Incluso los empleados más formados pueden caer en el phishing: el caso de IPCOS

Eso fue exactamente lo que experimentó IPCOS, proveedor de servicios de ingeniería, en agosto de 2020.

Tras un incidente en el que un empleado cayó en una campaña de phishing, sus compañeros empezaron a recibir correos sospechosos que parecían provenir del usuario comprometido. Afortunadamente, la brecha se detectó a tiempo, el atacante fue interceptado antes de que se produjera una fuga de datos, y el daño fue mínimo – aunque pudo haber sido mucho peor.

«Afortunadamente, aquel incidente encendió todas las alarmas dentro del equipo directivo», recuerda Bjorn Vandecraen, APC Technology Developer en IPCOS. «Nos dimos cuenta de que nuestro personal necesitaba más orientación y formación. Poco después, Phished se puso en contacto con nosotros y empezamos con simulaciones periódicas para entrenar a nuestros equipos en ciberseguridad.»

Tan rápido como ocurrió el incidente, llegó la mejora: en solo cuatro meses, IPCOS logró un avance notable en cuanto a concienciación en seguridad. Mientras que en la primera simulación el 45 % de los empleados cometió errores, en febrero de 2021 esa cifra ya había bajado al 13 %.

«Y eso que esta vez la dificultad era mayor», añade Vandecraen. «La simulación incluía información que solo alguien interno podría conocer, lo cual generaba una falsa sensación de confianza. Aun así, muchos tuvieron el buen reflejo de no actuar.»

Cabe destacar que, en la primera prueba, se avisó con unos días de antelación de que se iba a realizar una simulación de phishing. ¿La prueba de que cualquier persona – sea cual sea su cargo o formación – puede caer en la trampa? «Creo que se trata, sobre todo, de concienciación», explica Peter Van Overschee, CEO de IPCOS. «El tema era conocido, pero no se hablaba mucho. Hoy, en cambio, se comenta mucho más y la gente es mucho más cuidadosa con cada correo: todos los mensajes se examinan con lupa.»

«Después del impacto inicial, la plantilla es mucho más consciente de las consecuencias del phishing», señala Van Overschee. «Aunque también procuramos que todos mantengan la confianza necesaria para gestionar correos legítimos. Lo último que queremos es que la gente deje de abrir emails por miedo. Por eso adoptamos un enfoque positivo, en el que nadie se siente señalado por caer en una simulación.»

«Este enfoque ayuda a que se pueda hablar del tema de forma abierta y, al mismo tiempo, motiva a seguir aprendiendo», confirma Vandecraen. «Informamos, por ejemplo, sobre las tasas medias por departamento, pero nunca compartimos datos individuales, ni siquiera con la dirección. Lo que queremos transmitir es que siempre hay margen de mejora y que no fomentamos una cultura punitiva. Hemos recibido muy buenas reacciones al respecto.»

Además de los informes, fueron sobre todo las simulaciones lo que abrió los ojos. Van Overschee: «En una ocasión sufrimos un intento de fraude del CEO: alguien intentó hacerse pasar por mí mediante técnicas de social engineering y typosquatting (una técnica de phishing que consiste en modificar sutilmente un nombre, como “Ipcas” en lugar de “IPCOS”), para desviar grandes sumas de dinero. En aquel momento todos se alarmaron, pero está claro que la memoria humana no basta para mantener ese nivel de alerta a largo plazo.»

«Hoy vemos que, gracias a la exposición continua a posibles correos fraudulentos, todo el equipo está mucho más alerta y sabe identificar los riesgos», continúa Van Overschee. «Ya contábamos con autenticación en dos pasos y hablábamos de phishing en las reuniones, pero es el contacto repetido con las simulaciones lo que realmente ha marcado la diferencia.»

Después de varios incidentes de phishing reales, IPCOS decidió poner en marcha un programa estructurado de formación y acompañamiento para sus 70 empleados. Tras solo cuatro meses en la plataforma de Phished, el nivel de concienciación en seguridad aumentó notablemente y se redujeron los clics en correos de phishing.

IPCOS apostó por un enfoque constructivo y positivo, centrado en la formación y el acompañamiento. No se hace un seguimiento individualizado, pero sí se ofrece una visión general de los resultados por empresa. Esto ha contribuido a crear una cultura en la que la ciberseguridad está presente en el día a día y cada persona se esfuerza por mejorar.