Aumente su resistencia a los ataques de suplantación de identidad

••• **Aviso:** Traducido con el uso de inteligencia artificial; puede contener errores. Participe en esta [encuesta](#HBROPS-2342-02) para hacernos llegar sus comentarios y obtenga información en las [preguntas frecuentes](https://hbphelp.zendesk.com/hc/en-us/articles/360043642334-La-Traducci%C3%B3n-Autom%C3%A1tica). [Read in English](/2020/09/boost-your-resistance-to-phishing-attacks) Ryan Wright y Matthew Jensen han hecho suplantación de identidad a miles de personas en la última década y no tienen previsto darse por vencidos pronto. Los dos no son piratas informáticos que buscan datos o fondos valiosos; son investigadores que trabajan con empresas, gobiernos y universidades de todo el mundo para entender por qué caemos tan a menudo en ataques de suplantación de identidad y qué pueden hacer las organizaciones para mitigar la amenaza. Los departamentos de seguridad corporativos hacen todo lo posible para educar a la gente sobre la suplantación de identidad, que representa el 90% de todas las violaciones de datos, pero se estima que el 30% de los correos electrónicos fraudulentos se abren de todos modos. Con un coste medio de un ataque exitoso de 3,8 millones de dólares, es una participación incómodamente alta. Y podría crecer a medida que los ciberdelincuentes exploten las perturbaciones causadas por la pandemia y el fuerte aumento del número de empleados que trabajan desde casa, donde el aumento de las distracciones puede hacer que bajen la guardia. Basándose en sus investigaciones, Wright (profesor de Comercio C. Coleman McGehee en la Universidad de Virginia) y Jensen (profesor adjunto presidencial de Sistemas de Información Gerencial en la Universidad de Oklahoma) han identificado varias formas de reforzar la eficacia de la formación en seguridad. ### Añada un componente de atención plena. Muchas organizaciones exigen que los empleados completen módulos de formación listos para usar de forma regular, a menudo una o dos veces al año. Según los investigadores, eso es útil para alertar a las personas sobre las amenazas más comunes y darles directrices básicas para evaluar los mensajes entrantes. Pero la mera repetición del entrenamiento basado en reglas no necesariamente aumenta la resistencia a los ataques, advierten. De hecho, después de un punto puede resultar contraproducente, ya que desensibiliza a las personas ante la formación y les da una falsa sensación de dominio de las lecciones, que luego ignoran. Parte del problema es que la formación basada en reglas promueve lo que el psicólogo Daniel Kahneman, ganador del Premio Nobel, denomina pensamiento del Sistema 1. Este tipo de procesamiento rápido y automático es eficiente, pero puede provocar una toma de decisiones descuidada y deja a los empleados vulnerables a los ataques que se saltan las normas. «En lugar de pedir a la gente que memorice una larga lista de señales que cambian constantemente», afirma Wright, «las organizaciones pueden adoptar un enfoque más holístico»: añadir la enseñanza de la atención plena. El objetivo es fomentar el pensamiento del Sistema 2, un enfoque más reflexivo y analítico. En un estudio de campo en el que participaron 355 estudiantes universitarios, profesores y miembros del personal, los investigadores y sus colegas compararon tres grupos de participantes, todos los cuales habían recibido una formación básica en seguridad. El primer grupo recibió instrucción adicional basada en reglas. Al segundo grupo se le enseñó a utilizar técnicas sencillas de atención plena: hacer una pausa si un correo electrónico solicita una acción; tener en cuenta la naturaleza, el momento, el propósito y la idoneidad de la solicitud; y consultar a un tercero ante cualquier sospecha. El tercer grupo no recibió formación adicional. Diez días después, los investigadores lanzaron un simulacro de ataque de suplantación de identidad. Descubrieron que el 13% de las personas que recibieron formación adicional basada en reglas mordieron el anzuelo, al igual que el 23% de las que no recibieron ninguna formación adicional, pero solo el 7% de las personas que recibieron instrucciones en técnicas de atención plena cayeron presas. Los trabajos posteriores del colega de investigación Christopher Nguyen obtuvieron resultados similares y mostraron que el aumento de la resistencia duró varios meses. ### Adopte un enfoque que abarque todo el equipo. Las medidas de seguridad suelen verse frustradas por el problema del «eslabón más débil»: si una sola persona responde a un ataque, puede que lo consiga. Para entender si la dinámica de grupo puede reducir esta vulnerabilidad, Wright y sus colegas realizaron un experimento de campo de dos años en la