Combatir los ataques de phishing en las organizaciones es una labor retadora, si bien la formación de conciencia en ciberseguridad de los empleados siempre desempeñará un papel fundamental en mitigar estos ataques, nunca ha sido, ni será, una táctica eficaz por sí sola. Debemos combinar esfuerzos con los avances en inteligencia artificial (IA), machine learning y otras tecnologías emergentes para lograr un enfoque integral de protección de nuestro servicio de correo electrónico.
La pandemia ha evidenciado como los atacantes están ejecutando estafas inteligentes y sofisticadas a una escala masiva que incluso los empleados mejor capacitados tienen dificultades para identificar. Nuestros usuarios diariamente enfrentan una avalancha de correos “spear-phishing”, fraude del CEO (BEC) y mensajes de ingeniería social creados específicamente para eludir los controles tradicionales de protección. Esto hace prácticamente imposible tener cubiertos todos los flancos.
Los atacantes aprovechan la falta de atención y curiosidad
Entonces, ¿por qué las personas, incluso aquellas que han recibido capacitación en concientización sobre phishing, luchan por identificar los ataques de phishing? La verdad es que incluso los ojos más sofisticados, incluidas las personas que trabajan en ciberseguridad, suelen caer en las estafas de phishing.
Según un estudio de Microsoft, las personas generalmente pierden la concentración después de ocho segundos, lo que equivale a un período de atención más corto que un pez dorado. Con una gran cantidad de dispositivos inteligentes a nuestro alcance, el incremento de un estilo de vida cada vez más digital y un horario laboral ocupado son la evidencia de como los estímulos
modernos pueden dificultar la identificación de un correo electrónico sospechoso.
Además, la curiosidad es más fuerte que en sentido de seguridad. Según un informe anual de amenazas de ciberseguridad de Verizon, el 12% de los usuarios abren constantemente correos electrónicos de phishing y, el 4% hace clic en enlaces maliciosos a pesar de conocer los riesgos. La experiencia en seguridad de correo electrónico nos ha enseñado que la curiosidad y el interés son rasgos humanos naturales y, con el momento y el contexto adecuados, las personas harán clic en un enlace a pesar de su conciencia de seguridad.
Ian Baxter vicepresidente de ingeniería preventa en IronScales, solución de protección de correo electrónico que utiliza IA, menciona puntualmente, todo esto se suma a un fenómeno psicológico conocido como ceguera por falta de atención. Definida como una persona que no percibe un cambio inesperado a simple vista, la ceguera por falta de atención se convirtió en la sensación en Internet en 2012 cuando se publicó un video preguntando a los espectadores
cuántos jugadores con camisa blanca pasaban una pelota. Concentrándose intensamente en la tarea en cuestión, más del 50% de los espectadores no reconocieron a una mujer con un traje de gorila en el medio de la imagen. Gracias a la ceguera por falta de atención, la mayoría de las personas no ven de inmediato pistas de similitud visual, asumiendo erróneamente que una estafa de phishing o una página de inicio de sesión falsa es legítima.
Cómo las organizaciones deben complementar la capacitación en concientización sobre phishing
Desde la proliferación de páginas de inicio de sesión falsas hasta la notoria amenaza de ataques de ingeniería social, la seguridad de correo electrónico puede parecer que se encuentra pendiente de un hilo. El hecho es que las organizaciones que dependen únicamente de la capacitación en conciencia de seguridad y la tecnología de protección tradicional como “email gateways” ya sea “on premise” o nube tienen una gran área de oportunidad para identificar y remediar las amenazas al estilo 2021.
¿Por qué es esto necesario?
El panorama de las amenazas de correo electrónico ha cambiado. Los ataques de hoy en día están diseñados socialmente para hacer que las personas se comporten de manera errática, como transferir dinero, comprar tarjetas de regalo o cambiar registros de bases de datos.
Cuando los humanos fallan, la inteligencia artificial (IA) tiene la capacidad de ir más allá de la detección de firmas y de auto aprender dinámicamente del buzón y los hábitos de comunicación. Por lo tanto, el sistema puede detectar automáticamente cualquier anomalía en función de los datos y metadatos del correo electrónico, lo que mejora la confianza y la autenticidad de las comunicaciones por correo electrónico. Todo lo predecible será
automatizado por la IA, dejando al trabajador humano para tomar decisiones más fáciles y mucho más informadas.
Además, si el 4% de los usuarios hacen clic constantemente en los correos electrónicos de phishing, las empresas deben incorporar nuevas medidas de seguridad para evitar que esos correos electrónicos lleguen a las bandejas de entrada. La combinación de inteligencia humana y tecnología es la clave para prevenir y detectar mejor los ataques de phishing, recordemos que solo se necesita que una persona haga clic o realice cierta acción para enviar a una empresa en una espiral descendente.
Poseer una solución de protección con IA permite establecer una línea base automática del comportamiento humano y la actividad normal. Automáticamente puede comprender tanto el contenido como la intención (“qué”) de los mensajes sospechosos y, al mismo tiempo, validar la identidad del remitente y la autenticidad del dominio (“quién”), que es en lo que se centran las herramientas de seguridad de correo electrónico tradicionales y los protocolos de autenticación. Este análisis contextual agregado no solo ayuda a identificar la ingeniería social, sino que también permite emitir veredictos antes de que un correo electrónico llegue a la bandeja de entrada de un empleado.
Un enfoque integral para la seguridad del correo electrónico
Pero eso no es suficiente, hay un momento y un lugar para la formación de concienciación sobre phishing. Pero como siempre hemos dicho, las defensas humanas son solo una pequeña pieza del complejo rompecabezas anti-phishing.
Las pruebas periódicas de phishing son una excelente manera de aumentar el compromiso de los empleados con las iniciativas de seguridad y brindarles escenarios tangibles y reales para mejorar su comportamiento ante amenazas reales. Sin embargo, como hemos señalado, no es realista confiar a la fuerza laboral la enorme responsabilidad de detener el phishing por sí solo.
En NEKT Group creemos firmemente que la mejor seguridad del correo electrónico proviene de la síntesis de inteligencia artificial y humana pero queremos conocer tu opinión, asiste a nuestro webinar “Phishing vs IA, el futuro de los ataques sofisticados”, registrándote dando clic en este enlace, y tranquilo no es phishing.
Fuentes: Eyal Benishti (IronScales)
