Skip to content
Search Select language
Español
Cancel

Prueba de seguridad contra el phishing (PST) | KnowBe4

Descubra qué porcentaje de sus empleados tienen predisposición para ser víctimas de phishing (Phish-prone) con la prueba gratuita de simulación de phishing.

¿Sabía que el  91 % de las violaciones de seguridad de datos exitosas comenzaron con un ataque de spear phishing (suplantación de identidad específica)?

Descubra qué porcentaje de sus empleados son Phish-prone™ con la prueba de seguridad contra el phishing (PST) gratuita. Además, vea cómo se compara con sus homólogos con los nuevos datos del Informe comparativo de phishing por sector.

El personal especializado de TI se ha dado cuenta de que las pruebas de phishing simulado se necesitan con urgencia como capa de seguridad adicional. Hoy en día, poner a prueba a sus propios usuarios contra el phishing es tan importante como tener un antivirus y un firewall. Es una práctica recomendada de ciberseguridad divertida y eficaz para parchear su última línea de defensa: LOS USUARIOS.

¿Por qué? Si no lo hace usted, lo harán los malhechores.

Así es como funciona:
  • Inicie inmediatamente su prueba para hasta 100 usuarios (sin necesidad de hablar con nadie).
  • Seleccione entre más de 20 idiomas y personalice la plantilla de prueba de phishing en función de su entorno.
  • Elija la página de destino que sus usuarios verán después de hacer clic.
  • Muestre a los usuarios las señales de alarma que pasaron por alto, o una página 404. 
  • Reciba un PDF por correo electrónico en 24 horas con sus porcentajes de Phish-prone y gráficos para compartir con el personal directivo.
  • Vea cómo se compara su organización con otras de su sector.

El porcentaje Phish-prone suele ser más alto de lo que esperaría y es una gran munición para conseguir presupuesto.

Empiece a hacer phishing a sus usuarios ahora. Rellene el formulario y empiece inmediatamente.

Inscríbase para su prueba gratuita

Definición de phishing

El phishing es el proceso de intentar obtener información delicada, como nombres de usuario, contraseñas y datos de tarjetas de crédito, haciéndose pasar por una entidad de confianza mediante correos electrónicos masivos que intentan eludir los filtros de correo no deseado (spam).

Se suelen usar correos electrónicos que dicen proceder de sitios web sociales populares, bancos, sitios de subastas o administradores de TI para atraer al público desprevenido. Es una forma de ingeniería social fraudulenta.

Preguntas frecuentes sobre el phishing

¿Qué se puede hacer para prevenir ataques de phishing?
Esta lista no es exhaustiva ni mucho menos, y no existe una solución milagrosa que acabe con el phishing. Sin embargo, a continuación se incluye una breve lista de prácticas recomendadas :
  1. Comprenda los riesgos a los que se enfrenta.
  2. Desarrolle políticas adecuadas.
  3. Mantenga los sistemas actualizados.
  4. Asegúrese de tener copias de seguridad buenas y recientes.
  5. Implemente soluciones antiphishing.
  6. Implemente prácticas recomendadas para el comportamiento de los usuarios.
  7. Utilice una sólida inteligencia de amenazas.

Además, estos son nuestros 10 consejos principales de prevención para compartir con sus usuarios a fin de ayudarles a mantener la seguridad desde cualquier lugar:

  1. Manténgase informado sobre las técnicas de phishing.
  2. Piense antes de hacer clic.
  3. Instale una barra de herramientas antiphishing.
  4. Verifique la seguridad de los sitios.
  5. Revise regularmente sus cuentas en línea.
  6. Mantenga su navegador actualizado.
  7. Use firewalls.
  8. Tenga cuidado con los elementos emergentes.
  9. Nunca proporcione información personal si no está seguro.
  10. Use software antivirus. 

Su última línea de defensa contra ataques de phishing son sus usuarios. Por eso, el paso más importante que puede dar para la prevención es un programa innovador de capacitación en concientización sobre seguridad combinado con pruebas periódicas de phishing simulado.

¿Cómo pongo a mis usuarios a prueba contra el phishing?

