En diciembre de 2020, la reconocida empresa de dominios de internet GoDaddy sorprendió a sus empleados al enviarles un correo fraudulento en el que prometían un atractivo bono navideño de 650 dólares. Solo tenían que complete un formulario con su información personal, pero la oferta era falsa.

Dos días después, los empleados recibieron un mensaje del responsable de ciberseguridad indicando que habían fallado en el reciente simulacro de phishing. Esta estrategia no fue bien recibida; muchos empleados se sintieron engañados y molestos. GoDaddy se disculpó, reconociendo que su enfoque fue "poco sensible", especialmente recordando que meses antes, habían sufrido un ciberataque que comprometió la información de 28,000 empleados debido a un ataque de phishing.

Los simulacros de phishing son cada vez más comunes en el ámbito corporativo. La empresa que ofrece estos servicios, KnowBe4, reportó que 17,000 organizaciones utilizaron su plataforma para enviar más de 9.5 millones de correos falsos a alrededor de cuatro millones de usuarios. Sin embargo, este tipo de simulacros debe realizarse con una consideración especial para evitar daños en la relación entre empleados y la empresa. No se trata solo de poner a prueba a los empleados, sino de educarlos y prevenir que caigan en engaños.

Los expertos han señalado que ofrecer bonificaciones falsas puede resultar contraproducente y es fundamental que los simulacros se dirijan a grupos, y no a individuos, y evitar avergonzar a quienes caen en la trampa. Además, es crucial "gamificar" el proceso para motivar a los empleados a identificar estos correos, recompensando a aquellos que detectan las amenazas.

Simulacros mal diseñados

Además, especialistas en ciberseguridad de Google han expresado dudas sobre la efectividad de los simulacros de phishing. En un artículo reciente, se argumenta que pueden ser tan problemáticos como los primeros simulacros de incendio, donde muchas personas resultaron heridas al no tomar la situación en serio. Google realiza sus propios simulacros con correos a empleados, pero han encontrado que, en esfuerzos para educar, hay poco evidencia de que esto disminuya el número de ataques de phishing exitosos.

Un estudio con 14,000 participantes mostró que aquellos que hacían clic repetidamente en correos sospechosos tendían a fallar en las evaluaciones, a pesar de haber participado en simulacros anteriores. Además, estos ejercicios pueden llevar a una percepción negativa de la seguridad en el trabajo, haciendo que los empleados sientan que su empresa está jugando con ellos, y minando la confianza en el equipo de ciberseguridad.

La clave parece estar en educar a los empleados sobre cómo identificar amenazas en lugar de depender de simulacros engañosos. Proveer información pertinente y estrategias de reacción es esencial, así como invertir en tecnologías de seguridad como la autenticación de dos factores y contraseñas seguras.

A pesar de las críticas, los simulacros de phishing continúan siendo una práctica común en muchas organizaciones. Empresas como Microsoft ofrecen directrices para implementar campañas educativas sobre correos de phishing; incluso la FTC en EE.UU. proporciona herramientas para educar a los internautas sobre cómo identificar amenazas.

La ciberseguridad es una batalla constante, y la educación continua y la implementación de políticas de seguridad robustas son fundamentales para proteger a las empresas y a sus empleados. ¿Sabías que muchas víctimas de ataques de phishing no reportan el incidente? La conciencia y la preparación son las mejores defensas en este mundo digital en constante evolución.