetas de crédito o datos personales. Esto puede poner en peligro su seguridad y privacidad.
Ignorar las señales de advertencia: Algunos usuarios pueden pasar por alto las señales de advertencia que indican un correo electrónico de phishing, como errores de ortografía y gramática, direcciones de correo electrónico sospechosas o solicitudes inusuales.
No verificar la autenticidad del remitente: Los usuarios pueden no verificar la identidad del remitente de un correo electrónico antes de tomar acciones, como abrir archivos adjuntos o hacer clic en enlaces. Esto puede llevar a la apertura de archivos maliciosos o visitar sitios web fraudulentos.
No reportar los incidentes: Algunos usuarios pueden no reportar los intentos de phishing simulado a los equipos de seguridad de la organización. La falta de reporte puede dificultar la evaluación y mejora de los programas de concientización.
Es importante destacar que estos errores son oportunidades de aprendizaje y demuestran la importancia de la concientización en seguridad cibernética.
Envío de prueba simulada de phishing y análisis de resultados
Durante el ejercicio de phishing simulado observaremos el comportamiento de nuestros usuarios, podremos identificar en tiempo real quienes dieron click al enlace, quienes abrieron el archivo adjunto, quienes ingresan datos y quienes reportaron el correo sospechoso:
Ejemplo del informe de la campaña:
Mediante la realización de ejercicios de phishing simulado y una retroalimentación adecuada, los usuarios pueden aprender a reconocer y evitar estos errores, fortaleciendo así la postura de seguridad de la organización.
Estás listo para tener tu Plan en Conciencia en Seguridad Informática
Escríbenos a info@cybernuvol.com
Nuvol México
Tel: +55 442 808 7788
Correo: info@cybernuvol.com
Dirección: Edificio City, No 11B, Blvd Manuel Avila Camacho, No 3130, Tlalnepantla, C.P 54020, CDMX
Nuvol Panamá
Tel. +507 6318 7739
Correo: cfarfan@cybernuvol.com
Dirección: Ciudad del Saber, Clayton, Panamá
Nuvol Colombia
Tel. +57 318 659 5343
Correo: info@cybernuvol.com
Dirección: Oficina We Work, Piso 5, Carrera 7 #116-50, Bogotá 110221
#ciberseguridad #pruebasdeingenieriasocial #capacitacioncontinuaseguridadinformatica #contenidoseguridadinformatica #contenidociberseguridad2021 #pruebasdephishingsimulado #culturadeseguridad #Panama #Mexico #Colombia #KnowBe4 #NuvolCybersecurity #entrenamiento #KevinMitnick #solucionenconcientizacionseguridad #suplantaciondeidentidad #capacitacion #campañasdeformacion #templates #plantillasdephishing2021 #riesgoenciberseguridad #simulaciondephishing #plantillasphishingsimulado
#PhishingSimulado #ConcientizaciónCibernética #SeguridadEnLínea #ProtecciónDeDatos #PhishingAwareness #EntrenamientoDeUsuarios #EducaciónCibernética #PrevenciónDeAtaques #SeguridadDigital #SimulaciónDePhishing #QueesKnowBe4
Comments