unidad financiera de 180 personas de una gran universidad. Al mapear las posiciones de los empleados en sus grupos de trabajo y redes sociales y suplantarlas varias veces, se enteraron de que cuanto más centralizadas o conectadas estuvieran las personas en cualquier tipo de grupo, menos probabilidades había de que sucumbieran a un ataque. Por ejemplo, los empleados del cuartil superior de centralidad de sus grupos de trabajo hacían clic en los enlaces de los mensajes de suplantación de identidad solo un 14% de las veces, mientras que los empleados del cuartil inferior lo hacían el 35% de las veces. Los investigadores también descubrieron que cuanto mayor era la eficacia informática general de un equipo, más resistente era cada miembro a los ataques de suplantación de identidad. Estos hallazgos indican que los empleados pueden aprender valiosas lecciones de seguridad de los compañeros de equipo, de forma formal o informal, una dinámica que los directivos podrían aprovechar. «En lugar de decir: 'Es esa época del año: complete su formación en TI cuando pueda' y luego no hablar nunca de ello», afirma Wright, «los gerentes podrían impartir formación en equipo y hacer que cada equipo rinda cuentas por los resultados». Las organizaciones también podrían utilizar el análisis de redes para identificar a los empleados especialmente susceptibles y podrían ofrecer formación adicional a las personas periféricas o nuevas en sus equipos. Un hallazgo del estudio sorprendió a los investigadores: cuanto más interactuaban los empleados con su mesa de ayuda de TI o simplemente confiaban en ella, más probabilidades tenían de caer en la suplantación de identidad. Es posible que esas personas se hayan sentido «indemnizadas» por las amenazas, afirman los investigadores. «Si roban una tarjeta de crédito, la compañía de tarjetas de crédito cubre las pérdidas, lo que hace que las personas se preocupen menos por proteger sus tarjetas; tenemos la teoría de que aquí está ocurriendo algo similar», explica Wright. «Si la gente piensa: 'La mesa de ayuda me mantendrá a salvo si hago clic en algo incorrecto', no son dueños de la protección de sus datos ni aprenden de sus interacciones». Los gerentes podrían incentivar a los empleados incluyendo el cumplimiento de las normas de seguridad en sus revisiones anuales, afirma, y los servicios de asistencia podrían asegurarse de que los usuarios entiendan las señales de advertencia que no han pasado por alto en lugar de simplemente solucionar el problema, como suele ocurrir. ### Utilice el entrenamiento gamificado. Otra forma de aprovechar la dinámica de grupo es añadir un elemento competitivo a los ejercicios de ciberseguridad. Los investigadores y sus colegas realizaron tres experimentos en los que participaron 568 participantes que hicieron el papel de pasante, se les enseñó a identificar y denunciar los mensajes sospechosos y, a continuación, se les asignaron diversas tareas, entre ellas gestionar la bandeja de entrada del jefe. Mientras los sujetos realizaban su trabajo, encontraron cinco correos electrónicos de suplantación de identidad. En los dos primeros experimentos, sus informes se publicaron en tablas de clasificación de diferentes diseños. En el tercer experimento, se compararon las tablas de clasificación con varias otras medidas antisuplantación de identidad, por separado o en combinación: un vídeo de formación, etiquetas que marcaban los correos electrónicos como «externos» si procedían de fuera de la organización y etiquetas que advertían de que los correos electrónicos particularmente sospechosos podrían ser suplantación de identidad. La clasificación fue muy eficaz a la hora de fomentar las denuncias y, al mismo tiempo, controlar los falsos positivos; solo las etiquetas que advertían explícitamente de que los correos electrónicos podrían ser suplantaciones de identidad obtienen mejores resultados. Era especialmente potente cuando se combinaba con el entrenamiento. Sin embargo, algunos diseños demostraron ser mejores que otros. La configuración óptima hacía que la identidad de los periodistas fuera visible para todos y tanto otorgaba puntos por los informes correctos como los deducía por falsas alarmas. «La motivación externa resultó ser mucho más eficaz que los incentivos intrínsecos», afirma Jensen. Nadie va a perder tiempo cazando suplantaciones de identidad por diversión. Sin embargo, las organizaciones pueden tomar estas medidas para hacer hincapié en la importancia de la detección y la notificación y hacer que esas actividades sean más eficaces y gratificantes. Cuando se trata de que los empleados caigan en la trampa de mensajes fraudulentos, «es muy difícil llegar a cero», afirma Jensen. «Tiene que adoptar un enfoque por capas».