Era lunes, recién empezaba el día. Apenas abrió su casilla de correo, llegó un mail que venía de "admin" de la fintech en la que trabaja. Le pedían cambiar la clave de la plataforma para entrar a ver su legajo y firmar sus recibos de sueldo. Ni lo dudó, le dio clic y siguió las órdenes. Había caído en una campaña interna de phishing.
Aunque parezca inverosímil, no son pocas las empresas que ponen a prueba a sus colaboradores, sobre todo las que se desarrollan en sectores críticos, tanto por la industria o por ser de un departamento fundamental como el de ciberseguridad. Un ejemplo de esto es Mercado Libre, que testea así sus servicios, y también la sagacidad de sus empleados.
Johanna Dzikowsky, IT Talent Acquisition Specialist de Adecco Argentina, confirma que son cada vez más frecuentes este tipo de estrategias, "sobre todo en compañías que manejan información sensible o grandes volúmenes de datos personales".
"Estas simulaciones buscan evaluar el nivel de exposición al riesgo y, principalmente, fortalecer la conciencia de los colaboradores frente a intentos de engaño. En Adecco recomendamos que este tipo de ejercicios se acompañen de una estrategia de formación continua, porque una acción aislada puede generar temor o confusión más que aprendizaje", aconseja Dzikowsky.
Según la experta, "cuando están bien planificadas, con comunicación clara y devolución personalizada, resultan altamente efectivas para reducir la vulnerabilidad humana ante ataques reales".
¿Por qué son necesarias estas campañas? "Es que el nivel de riesgo aumenta constantemente: más del 95% de los ciberataques a las empresas se inicia a través del correo electrónico", advierte a iProUP Pedro Droven, CTO en ZULA Ciberseguridad.
"Si los colaboradores no reciben este tipo de capacitación, las probabilidades de ser víctimas crecen significativamente. Además, los ciberdelincuentes no se detienen: con el avance de la inteligencia artificial (IA) y la gran exposición que todos tenemos en internet, el panorama se vuelve cada vez más desafiante", suma Droven.
Desde BBVA Argentina destacan que "así como se realizan simulacros de evacuación para estar preparados ante una emergencia física en las oficinas, es necesario poner en práctica lo aprendido sobre ciberseguridad en el entorno digital". La entidad asegura que estos ejercicios "cumplen tres funciones clave que validan su utilidad":
En definitiva, aseguran en BBVA, "su éxito radica en que brindan una oportunidad de aprendizaje sin riesgos reales, preparándonos para actuar con mayor seguridad en nuestro día a día, entendiendo que un reporte correcto en un ataque real puede marcar la diferencia".
"No capacitar activamente a los usuarios en ingeniería social es el mayor riesgo que cualquier compañía enfrenta hoy. Esto no es una falla técnica, sino una vulnerabilidad humana explotada por la mayoría de los atacantes", afirma a iProUP Walter Quiroga, jefe de Seguridad de la Información, Gerencia de IT de Metrotel.
Es que para las empresas los peores escenarios incluyen desde pérdidas económicas catastróficas hasta sanciones legales por incumplir regulaciones de protección de datos.
"En resumen, si no convertimos a cada empleado en un usuario capacitado, dándole herramientas capaces de protegerse, estamos financiando el éxito del ciberdelito", dice Quiroga.
Alejandro Botter, gerente de ingeniería de Check Point para el sur de Latinoamérica, refuerza que "el phishing es la puerta de entrada favorita de los atacantes y una vez adentro de la compañía, puede perpetrar el ataque".
"Hay organizaciones líderes que están implementando modelos de aprendizaje continuo, gamificación, cápsulas interactivas, entrenamientos personalizados con IA y talleres basados en casos reales para reforzar la atención frente a amenazas", aclara Federico Tandeter, líder de Ciberseguridad de Accenture Sudamérica Hispana.
Adoptar este enfoque proactivo es clave, "ya que permitirá a las organizaciones tener una ventaja competitiva, reforzar la confianza de sus clientes y posicionar la ciberseguridad como un habilitador del negocio", añade Tandeter.
Alex Hoffmann, CEO de PagBrasil, asegura a iProUP que "la ingeniería social es barata para el ciberdelincuente y extremadamente efectiva, ya que explota la vulnerabilidad de las personas".
"Sin capacitación continua, aumenta el riesgo de robo de credenciales, accesos no autorizados a sistemas internos y ataques de ransomware que pueden comenzar con un solo clic. También crecen las posibilidades de filtraciones de datos sensibles y fraudes financieros basados en comunicaciones engañosas", advierte.
Estas campañas de phishing cumplen con las normas de las que usan todos los días los delincuentes: no se anticipan, sorprenden y simulan ser de la misma empresa.
Ahora bien, algunos empleados que caen en la trampa pueden ser sancionados o puestos bajo la lupa, lo que genera desconfianza y miedo en los equipos. Por eso, Pablo Battaglini, líder de infraestructura y ciberseguridad de Consultoría de Auren Argentina, ofrece tres alternativas para incentivar la atención entre los trabajadores:
Fabián Descalzo, socio de Ciberseguridad y Gobierno Tecnológico de BDO en Argentina, señala que "las sanciones son siempre vistas como un castigo, por eso no es aceptable dentro del proceso de concientización, en el que las pruebas de phishing son una herramienta para comprobar el nivel de comprensión respecto del riesgo de este tipo de ciberataques".
El experto considera que "deben tenerse en cuenta cuando hay una política normativa aplicada, que fue formalmente informada. Para esto trabajamos en equipo con las áreas de Capital Humano en una norma de sanciones al incumplimiento de la política de seguridad de la información, ya que al igual que las normas éticas, es una necesidad que tienen las organizaciones".
"Si se gestiona con transparencia y foco en el aprendizaje, refuerza la confianza. Los colaboradores entienden que el objetivo es protegernos entre todos, no sancionar, fortaleciendo la colaboración y la cultura de seguridad compartida", concluye Javier Tepedino, jefe de Seguridad de la Información en Banco del Sol.