Poner a sus usuarios a prueba contra el phishing y capacitarlos como su última línea de defensa es una de las mejores formas de protegerse de los ataques. Estos son cuatro pasos básicos para seguir: 

  1. Realice pruebas iniciales para evaluar el porcentaje de Phish-prone de sus usuarios antes de capacitarlos. Es conveniente evaluar qué tipos de ataque serán efectivos y cuáles no, además de recopilar datos para medir y comparar los resultados en el futuro.
  2. Capacite a sus usuarios con capacitación a pedido, interactiva y atractiva para que capten realmente el mensaje.
  3. Ponga a sus usuarios a prueba contra el phishing al menos una vez al mes para reforzar la capacitación y continuar el proceso de aprendizaje.
  4. Observe los resultados de la capacitación y la prueba contra el phishing, y aproxímese lo máximo posible al 0 % de Phish-prone.

Cinco puntos adicionales para tener en cuenta:

  1. La concientización por sí sola es solo una de las múltiples capas de la defensa, pero es fundamental.
  2. No puede y no debe hacer esto sin ayuda.
  3. No puede y no debe capacitarse acerca de todo.
  4. A las personas solo le preocupan las cuestiones que consideran relevantes para ellas.
  5. El proceso continuo consiste en ayudar al personal a tomar decisiones de seguridad más inteligentes.

Cinco prácticas recomendadas que se deben adoptar:

  1. Establezca objetivos explícitos antes de comenzar.
  2. Involucre al equipo ejecutivo.
  3. Decida qué comportamientos quiere forjar: elija dos o tres y trabaje en ellos durante 12-18 meses.
  4. Considere su programa como una iniciativa de marketing.
  5. Realice pruebas contra el phishing con frecuencia, una vez al mes como mínimo.

¡Poner a prueba a sus usuarios contra el phishing es DIVERTIDO! Puede lograr todo lo anterior con nuestro programa de capacitación en concientización sobre seguridad. Si necesita ayuda para comenzar, ya sea cliente o no, puede crear su propio Automated Security Awareness Program (ASAP) personalizado respondiendo entre 15 y 25 preguntas sobre su organización.

¿Cuáles son los tipos de correo electrónico de phishing más comunes?

Los ciberdelincuentes actualizan constantemente sus técnicas de phishing. Aunque el contenido de los correos electrónicos de phishing ha avanzado mucho y sigue evolucionando a lo largo de los años, a continuación, se incluyen algunas variaciones básicas que son las más comunes: 

  1. Correo electrónico de phishing clásico: en los últimos años, los proveedores de servicios en línea han optado por enviar mensajes a los clientes cuando detectan actividades inusuales o preocupantes en las cuentas de sus usuarios. Como era de esperar, los malhechores utilizan esto en su beneficio. Muchos están mal diseñados, con errores gramaticales, etc., pero otros parecen lo suficientemente legítimos como para que alguien haga clic si no está prestando mucha atención.

  2. Vulnerabilidades de seguridad de redes sociales: muchos usuarios tienen información disponible públicamente en plataformas como Facebook, LinkedIn y Twitter. Los malhechores utilizan esta información para crear correos electrónicos de spear phishing (suplantación de identidad específica) dirigidos contra sus usuarios y su organización. Estos correos electrónicos forman parte de campañas diseñadas para secuestrar cuentas, dañar la reputación de su organización u obtener acceso a su red. 
     
  3. Archivos adjuntos infectados: los archivos .HTML adjuntos maliciosos no se ven con tanta frecuencia como los archivos adjuntos .JS o .DOC, pero son deseables por varias razones. En primer lugar, hay pocas posibilidades de que los antivirus los detecten, ya que los archivos .HTML no suelen asociarse a ataques transmitidos por correo electrónico. En segundo lugar, los bancos y otras instituciones financieras suelen utilizar archivos .HTML adjuntos, por lo que las personas están acostumbradas a verlos en sus bandejas de entrada. 

    Las macros maliciosas en correos electrónicos de phishing también se han convertido en una forma cada vez más común de distribuir ransomware. Con demasiada frecuencia, estos documentos eluden sin problemas los programas antivirus. Los correos electrónicos de phishing contienen una sensación de urgencia para el destinatario. Si los usuarios no activan las macros, el ataque no tiene éxito.

  4. Estafas de fraude del director ejecutivo (CEO): el fraude del director ejecutivo (CEO) es un tipo de estafa en la que los ciberdelincuentes falsifican cuentas de correo electrónico de empresas y se hacen pasar por ejecutivos para intentar engañar a un miembro del personal de contabilidad o RR. HH. para que realice transferencias no autorizadas o envíe información fiscal confidencial. Por lo general, los ciberdelincuentes han reunido suficientes datos para saber a quién quieren atacar.
¿Cómo funciona la Prueba de seguridad contra el phishing?

