Llegamos a ustedes gracias a:



Reportajes y análisis

Prepárese a combatir la estafa del phishing

10 compañías que pueden ayudarle con esta tarea

Phishing

[02/06/2016] De acuerdo con el reporte de fuga de datos de Verizon, un phishing de correo electrónico es con frecuencia la primera fase de un ataque. Eso se debe a que funciona bien, puesto que el 30% de los mensajes de phishing son abiertos, pero solo un 3% se reportan a la administración.

Pero cuando se entrena a los empleados a detectar el phishing de correo electrónico y se los pone a prueba con imitaciones de phishing de correo electrónico, el porcentaje que cae víctima de la estafa decrece con cada prueba.

Por supuesto, es imposible lograr un nivel cero de respuesta. Los criminales se están volviendo increíblemente inteligentes con sus mensajes. Afortunadamente, no es necesario. Si suficientes empleados reenvían los correos de phishing a seguridad, la compañía tomará consciencia de que es el blanco de una campaña, y podrá prepararse para afrontar los mensajes que sí se llegan a filtrar.

Anti-Phishing Working Group

El Anti-Phishing Working Group ofrece varios tipos de recursos, incluyendo una página de llegada [landing page] educativa sobre el phishing que las compañías pueden usar en combinación con sus campañas anti-phishing. Algunos de los proveedores que se presentan a continuación, como Phishme y KnowBe4, también ofrecen recursos gratuitos.

Otra herramienta gratuita es MSI Simple Phish de MicroSolved, la cual permite que los equipos de seguridad realicen sus propias pruebas de phishing dentro de su propia organización.

BetterCloud, que ofrece servicios de seguridad y monitoreo para aplicaciones de oficina basadas en nube, empezó a preocuparse del phishing cuando otra compañía de su edificio perdió dos millones de dólares en una estafa de phishing y su seguro de ciberseguridad no cubrió el costo.

"Su negocio recibió un gran golpe, afirma Austin Whipple, ingeniero de seguridad senior de la compañía. "Fue difícil recuperarse de eso.

Como respuesta, BetterCloud llevó a cabo un entrenamiento para toda la compañía, después creó su propia campaña de correo electrónico que parecía ser una nota del sistema de recursos humanos, pero realmente venía de una dirección de correo electrónico externa. A esto se sumó más educación.

"Comparado a otras organizaciones, o el reporte Verizon, lo hicimos muy bien, indica. "Pero aún existen áreas en las que podemos mejorar.

Una vez que haya pasado algo de tiempo, habrá otra prueba phishing, añadió. Los empleados le reenvían personalmente correos electrónicos sospechosos, añadió, y está claro que la compañía ya ha sido un blanco específico porque algunos de los verdaderos correos de phishing incluyen información interna que habría requerido algo de investigación.

De acuerdo a Whipple, instalar el programa de entrenamiento anti-phishing no es muy complicado.

"Cualquier persona con experiencia en tecnología puede hacerlo todo, señala. "No requiere mucha preparación. Eduque a su personal, haga la prueba, después eduque otra vez a su personal, y haga una prueba de seguimiento.

PhishMe

La simulación, entrenamiento y plataforma de reportes de phishing de PhishMe es usada por más de 800 clientes a nivel mundial -incluyendo casi a la mitad de las empresas presentes en la lista Fortune 100- para involucrar proactivamente a miles de empleados en simulaciones que los condicionan a detectar y reportar amenazas de phishing.

PhishMe también ofrece una plataforma de respuesta ante incidentes de phishing, que automatiza y prioriza los correos de phishing reportados para tener una respuesta más rápida, y un servicio de inteligencia de amenazas que ayuda con el análisis de la actividad de phishing para contrarrestar las amenazas externas verificadas.

Al combinar la toma de conciencia, la facilidad en los reportes y las respuestas apropiadas de seguridad, los empleados pueden pasar de ser el más grande punto débil de la seguridad de la compañía a ser su primera línea defensa.

"Los humanos son la capa de defensa más poderosa en contra del spear phishing y las organizaciones necesitan potenciar cada beneficio de seguridad que los humanos puedan proveer para permanecer protegidas contra este vector principal de ataque, sostuvo Rohyt Belani, CEO de PhishMe.

