Un nuevo estudio revela que el éxito se mide en dígitos simples en el mejor de los casos. Aquí está lo que las empresas deberían hacer en su lugar. Confirmando lo que muchos de nosotros sospechábamos: el entrenamiento de empleados contra phishing simplemente no vale la pena el esfuerzo.

El estudio, realizado por investigadores de UC San Diego Health y Censys, encontró que los programas de entrenamiento en ciberseguridad relacionados con phishing no tuvieron efecto en si los empleados eran engañados o no por correos electrónicos de phishing.

Después de analizar los resultados de 10 campañas diferentes de correos electrónicos de phishing enviadas a más de 19,500 empleados en UC San Diego Health durante ocho meses, los investigadores encontraron «ninguna relación significativa entre si los usuarios habían completado recientemente un entrenamiento anual obligatorio de ciberseguridad y la probabilidad de caer en correos electrónicos de phishing».

El entrenamiento integrado tampoco funciona

El equipo también investigó si el entrenamiento integrado de phishing —cuando las organizaciones envían correos electrónicos simulados de phishing para ver si sus empleados caerán en ellos— era efectivo. Simplemente no lo era, y casi no hubo diferencia en las tasas de falla para aquellos que completaron el entrenamiento versus aquellos que no lo hicieron. Los grupos se separaron por una probabilidad reducida de caer en un correo electrónico de phishing de solo 2%.

Esto es especialmente preocupante, dado que el phishing fue encontrado como la causa principal del ransomware este año, impulsado por infostealers y el abuso de herramientas de IA, según un nuevo reporte de SpyCloud Identity threat. El phishing también fue el vector de ataque más reportado por empresas participantes en la investigación y fue citado por 35% de las organizaciones afectadas —un aumento del 25% en 2024.

¿Qué es el phishing?

El phishing es una amenaza constante que impacta a individuos, PYMES y empresas por igual. Las campañas de phishing a menudo toman la forma de correos electrónicos fraudulentos masivos o mensajes dirigidos diseñados para provocar curiosidad, pánico o miedo en sus destinatarios.

Al crear mensajes que inspiran miedo o urgencia, los cibercriminales esperan que sus víctimas no se detengan a pensar racionalmente, sino que, por el contrario, hagan clic en pánico en un botón o entreguen información sensible que puede ser utilizada en robo de identidad, para realizar transacciones fraudulentas o para uso en cibercrimen más amplio.

Datos reveladores del estudio

Los investigadores de UC San Diego Health y Censys dijeron que el tema era importante para el éxito de un correo electrónico de phishing en su estudio. Por ejemplo, apenas alguien hizo clic en un enlace para actualizar su contraseña de Outlook, mientras que más del 30% de los participantes hicieron clic en un enlace en un correo electrónico que pretendía ser una actualización del empleador sobre políticas de vacaciones.

Cuanto más tiempo continuaba un esquema de phishing, más probable era que un empleado hiciera clic en un enlace fraudulento, aumentando del 10% de participantes en el primer mes a más del 50% para el octavo mes.

¿Por qué no funciona el entrenamiento contra phishing?

«Tomados en conjunto, nuestros resultados sugieren que los programas de entrenamiento anti-phishing, en sus formas actuales y comúnmente implementadas, es poco probable que ofrezcan valor práctico significativo en la reducción de riesgos de phishing», dijeron los investigadores.

Según los investigadores, la falta de compromiso en los programas modernos de entrenamiento en ciberseguridad es la culpable, con tasas de compromiso a menudo registradas como menos de un minuto o ninguna en absoluto. Cuando no hay compromiso con los materiales de aprendizaje, no es sorprendente que no haya impacto.

Soluciones potenciales

Para combatir este problema, el equipo sugiere que, para un mejor retorno de inversión en protección contra phishing, un cambio hacia ayuda más técnica podría funcionar. Por ejemplo:

  • Imposición de autenticación de dos o múltiples factores (2FA/MFA) en dispositivos endpoint
  • Reforzar el compartir credenciales y usar solo en dominios confiables

Eso no quiere decir que los programas de phishing no tengan lugar en el mundo corporativo. También deberíamos volver a los básicos de involucrar a los estudiantes. Como ex profesor, sugeriría que:

  • Discusiones de mesa redonda
  • Seminarios en persona
  • Gamificación

Estos enfoques podrían proporcionar el eslabón perdido entre el entrenamiento y los resultados positivos.

El estudio pone en evidencia una realidad incómoda: invertir millones en programas de entrenamiento contra phishing puede ser dinero desperdiciado si no se abordan las causas fundamentales del problema y se implementan medidas técnicas más robustas de protección.

Fuente

Artículos relacionadosMás del autor

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí