• Tweet

Aunque la tecnología juega un papel importante en la protección de las organizaciones de las amenazas informáticas, los ataques de phishing lanzados se centran en el elemento humano para asegurar el éxito. No hay solución de tecnología que sea 100% efectiva para frustrar el phishing lanzado, según PhishMe.

Un estudio reciente realizado por Trusteer continúa perpetuando la idea errónea de que la tecnología por sí sola es la respuesta contra los ataques lanzados de phishing. El estudio se basó en una prueba de lanzamiento de phishing contra 100 usuarios de LinkedIn y encontraron una tasa de fracaso del 68%.

Si bien una tasa de fracaso del 68% parece alta, no es un número inusual para un grupo que no ha recibido ninguna educación o formación previa en la forma de detectar el phishing -o al menos de formación que pretenda ser eficaz. En otro estudio más preciso se realizó otra prueba después de una sesión educativa de los mismos 100 usuarios para medir la eficacia de la capacitación.

"Mientras podamos estar de acuerdo con sus peticiones de ingeniería social porque 'es fácil dirigir a los usuarios corporativos a sitios web falsos desde los cuales podrían descargar malware en su computadora', por ello no estamos de acuerdo con su conclusión, su metodología y su afirmación de que sólo una solución tecnológica es la respuesta", dijo Rohyt Belani, consejero delegado de PhishMe. "Las empresas tienen que ser proactivas en la educación de sus clientes para asegurarse de que saben qué buscar para reducir eficazmente el riesgo de ser víctimas de ataques de phishing. La razón por la que las campañas de ataques phishing son tan popular, es porque trabajan”.

Las soluciones de navegadores corriendo en un contenedor virtual intentan proteger contra el malware basado en “haga clic”. Si bien estos métodos pueden ser efectivos dentro de los límites del navegador de un usuario, un número significativo de lanzamiento de ataques de phishing viral se propagan a través de archivos adjuntos al correo electrónico que se abren fuera de un navegador (por ejemplo, a través de Outlook), dejando al usuario vulnerable.

"La ingeniería social es un problema humano y debería ser tratado como tal", agregó Aaron Higbee, director de tecnología de PhishMe. "Sacudir las reclamaciones como las realizadas por Trusteer puede llevar a una falsa sensación de seguridad en las mentes de los usuarios finales, resulta en una guía que conduce a un compromiso. Continuar dejando que los usuarios crean que si su solución de seguridad permite que pongan algo en su bandeja de entrada, y que esto seguro, es irresponsable. Tenemos que enseñar a la gente de manera proactiva a sospechar y saber lo que debe buscar como una amenaza, independientemente de los protocolos de seguridad existentes".