PhishMe también ofrece una docena de módulos gratuitos de entrenamiento, disponibles en forma de archivos PDF o archivos compatibles con SCORM, y que pueden ser ejecutados a través del sistema de administración de aprendizaje de la compañía.

PhishLabs

Sus clientes incluyen a cuatro de las cinco principales instituciones financieras de Estados Unidos, siete de las 25 principales instituciones financieras más grandes del mundo, sitios de redes sociales y carreras laborales, y las principales compañías de salud, retail, seguros y tecnología.

"Haga las simulaciones lo más realistas como le sea posible, recomienda John LaCour, fundador y CEO de PhishLabs. "Si quiere que sus empleados detecten y reporten ataques reales, las simulaciones tienen que reflejar a los ataques reales más probables a los que estarán expuestos.

Asimismo, una vez que los empleados reporten los ataques, la compañía debe tener procesos establecidos para que puedan responder a los ataques dirigidos con anticipación, cuando son menos costosos de mitigar.

"Pero eso no puede pasar si esos reportes solo se quedan en la línea de la mesa de ayuda, añade.

IronScales

La compañía ofrece simulaciones de phishing y un entrenamiento con gamificación para concientizar a los empleados sobre la seguridad.

El entrenamiento interactivo con gamificación hace que aprender sea divertido, afirma Eyal Benishti, CEO de IronScales. "La gente está cansada de listas y videos aburridos.

Las asesorías continuas pueden tener el mayor impacto cuando se trata de cambiar el comportamiento, añade. Él recomienda realizar una prueba cada dos meses, como mínimo.

De acuerdo a los datos recolectados de aproximadamente 60 compañías, los niveles de clic pueden ser reducidos significativamente, haciendo que los empleados reenvíen los correos de phishing con una frecuencia 200% mayor a la anterior.

MediaPro

MediaPro ofrece programas de entrenamiento y refuerzo, así como un simulador adaptable de phishing. Sus clientes incluyen a Microsoft, T-Mobile, Expedia, Cisco, Oracle, Boeing, Marriott, Costco y otras compañías de la lista Fortune 500.

Es importante no hacer pruebas a los empleados repitiendo el mismo mensaje de phishing una y otra vez, recomienda Steve Conrad, director administrativo de MediaPro Holdings.

"No todas las campañas de phishing son iguales, ni deberían serlo, indica. "Necesita usar un modelo que mande mensajes de phishing de una complejidad y sofisticación variada, y éstos van a generar distintos tipos de resultados. Mandar el mismo mensaje, o mensajes similares, a sus usuarios finales mostrará muy buenos resultados en un reporte de phishing -sus niveles de clic en los mensajes se reducirán- pero no cumplirá con el objetivo de su negocio.

KnowBe4

KnowBe4 es la compañía que tiene a Kevin Mitnick como chief hacking officer, y alega ser la plataforma más popular e integrada para el entrenamiento en seguridad y pruebas simuladas de phishing, con miles de empresas como clientes.

De acuerdo a Stu Sjouwerman, CEO de KnowBe4, los mensajes de phishing están involucrados en varios tipos de ataques, incluyendo al ransomware y el fraude de infiltración de correos empresariales (BEC, por sus siglas en inglés).

"Al ritmo actual, el BEC y el ransomware serán crímenes de mil millones de dólares cada año partiendo desde este año, afirmó.

KnowBe4 también ofrece una prueba de phishing gratis para hasta 100 empleados. La compañía también tiene un chequeo de prueba gratuito para la exposición de correos electrónicos, que identifica las direcciones de correo de los empleados que están expuestas al público.

Wombat

La compañía alega tener más de mil empresas como clientes y ofrece pruebas automatizadas de phishing, así como módulos de entrenamiento. Al ser uno de los proveedores más antiguos en este espacio, Wombat creció partiendo de la investigación de la Universidad Carnegie Mellon en el 2008.

Tiene sentido que la compañía continúe centrándose en la investigación, y que regularmente genere reportes sobre las tendencias del phishing y la efectividad del entrenamiento. Por ejemplo, Wombat trabajó con el Instituto Ponemon para determinar que un programa con un desempeño promedio dio como resultado un retorno a la inversión 37 veces mayor.