La Prueba de seguridad contra el phishing (PST) de KnowBe4 puede determinar el nivel de vulnerabilidad de su red al darle una indicación de cuántas personas pueden ser susceptibles a un ataque de ingeniería social por correo electrónico.

También se puede utilizar para complementar y reforzar la capacitación recibida en los módulos de capacitación de KnowBe4, lo que proporciona a sus usuarios “práctica” del mundo real para reconocer los ataques de ingeniería social y responder a ellos de forma adecuada.

Funciona de la siguiente manera: la PST envía un correo electrónico a cada usuario de su organización. En nuestra prueba de seguridad contra el phishing (PST) gratuita inicial, el correo electrónico enviado es una prueba de enlace, que incluye un texto destinado a atraer al usuario para que haga clic en un enlace incrustado. Una vez que se hace clic en el enlace, se dirige al usuario a una página de destino. Nuestra página de destino básica informa al usuario que ha participado en una prueba de phishing simulado y le proporciona algunas reglas que debe aplicar al inspeccionar los correos electrónicos de su bandeja de entrada.

Los resultados de la prueba incluyen el número de usuarios que no superaron la prueba dividido por el número de usuarios a los que se les envió la prueba. Esto le proporciona un porcentaje de Phish-Prone: el porcentaje de sus usuarios que “desaprobaron” la PST.

Acabo de enviar una Prueba de seguridad contra el phishing, ¿ahora qué?

Después de realizar la prueba, puede volver a su cuenta en cualquier momento para ver los resultados en la página del Tablero. Podrá ver su porcentaje de Phish-prone, que muestra su vulnerabilidad si se produjera un ataque de phishing similar en su organización. También verá cómo se compara su porcentaje de Phish-Prone con otros de su sector, tras un año de capacitación en concientización sobre seguridad computarizada y phishing simulado combinados.

Además, al cabo de 24 horas se le enviará un informe en PDF automáticamente por correo electrónico. Si desea saber quién hizo clic, su representante o revendedor puede conseguirle esa información.

Con estos conocimientos, puede ayudar a proteger su organización y enseñar a sus usuarios los peligros de este tipo de ataques. Inscribirse en la innovadora capacitación en concientización sobre seguridad de KnowBe4 puede ayudarle a lograr este objetivo. A través de KnowBe4, puede capacitar a sus usuarios para que detecten las señales de advertencia y mejoren sus habilidades mediante el envío de ataques de phishing falsos similares a los de esta herramienta gratuita.

¿El phishing móvil está empeorando?

Los ataques a dispositivos móviles no son nada nuevo; sin embargo, están ganando impulso como vector de ataque corporativo.

Los atacantes ahora aprovechan los SMS, así como algunas de las aplicaciones de redes sociales y plataformas de mensajería más populares y utilizadas en la actualidad, como WhatsApp, Facebook Messenger e Instagram, como medio de phishing. El personal de seguridad que pasa por alto estas nuevas vías de ataque pone en peligro a sus organizaciones.

Estos son solo algunos de los riesgos relacionados con el phishing que plantea el uso de dispositivos móviles:

  • Aplicaciones: falta de seguridad integrada. Las aplicaciones gratuitas suelen pedir mucho acceso a cosas que no deberían necesitar.
  • Wifi: su dispositivo suele captar la señal más fuerte, que puede ser una red wifi falsa que parece legítima, pero que en realidad es un atacante a la espera de monitorear, interceptar o incluso alterar las comunicaciones de su dispositivo.
  • Bluetooth: se puede usar para propagar virus, y los hackers pueden usarlo para hackear teléfonos y acceder a los datos de su organización y explotarlos.
  • Error humano: los ladrones venden dispositivos perdidos y robados a compradores más interesados en los datos que en el propio dispositivo.
  • Smishing: también conocido como “phishing por SMS”. De forma similar a los correos electrónicos de phishing, un ejemplo de texto de smishing podría intentar atraer a una víctima para que revele información persona y pedir al destinatario que tome medidas en cualquier número de actividades aparentemente comunes. Por ejemplo, el banco del usuario que afirma que detectó actividad inusual o un aviso de felicitaciones que indica que la persona ganó un premio de su tienda favorita.
Conozca más ejemplos de phishing, phishing móvil y cómo prevenir ataques en nuestro Recurso definitivo contra el phishing.