De acuerdo a Joe Ferrara, CEO de Wombat Security Technologies, el phishing cuesta a las compañías, con un promedio de 10 mil empleados, tres millones de dólares al año -y un programa exitoso puede reducir el número de empleados que caen en ataques de phishing hasta en un 90%.

Una clave para lograr un programa exitoso, señala, es programar automáticamente al empleado para que sea entrenado en un módulo de phishing cuando no pase una prueba de phishing.

Ese es el punto en el que está más motivado a mejorar, añade.

Inspired eLearning

La compañía ofrece entrenamiento anti-phishing, simulando ataques de phishing, un boletín informativo mensual, posters, señalización digital y otras asistencias de trabajo para proporcionar un flujo de consejos y los mejores procedimientos que pueden ayudar a que la seguridad esté en primer lugar dentro de las mentes de los empleados.

Sus clientes incluyen a Franklin Templeton Investments, ING, Chicago Mercantile Exchange, Tata, RedBox, ADP, Johnson Controls, Bridgestone, USDA y ABB.

La compañía afirma tener más de cinco millones de usuarios a nivel mundial, y los programas reducen la susceptibilidad al phishing en más de 92%.

Su producto PhishProof está disponible como un servicio completamente administrado donde el equipo de expertos de la compañía diseña y despliega evaluaciones y entrenamiento, o como un modelo de software como servicio con software en línea que puede usarse para crear y desplegar evaluaciones en minutos.

Blackfin

Blackfin Security, que forma parte de Symantec, ofrece simulación y entrenamiento en phishing. El entrenamiento en concientización puede ser integrado directamente a las evaluaciones de simulación de phishing con entrenamiento en línea inmediato, o los usuarios pueden programar un entrenamiento de seguimiento que encaje con sus horarios.

En suma, existen módulos de entrenamiento sobre ingeniería social, malware, seguridad física, y uso de redes Wi-Fi, entre otros temas de seguridad general.

Esto es diferente del propio programa de seguridad de Symantec, que está centrado en ayudar a los profesionales de seguridad de la industria a instalar y mantener productos de Symantec.

PhishLine

Llevando las pruebas anti-phishing un paso más adelante, PhishLine se dirige a un conjunto más amplio de ataques de ingeniería social, incluyendo mensajes de texto, llamadas telefónicas y hasta dispositivos USB "olvidados accidentalmente.

A inicios de este año, PhishLine lanzó un mercado para materiales de entrenamiento de terceros basados en computadora, que incluye cientos de plantillas de phishing, páginas de llegada personalizadas, encuestas de evaluación de riesgo y contenido de entrenamiento de seguridad en varios idiomas.

Además del entrenamiento y las simulaciones, la compañía también ofrece herramientas de medición que permite a las compañías rastrear el éxito de sus programas. Una medida, por ejemplo, que puede usarse para la gamificación, es la calificación basada en el riesgo. Las empresas pueden instalar paneles personalizados donde los puntajes pueden ser comparados por empleados individuales, áreas u otros grupos, así como puntos de referencia internos y externos.

Instituto InfoSec

Esta compañía es conocida por su entrenamiento presencial en seguridad empresarial, en campamentos y programas de certificación.

Pero también ofrece módulos de entrenamiento interactivo en línea para la concientización sobre seguridad. Su producto SecurityIQcombina entrenamiento de concientización sobre seguridad basado en computadora y un simulador de phishing en un solo servicio basado en la nube. Las compañías pueden instalar campañas automatizadas para enviar pruebas de phishing a los empleados, o para recordarles a los participantes que deben inscribirse y tomar su entrenamiento de concientización sobre seguridad.

Aunque es posible construir un programa de entrenamiento y prueba anti-phishing internamente, los proveedores como el Instituto InfoSec y los mencionados previamente ofrecen algunas ventajas significativas a la industria.

"Muchas veces, las organizaciones no están equipadas para proveer una buena educación internamente, señala Mike Spanbauer, vicepresidente de pruebas de seguridad y asesoría en NSS Labs.

Los proveedores que se centran específicamente en correos de phishing son conscientes de las nuevas tendencias del phishing y pueden incorporar rápidamente las tácticas en sus programas de entrenamiento y plantillas de simulación anti-phishing.

Maria Korolov, CSO (EE.UU.)